修正 Dell Security Management 中指定的供應商類型無效
Summary: 解決錯誤 嘗試安裝 Dell Security Management Server 軟體或在伺服器組態工具中匯入新憑證時,指定的提供者類型無效。
Symptoms
受影響的產品:
- Dell Security Management Server
- Dell Data Protection | Enterprise Edition
受影響的版本:
- v10.2.11 及更早版本
Cause
Dell Security Management Server 10.2.11 版及更早版本未導入密碼編譯 API:新一代 (CNG)。因此,這些版本的 Dell Encryption 無法匯入或使用使用 Microsoft 金鑰儲存供應商儲存的私密金鑰。
Resolution
私密金鑰必須從 Microsoft 金鑰儲存提供者切換至舊版密碼編譯服務提供者。
驗證憑證提供者類型,使用 certutil。
Example command: certutil -store my
圖 1:(僅英文) Certutil -store my
如果提供程式是 Microsoft 軟體金鑰儲存提供程式,則會出現此問題。
使用Microsoft管理主控台 (MMC) 中的「憑證」管理單元,以 PKCS#12 (PFX) 格式匯出憑證和私密金鑰。如果可能,應匯出 PFX,並在憑證路徑中包含所有憑證,並勾選匯出所有延伸內容。
OpenSSL 包含變更密碼編譯服務提供者的方法。OpenSSL 複本包含在 Dell Data Protection |從 7.2 版開始安裝 Enterprise Server。二進位檔案位於 INSTALL_PATH>\Dell\Enterprise Edition\OpenSSL\bin 中<。
將目錄變更為包含 OpenSSL 二進位檔案的目錄。
Example command: cd C:\Program Files\Dell\Enterprise Edition\OpenSSL\bin
使用 OpenSSL 將 PFX 轉換為 PEM 格式。
Example command: openssl pkcs12 -in C:\Temp\KSP-pfx.pfx -out C:\Temp\OpenSSL-pem.pem
圖 2:(僅英文) openssl pkcs12 -in C:\Temp\KSP-pfx.pfx -out C:\Temp\OpenSSL-pem.pem
提供先前匯出的 PFX 完整路徑至 -in 參數。為「-out」參數的 PEM 輸出提供新檔的完整路徑。OpenSSL 會建立在「-out」參數中指定的檔案
當系統提示 您輸入匯入密碼時:使用匯出時指定的 PFX 密碼。
當系統提示 您輸入 PEM 密碼片語時:和驗證 - 輸入 PEM 密碼:輸入與 PFX 匯出密碼相同的密碼或新密碼,以便在下一步中使用。
使用 OpenSSL 將新的 PEM 轉換回指定不同 CSP 的 PFX 格式。
Example command: openssl pkcs12 -export -in C:\Temp\OpenSSL-pem.pem -out C:\Temp\CSP-pfx.pfx -CSP "Microsoft Enhanced RSA and AES Cryptographic Provider"
圖 3:(僅英文) openssl pkcs12 -export -in C:\Temp\OpenSSL-pem.pem -out C:\Temp\CSP-pfx.pfx -CSP "Microsoft Enhanced RSA and AES Cryptographic Provider"
為「-in」參數提供先前建立的 PEM 的完整路徑。為「-out」參數的 PFX 輸出提供新檔的完整路徑。OpenSSL 會建立在「-out」參數中指定的檔案-CSP 參數接受與 CryptoAPI 關聯的 Microsoft 加密服務提供者的名稱 (https://msdn.microsoft.com/en-us/library/windows/desktop/bb931357(v=vs.85).aspx)。
注意:
- 的
-CSP參數區分大小寫。使用小寫-csp導致命令失敗。 - 建議使用 Microsoft 增強型 RSA 和 AES 密碼編譯提供者,而不是唯一可用的 CSP。
當系統提示輸入 PEM_FILE> 的密碼片語<:時使用在 PEM 產生步驟中指定的 PEM 密碼。
當系統提示 輸入匯出密碼: 和 驗證 - 輸入匯出密碼: 時,請輸入與原始 PFX 匯出密碼相同的密碼,或輸入與產生的 PFX 檔案一起使用的新密碼。
使用Microsoft管理主控台 (MMC) 中的「證書」管理單元從本地電腦的個人存儲中刪除以前的證書。
在 Microsoft Management Console (MMC) 中使用「憑證」管理單元,將使用 OpenSSL 產生的 PFX 匯入至本機電腦的個人存放區。應匯入 PFX, 並將此金鑰標記為可匯出。和 包括所有擴展屬性。
驗證憑證提供者類型,使用 certutil。
Example command: certutil -store my
圖 4:(僅英文) certutil -store my
使用設定憑證...、匯入 DM 憑證...和匯入身分識別憑證...伺服器組態工具中的功能表選項,可將新憑證關聯至 Dell Core Server,並將新的 PFX 匯入 DDP 資料庫。
注意:如果發生錯誤,指出 金鑰集不存在,請在匯入 OpenSSL 輸出的版本後,從Microsoft管理主控台 (MMC) 匯出新的 PFX。
如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇。