DPA : Modification du mot de passe du magasin de clés de l’application Data Protection Advisor

Je souhaite modifier le mot de passe du magasin de clés Data Protection Advisor (DPA). Est-ce possible ?

Dans certains environnements, pour respecter les exigences de sécurité, il peut être nécessaire de modifier ou de définir le mot de passe du magasin de clés DPA.

Le mot de passe du magasin de clés DPA peut être modifié par l’administrateur de l’environnement et de l’installation.

Avant d’effectuer cette modification de configuration, assurez-vous que toutes les étapes ont été examinées et bien comprises. Une exécution incorrecte des étapes (par exemple, des fautes de frappe) peut entraîner l’échec du démarrage de l’application DPA ou l’inaccessibilité de l’interface utilisateur DPA à l’aide d’une connexion de type HTTPS.

Pour modifier le mot de passe du magasin de clés DPA, les utilisateurs doivent effectuer les étapes suivantes.

1. Connectez-vous au serveur d’applications DPA en tant qu’utilisateur root ou administrateur

2. Ouvrez une fenêtre d’invite de commande si le serveur est basé sur Windows.

3. Accédez au répertoire : /opt/emc/dpa/services/standalone/configuration
   Le chemin peut varier si l’un d’eux n’a pas installé le chemin par défaut.

4. Ce répertoire doit contenir les deux fichiers suivants :

   • apollo.keystore
   • standalone.xml

5. Avant de continuer, faites des copies de ces deux fichiers et enregistrez-les dans un emplacement sûr.

   Remarque : S’il existe des erreurs ou des problèmes avec l’application DPA après cette procédure, les fichiers d’origine peuvent être rétablis. Cette opération restaure la configuration. Si des copies de ces fichiers d’origine ne sont pas enregistrées et que des erreurs sont commises, conduisant à l’échec du démarrage de l’application DPA ou à l’inaccessibilité de l’interface utilisateur DPA à l’aide de HTTPS, il n’existe aucune méthode de restauration autre qu’une réinstallation de l’application DPA.

6. Répertoriez le contenu du fichier apollo.keystore à l’aide de la commande suivante :

   /opt/emc/dpa/services/_jre/bin/keytool -list -keystore apollo.keystore

7. La sortie de la commande ressemble à la sortie ci-dessous. Saisissez le mot de passe apollo.keystore lorsque vous y êtes invité. (Le mot de passe par défaut d’Apollo.keystore est « Apollo »)

   Enter keystore password:
   
   Keystore type: JKS
   Keystore provider: SUN
   Your keystore contains 2 entries
   
   apollokey, Jul 22, 2013, PrivateKeyEntry,
   Certificate fingerprint (SHA1): 22:97:5A:5D:54:6A:55:43:FE:58:0A:74:89:35:01:86:BC:D1:E1:05
   
   mykeyalias, Nov 17, 2018, PrivateKeyEntry,
   Certificate fingerprint (SHA1): DF:7E:C1:F0:75:34:AD:84:D5:58:A7:C4:06:EA:36:64:4C:29:BC:25

8. Le résultat de cette commande indique que le magasin de clés est actuellement configuré avec deux (2) alias de clé PrivateKeyEntry, « apollokey » et « mykeyalias ». En général, le magasin de clés possède une ou deux de ces entrées, mais peut parfois en contenir davantage. Prenez note de tous les alias de clé PrivateKeyEntry répertoriés (leurs noms) qui sont contenus dans le magasin de clés.

9. Pour modifier le mot de passe d’un magasin de clés, le mot de passe de tous les alias de clé PrivateKeyEntry contenus dans le magasin de clés doit également être modifié pour correspondre au magasin de clés. L’ordre de modification des mots de passe n’a pas d’importance. Vous pouvez d’abord modifier le mot de passe du magasin de clés ou les alias de clé PrivateKeyEntry en premier.

10. Pour modifier le mot de passe du apollo.keystore, utilisez la commande suivante :

    /opt/emc/dpa/services/_jre/bin/keytool -storepasswd -keystore apollo.keystore

11. Dans le résultat de cette commande, vous entrez d’abord le mot de passe actuel du magasin de clés apollo.keystore. Saisissez ensuite le nouveau mot de passe du magasin de clés. Enfin, saisissez à nouveau le nouveau mot de passe du magasin de clés.

    Enter keystore password:
    New keystore password:
    Re-enter new keystore password:

12. Vérifiez que le mot de passe du magasin de clés a été modifié comme prévu en répertoriant à nouveau le contenu du magasin de clés apollo.keystore avec la commande suivante. Le résultat doit être identique à celui de l’exécution précédente de la commande.

    /opt/emc/dpa/services/_jre/bin/keytool -list -keystore apollo.keystore

13. Ensuite, modifiez les mots de passe des alias de clé. La commande permettant de modifier un mot de passe d’alias de clé unique se trouve ci-dessous :

    Remarque : Là encore, le nouveau mot de passe doit correspondre au nouveau mot de passe du magasin de clés.
    /opt/emc/dpa/services/_jre/bin/keytool -keypasswd -keystore apollo.keystore -alias apollokey

14. Dans la sortie de cette commande, on saisit d’abord le mot de passe actuel de apollo.keystore. Ensuite, il y a deux variations de sortie possibles.

    Première variation

    Enter keystore password:
    New key password for <apollokey>:
    Re-enter new key password for <apollokey>:

    Deuxième variation

    Enter keystore password:
    Enter key password for <apollokey>
    New key password for <apollokey>:
    Re-enter new key password for <apollokey>:

15. Dans la première variante, saisissez le nouveau mot de passe key-alias et saisissez-le à nouveau. Dans la deuxième variante, saisissez d’abord le mot de passe d’alias de clé actuel, puis le nouveau mot de passe d’alias de clé, puis saisissez-le à nouveau. En général, le mot de passe de l’alias de clé actuel est le mot de passe du magasin de clés d’origine. (Le mot de passe par défaut d’Apollo.keystore est « Apollo »)

16. Cette commande doit être exécutée pour tous les alias de clé PrivateKeyEntry dans le magasin de clés. Dans notre cas, cela signifie que la commande doit être exécutée à la fois pour apollokey et mykeyalias.

17. Ensuite, le paramètre de mot de passe key-alias doit être remplacé par le nouveau mot de passe dans le fichier de configuration de l’application DPA « standalone.xml »

18. Modifiez le fichier standalone.xml à l’aide d’un éditeur de texte tel que « vi » ou « Notepad ».

19. Accédez à la ligne suivante, qui doit se trouver vers la fin du fichier. L’une des méthodes de recherche permettant d’y accéder rapidement est une méthode de recherche.

    <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo" certificate-key-file="${jboss.server.config.dir}/apollo.keystore" cipher-suite="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA" protocol="TLSv1,TLSv1.1,TLSv1.2" verify-client="false"/>

20. Modifiez le mot de passe sur cette ligne pour qu’il corresponde au nouveau mot de passe que vous avez défini pour le magasin de clés et les alias de clé. Par exemple, si le nouveau mot de passe est « my1Pass00 », la ligne modifiée ressemble à ceci :

    <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="my1Pass00" certificate-key-file="${jboss.server.config.dir}/apollo.keystore" cipher-suite="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA" protocol="TLSv1,TLSv1.1,TLSv1.2" verify-client="false"/>

21. Enregistrez le fichier standalone.xml.

22. Redémarrez l’application DPA.

Contactez le support technique Dell pour plus d’informations ou pour obtenir de l’aide.