DPA: Vil endre passordet for datalagringsenheten for Data Protection Advisor-applikasjonen

Jeg vil endre passordet for Data Protection Advisor (DPA)-nøkkellageret. Kan dette gjøres?

I enkelte miljøer for å overholde sikkerhetskravene kan det være nødvendig å endre eller angi passordet for DPA-nøkkellageret.

Passordet for DPA-nøkkellageret kan endres av administratoren for miljøet og installasjonen.

Før du utfører denne konfigurasjonsendringen, må du kontrollere at alle trinnene er gjennomgått og fullstendig forstått. Hvis du utfører trinnene feil (for eksempel skrivefeil), kan det føre til en situasjon der DPA-applikasjonen kanskje ikke starter eller DPA-grensesnittet er utilgjengelig ved hjelp av en HTTPS-tilkobling.

For å endre passordet til DPA-nøkkellageret, bør brukerne utføre følgende trinn.

1. Logg på DPA-applikasjonsserveren som rot eller administrator

2. Åpne et ledetekstvindu hvis serveren er Windows-basert.

3. Bla til katalogen: /opt/emc/dpa/services/standalone/configuration
   Banen kan variere hvis en av dem ikke har installert standardbanen.

4. Denne katalogen skal inneholde følgende to filer:

   • apollo.keystore
   • standalone.xml

5. Før du fortsetter, ta kopier av disse to filene og lagre dem på et trygt sted.

   MERK: Hvis det er noen feil eller problemer med DPA-søknaden etter denne prosedyren, kan de opprinnelige filene tilbakestilles til. Dette gjenoppretter konfigurasjonen. Hvis kopier av disse originalfilene ikke lagres og det gjøres feil som fører til at DPA-applikasjonen ikke starter eller at DPA-brukergrensesnittet blir utilgjengelig ved hjelp av HTTPS, er det ingen metode for å gjenopprette fra dette annet enn en reinstallasjon av DPA-applikasjonen.

6. List opp innholdet i apollo.keystore med følgende kommando:

   /opt/emc/dpa/services/_jre/bin/keytool -list -keystore apollo.keystore

7. Utgangen av kommandoen ser ut som utdataene nedenfor. Skriv inn passordet for apollo.keystore når du blir bedt om det. (Standard Apollo.keystore-passord er "Apollo")

   Enter keystore password:
   
   Keystore type: JKS
   Keystore provider: SUN
   Your keystore contains 2 entries
   
   apollokey, Jul 22, 2013, PrivateKeyEntry,
   Certificate fingerprint (SHA1): 22:97:5A:5D:54:6A:55:43:FE:58:0A:74:89:35:01:86:BC:D1:E1:05
   
   mykeyalias, Nov 17, 2018, PrivateKeyEntry,
   Certificate fingerprint (SHA1): DF:7E:C1:F0:75:34:AD:84:D5:58:A7:C4:06:EA:36:64:4C:29:BC:25

8. Utdataene fra denne kommandoen viser at nøkkellageret for øyeblikket er konfigurert med to (2) PrivateKeyEntry key-aliaser, "apollokey" og "mykeyalias". Vanligvis har nøkkellageret en eller to av disse oppføringene, men kan ha flere noen ganger. Legg merke til alle oppførte PrivateKeyEntry key-aliaser (navnene deres) som finnes i nøkkellageret.

9. For å endre passordet for et nøkkellager, krever det at alle PrivateKeyEntry key-aliaser i nøkkellageret også har passordene endret for å matche nøkkellageret. Rekkefølgen for å endre passordene er ikke viktig. Du kan endre passordet for nøkkellageret først, eller PrivateKeyEntry key-key-aliasene først.

10. For å endre passordet for apollo.keystore, bruk følgende kommando:

    /opt/emc/dpa/services/_jre/bin/keytool -storepasswd -keystore apollo.keystore

11. I utdataene fra denne kommandoen skriver du først inn gjeldende passord for apollo.keystore. Skriv deretter inn det nye passordet for nøkkellageret. Til slutt skriver du inn det nye passordet for nøkkellageret på nytt.

    Enter keystore password:
    New keystore password:
    Re-enter new keystore password:

12. Kontroller at passordet for nøkkellageret er endret som forventet ved igjen å liste opp innholdet i apollo.keystore med følgende kommando. Utdataene skal være identiske med forrige kjøring av kommandoen.

    /opt/emc/dpa/services/_jre/bin/keytool -list -keystore apollo.keystore

13. Deretter endrer du passordene for nøkkelaliasene. Kommandoen for å endre et passord for et enkelt nøkkelalias er nedenfor

    MERK: Igjen må det nye passordet samsvare med det nye passordet for nøkkellageret.
    /opt/emc/dpa/services/_jre/bin/keytool -keypasswd -keystore apollo.keystore -alias apollokey

14. I utdataene fra denne kommandoen skriver man først inn gjeldende passord for apollo.keystore. Deretter er det to mulige utgangsvariasjoner.

    Første variant

    Enter keystore password:
    New key password for <apollokey>:
    Re-enter new key password for <apollokey>:

    Andre variant

    Enter keystore password:
    Enter key password for <apollokey>
    New key password for <apollokey>:
    Re-enter new key password for <apollokey>:

15. I den første varianten skriver du inn det nye passordet for nøkkelaliaset og skriver det inn på nytt. I den andre varianten skriver du først inn det gjeldende passordet for nøkkelaliaset, deretter det nye nøkkelaliaspassordet og skriver det inn på nytt. Vanligvis er det gjeldende passordet for nøkkelaliaset det opprinnelige nøkkellagerets passord. (Standard Apollo.keystore-passord er "Apollo")

16. Denne kommandoen må utføres for alle PrivateKeyEntry key-aliaser i nøkkellageret. I vårt tilfelle betyr dette at kommandoen må kjøres for både apollokey og mykeyalias.

17. Deretter må nøkkelen til aliaspassordinnstillingen endres til det nye passordet i DPA-programmets konfigurasjonsfil "standalone.xml"

18. Rediger standalone.xml filen med et tekstredigeringsprogram, for eksempel "vi" eller "Notisblokk".

19. Bla til følgende linje, som skal være plassert mot slutten av filen. Å utføre et søk eller finne etter "passord" eller "ssl" er en metode for å navigere dit raskt.

    <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo" certificate-key-file="${jboss.server.config.dir}/apollo.keystore" cipher-suite="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA" protocol="TLSv1,TLSv1.1,TLSv1.2" verify-client="false"/>

20. Endre passordet på denne linjen slik at det samsvarer med det nye passordet du har angitt for nøkkellageret og nøkkelaliasene. Hvis for eksempel det nye passordet er "my1Pass00", ser den endrede linjen slik ut:

    <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="my1Pass00" certificate-key-file="${jboss.server.config.dir}/apollo.keystore" cipher-suite="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA" protocol="TLSv1,TLSv1.1,TLSv1.2" verify-client="false"/>

21. Lagre standalone.xml-filen.

22. Start DPA-applikasjonen på nytt.

Kontakt Dells tekniske kundestøtte hvis du vil ha mer informasjon eller hjelp.