Article Number: 000124734
Dell Security Management Server версии 10.2.11 и более ранних версий не реализует API-интерфейс шифрования. Новое поколение (CNG). По этой причине эти версии Dell Encryption не могут импортировать или использовать закрытые ключи, хранящиеся с помощью поставщика хранилища ключей Microsoft.
Закрытый ключ должен быть изменен с поставщика хранилища ключей Microsoft на поставщика устаревших служб шифрования.
Проверьте тип поставщика сертификатов с помощью certutil
.
Example command: certutil -store my
Рис. 1. (только на английском языке) Certutil -store my
Эта проблема возникает, если поставщиком является поставщик хранилища программных ключей Microsoft.
Экспортируйте сертификат и закрытый ключ в формате PKCS#12 (PFX) с помощью оснастки «Сертификаты» в консоли управления Microsoft (MMC). PFX должен быть экспортирован с включениемвсех сертификатов в пути сертификации, если это возможно, и с установленным флажкомЭкспортировать все расширенные свойства.
OpenSSL содержит метод для изменения поставщика служб шифрования. Копия OpenSSL включена в Dell Data Protection | Установка Enterprise Server, начиная с версии 7.2. Двоичные файлы находятся в <папке INSTALL_PATH>\Dell\Enterprise Edition\OpenSSL\bin.
Измените каталог на каталог, содержащий двоичные файлы OpenSSL.
Example command: cd C:\Program Files\Dell\Enterprise Edition\OpenSSL\bin
Используйте OpenSSL для преобразования PFX в формат PEM.
Example command: openssl pkcs12 -in C:\Temp\KSP-pfx.pfx -out C:\Temp\OpenSSL-pem.pem
Рис. 2. (только на английском языке) openssl pkcs12 -in C:\Temp\KSP-pfx.pfx -out C:\Temp\OpenSSL-pem.pem
Укажите полный путь к ранее экспортированному PFX в -in
. Укажите полный путь к новому файлу для вывода PEM с параметром «-out». OpenSSL создает файл, указанный в параметре «-out».
При появлении запроса на ввод пароля импорта: Используйте пароль для PFX, указанного во время экспорта.
При появлении запроса на ввод парольной фразы PEM: И проверка: введите парольную фразу PEM: Введите тот же пароль, что и пароль экспорта PFX, или новый пароль для использования на следующем шаге.
Используйте OpenSSL для преобразования нового модуля PEM обратно в формат PFX с указанием другого CSP.
Example command: openssl pkcs12 -export -in C:\Temp\OpenSSL-pem.pem -out C:\Temp\CSP-pfx.pfx -CSP "Microsoft Enhanced RSA and AES Cryptographic Provider"
Рис. 3. (только на английском языке) openssl pkcs12 -export -in C:\Temp\OpenSSL-pem.pem -out C:\Temp\CSP-pfx.pfx -CSP "Microsoft Enhanced RSA and AES Cryptographic Provider"
Укажите полный путь к ранее созданному модулю PEM с параметром «-in». Укажите полный путь к новому файлу для вывода PFX с параметром «-out». OpenSSL создает файл, указанный в параметре «-out». Параметр -CSP принимает имя поставщика служб шифрования Майкрософт, связанного с CryptoAPI (https://msdn.microsoft.com/en-us/library/windows/desktop/bb931357(v=vs.85).aspx) .
-CSP
чувствителен к регистру. Использование нижнего регистра -csp
приводит к сбою выполнения команды.При запросе «Введите парольную фразу для <PEM_FILE>:» Используйте пароль для PEM, указанного на шаге создания PEM.
При появлении запроса на ввод пароля экспорта и проверки — введите пароль экспорта: введите тот же пароль, что и исходный пароль экспорта PFX, или новый пароль для использования с полученным файлом PFX.
Удалите предыдущий сертификат из Личного хранилища локального компьютера с помощью оснастки Сертификаты в консоли управления Microsoft (MMC).
Импортируйте PFX, сгенерированный с помощью OpenSSL, в Персональное хранилище локального компьютера с помощью оснастки Сертификаты в консоли управления Microsoft Management Console (MMC). PFX следует импортировать, пометив этот ключ как экспортируемый. и Включить все расширенные свойства.
Проверьте тип поставщика сертификатов с помощью certutil
.
Example command: certutil -store my
Рис. 4. (только на английском языке) certutil -store my
Используйте «Настройка сертификатов...», «Импорт сертификата DM...» и «Импорт сертификата идентификации...» в инструменте Server Configuration Tool, чтобы связать новый сертификат с основным сервером Dell и импортировать новый PFX в базу данных DDP.
Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.
Dell Encryption
17 Jun 2024
12
Solution