Oprava neplatného typu poskytovatele zadaného v nástroji Dell Security Management

Dotčené produkty:

Dotčené verze:

• v10.2.11 a starší

Nástroj Dell Security Management Server verze 10.2.11 a starší neimplementuje kryptografické rozhraní API: Nová generace (CNG). Z toho důvodu nemohou tyto verze nástroje Dell Encryption importovat ani používat soukromé klíče uložené pomocí poskytovatele úložiště klíčů Microsoft.

Privátní klíč musí být přepnut z poskytovatele úložiště klíčů společnosti Microsoft na staršího zprostředkovatele kryptografických služeb.

Ověřte typ poskytovatele certifikátu pomocí certutil.

Example command: certutil -store my

Obrázek 1: (Pouze v angličtině) Certutil -store my

K tomuto problému dochází, pokud je poskytovatel poskytovatelem úložiště softwarových klíčů společnosti Microsoft.

Exportujte certifikát a soukromý klíč ve formátu PFCS#12 (PFX) pomocí modulu snap-in Certifikáty v konzoli MMC (Microsoft Management Console). PFX by měl být exportován sevšemi certifikáty v certifikační cestě, pokud je to možné, a se zaškrtnutou možností Export všech rozšířených vlastností. 

Software OpenSSL obsahuje metodu, jak změnit zprostředkovatele kryptografických služeb. Kopie softwaru OpenSSL je součástí nástroje Dell Data Protection | Instalace Enterprise Server počínaje verzí 7.2. Binární soubory jsou ve složce <INSTALL_PATH>\Dell\Enterprise Edition\OpenSSL\bin.

Změňte adresář na adresář obsahující binární soubory OpenSSL.

Example command: cd C:\Program Files\Dell\Enterprise Edition\OpenSSL\bin

Pomocí OpenSSL převeďte PFX na formát PEM.

Example command: openssl pkcs12 -in C:\Temp\KSP-pfx.pfx -out C:\Temp\OpenSSL-pem.pem

Obrázek 2: (Pouze v angličtině) openssl pkcs12 -in C:\Temp\KSP-pfx.pfx -out C:\Temp\OpenSSL-pem.pem

Vložte úplnou cestu k dříve exportovanému PFX do -in . Zadejte úplnou cestu k novému souboru pro výstup PEM do parametru "-out". OpenSSL vytvoří soubor, který je zadán v parametru "-out".

Po zobrazení výzvy k zadání hesla pro import: Použijte heslo pro PFX zadané během exportu.

Po zobrazení výzvy Zadejte heslovou frázi PEM: A ověřování – zadejte frázi PEM pass: Zadejte buď stejné heslo jako heslo pro export PFX, nebo nové heslo pro použití v dalším kroku.

Pomocí OpenSSL převeďte nový PEM zpět na formát PFX se zadaným jiným CSP.

Example command: openssl pkcs12 -export -in C:\Temp\OpenSSL-pem.pem -out C:\Temp\CSP-pfx.pfx -CSP "Microsoft Enhanced RSA and AES Cryptographic Provider"

Obrázek 3: (Pouze v angličtině) openssl pkcs12 -export -in C:\Temp\OpenSSL-pem.pem -out C:\Temp\CSP-pfx.pfx -CSP "Microsoft Enhanced RSA and AES Cryptographic Provider"

Zadejte úplnou cestu k dříve vytvořenému PEM k parametru "-in". Zadejte úplnou cestu k novému souboru pro výstup PFX do parametru "-out". OpenSSL vytvoří soubor, který je zadán v parametru "-out". Parametr -CSP přijímá název zprostředkovatele kryptografických služeb společnosti Microsoft, který je přidružen k rozhraní CryptoAPI (https://msdn.microsoft.com/en-us/library/windows/desktop/bb931357(v=vs.85).aspx) .

Po zobrazení výzvy "Enter pass phrase for <PEM_FILE>:" Použijte heslo pro PEM zadané v kroku generování PEM.

Po zobrazení výzvy k zadání zadání hesla pro export a ověřování – zadejte heslo pro export: zadejte buď stejné heslo jako původní heslo pro export PFX, nebo nové heslo pro použití s výsledným souborem PFX.

Odstraňte předchozí certifikát z osobního úložiště místního počítače pomocí modulu snap-in Certifikáty v konzole MMC (Microsoft Management Console).

Importujte PFX vygenerované pomocí OpenSSL do osobního úložiště místního počítače pomocí modulu snap-in Certifikáty v konzole MMC (Microsoft Management Console ). PFX by měl být importován s Označit tento klíč jako exportovatelný. A zahrňte všechny rozšířené vlastnosti.

Ověřte typ poskytovatele certifikátu pomocí certutil.

Example command: certutil -store my

Obrázek 4: (Pouze v angličtině) certutil -store my

Použijte možnosti Konfigurovat certifikáty..., Importovat certifikát DM... a Importovat certifikát identity... možností nabídky v nástroji Server Configuration Tool pro přidružení nového certifikátu k serveru Dell Core Server a import nového PFX do databáze DDP.

Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.