DPA: Chcesz zmienić hasło magazynu kluczy aplikacji Data Protection Advisor

Chcę zmienić hasło do magazynu kluczy Data Protection Advisor (DPA). Czy da się to zrobić?

W niektórych środowiskach, w celu spełnienia wymagań bezpieczeństwa, może być wymagana modyfikacja lub ustawienie hasła magazynu kluczy DPA.

Hasło do magazynu kluczy DPA może zostać zmienione przez administratora środowiska i instalacji.

Przed wykonaniem tej zmiany konfiguracji upewnij się, że wszystkie kroki zostały sprawdzone i w pełni zrozumiałe. Nieprawidłowe wykonanie czynności (np. błędy w pisowni) może spowodować sytuację, w której aplikacja DPA może się nie uruchomić lub interfejs użytkownika DPA jest niedostępny przy użyciu połączenia typu HTTPS.

Aby zmienić hasło magazynu kluczy DPA, użytkownicy powinni wykonać następujące czynności.

1. Zaloguj się do serwera aplikacji DPA jako użytkownik root lub administrator

2. Otwórz okno wiersza polecenia, jeśli serwer jest oparty na systemie Windows.

3. Przejdź do katalogu: /opt/emc/dpa/services/standalone/configuration
   Ścieżka może się różnić, jeśli nie zainstalowano ścieżki domyślnej.

4. Katalog ten powinien zawierać następujące dwa pliki:

   • apollo.keystore
   • standalone.xml

5. Zanim przejdziesz dalej, wykonaj kopie tych dwóch plików i zapisz je w bezpiecznej lokalizacji.

   UWAGA: Jeśli po wykonaniu tej procedury wystąpią jakiekolwiek błędy lub problemy z aplikacją DPA, można przywrócić oryginalne pliki. Spowoduje to przywrócenie konfiguracji. Jeśli kopie tych oryginalnych plików nie zostaną zapisane i zostaną popełnione błędy, które spowodują, że aplikacja DPA nie uruchomi się lub interfejs użytkownika DPA będzie niedostępny przy użyciu protokołu HTTPS, nie będzie innej metody odzyskania danych niż ponowna instalacja aplikacji DPA.

6. Wyświetl zawartość apollo.keystore za pomocą następującego polecenia:

   /opt/emc/dpa/services/_jre/bin/keytool -list -keystore apollo.keystore

7. Dane wyjściowe polecenia wyglądają podobnie do poniższych. Po wyświetleniu monitu wprowadź hasło apollo.keystore. (Domyślne hasło apollo.keystore to "Apollo")

   Enter keystore password:
   
   Keystore type: JKS
   Keystore provider: SUN
   Your keystore contains 2 entries
   
   apollokey, Jul 22, 2013, PrivateKeyEntry,
   Certificate fingerprint (SHA1): 22:97:5A:5D:54:6A:55:43:FE:58:0A:74:89:35:01:86:BC:D1:E1:05
   
   mykeyalias, Nov 17, 2018, PrivateKeyEntry,
   Certificate fingerprint (SHA1): DF:7E:C1:F0:75:34:AD:84:D5:58:A7:C4:06:EA:36:64:4C:29:BC:25

8. Dane wyjściowe tego polecenia pokazują, że magazyn kluczy jest obecnie skonfigurowany z dwoma (2) aliasami kluczy PrivateKeyEntry: "apollokey" i "mykeyalias". Zazwyczaj magazyn kluczy zawiera jeden lub dwa z tych wpisów, ale czasami może zawierać więcej. Zwróć uwagę na wszystkie wymienione aliasy kluczy PrivateKeyEntry (ich nazwy), które znajdują się w magazynie kluczy.

9. Aby zmienić hasło magazynu kluczy, wymagane jest, aby wszystkie aliasy kluczy PrivateKeyEntry zawarte w magazynie kluczy również miały zmienione hasła w celu dopasowania do magazynu kluczy. Kolejność zmiany haseł nie jest ważna. Najpierw możesz zmienić hasło magazynu kluczy lub aliasy kluczy PrivateKeyEntry.

10. Aby zmienić hasło do apollo.keystore, użyj następującego polecenia:

    /opt/emc/dpa/services/_jre/bin/keytool -storepasswd -keystore apollo.keystore

11. W wyniku tego polecenia należy najpierw wprowadzić bieżące hasło do apollo.keystore. Następnie wprowadź nowe hasło do magazynu kluczy. Na koniec wprowadź ponownie nowe hasło do magazynu kluczy.

    Enter keystore password:
    New keystore password:
    Re-enter new keystore password:

12. Sprawdź, czy hasło magazynu kluczy zmieniło się zgodnie z oczekiwaniami, ponownie wyświetlając zawartość apollo.keystore za pomocą następującego polecenia. Dane wyjściowe powinny być identyczne jak w poprzednim uruchomieniu polecenia.

    /opt/emc/dpa/services/_jre/bin/keytool -list -keystore apollo.keystore

13. Następnie zmień hasła dla aliasów kluczy. Poniżej znajduje się polecenie zmiany hasła pojedynczego aliasu klucza

    UWAGA: Nowe hasło musi być zgodne z nowym hasłem magazynu kluczy.
    /opt/emc/dpa/services/_jre/bin/keytool -keypasswd -keystore apollo.keystore -alias apollokey

14. W wyniku tego polecenia należy najpierw wprowadzić bieżące hasło do apollo.keystore. Następnie istnieją dwa możliwe warianty wyjściowe.

    Pierwsza odmiana

    Enter keystore password:
    New key password for <apollokey>:
    Re-enter new key password for <apollokey>:

    Druga odmiana

    Enter keystore password:
    Enter key password for <apollokey>
    New key password for <apollokey>:
    Re-enter new key password for <apollokey>:

15. W pierwszym wariancie wprowadź nowe hasło aliasu klucza i wprowadź je ponownie. W drugim wariancie najpierw wprowadź bieżące hasło aliasu klucza, a następnie nowe hasło aliasu klucza, a następnie wprowadź je ponownie. Zazwyczaj bieżące hasło aliasu klucza jest hasłem oryginalnego magazynu kluczy. (Domyślne hasło apollo.keystore to "Apollo")

16. To polecenie należy wykonać dla wszystkich aliasów kluczy PrivateKeyEntry w magazynie kluczy. W naszym przypadku oznacza to, że polecenie musi zostać uruchomione zarówno dla apollokey, jak i mykeyalias.

17. Następnie należy zmienić ustawienie hasła aliasu klucza na nowe hasło w pliku konfiguracyjnym aplikacji DPA "standalone.xml"

18. Edytuj plik standalone.xml za pomocą edytora tekstu, takiego jak "vi" lub "Notatnik".

19. Przejdź do następnego wiersza, który powinien znajdować się na końcu pliku. Jedną z metod szybkiego przechodzenia do nich jest wyszukiwanie hasła "password" lub "ssl".

    <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo" certificate-key-file="${jboss.server.config.dir}/apollo.keystore" cipher-suite="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA" protocol="TLSv1,TLSv1.1,TLSv1.2" verify-client="false"/>

20. Zmodyfikuj hasło w tym wierszu, aby odpowiadało nowemu hasłu ustawionemu dla magazynu kluczy i aliasów kluczy. Na przykład, jeśli nowe hasło to "my1Pass00", zmodyfikowany wiersz wygląda następująco:

    <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="my1Pass00" certificate-key-file="${jboss.server.config.dir}/apollo.keystore" cipher-suite="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA" protocol="TLSv1,TLSv1.1,TLSv1.2" verify-client="false"/>

21. Zapisz plik standalone.xml.

22. Uruchom ponownie aplikację DPA.

Skontaktuj się z działem pomocy technicznej firmy Dell, aby uzyskać dalsze informacje lub pomoc.