DPA. Требуется изменить пароль хранилища ключей приложения Data Protection Advisor

Я хочу изменить пароль хранилища ключей Data Protection Advisor (DPA). Можно ли это сделать?

В некоторых средах для соблюдения требований безопасности может потребоваться изменить или задать пароль хранилища ключей DPA.

Пароль для хранилища ключей DPA может быть изменен администратором среды и установки.

Прежде чем вносить изменения в конфигурацию, убедитесь, что все шаги проверены и поняты. Неправильное выполнение этих действий (например, из-за опечаток) может привести к тому, что приложение DPA может не запуститься или пользовательский интерфейс DPA будет недоступен при использовании подключения типа HTTPS.

Чтобы изменить пароль хранилища ключей DPA, пользователям необходимо выполнить следующие действия.

1. Войдите на сервер приложений DPA в качестве пользователя root или администратора.

2. Откройте окно командной строки, если сервер работает под управлением Windows.

3. Перейдите в каталог: /opt/emc/dpa/services/standalone/configuration
   Путь может отличаться, если не установлен путь по умолчанию.

4. Этот каталог должен содержать следующие два файла:

   • Хранилище ключей Apollo.keystore
   • standalone.xml

5. Прежде чем продолжить, сделайте копии этих двух файлов и сохраните их в безопасном месте.

   ПРИМЕЧАНИЕ. Если после этой процедуры в приложении DPA возникнут какие-либо ошибки или проблемы, можно вернуться к исходным файлам. Это восстановит конфигурацию. Если копии этих исходных файлов не сохраняются и допускаются ошибки, которые приводят к тому, что приложение DPA не запускается или пользовательский интерфейс DPA становится недоступным по протоколу HTTPS, восстановить приложение DPA можно только повторной установкой.

6. Перечислите содержимое хранилища ключей apollo.keystore с помощью следующей команды:

   /opt/emc/dpa/services/_jre/bin/keytool -list -keystore apollo.keystore

7. Выходные данные команды выглядят так, как показано ниже. Введите пароль apollo.keystore при появлении соответствующего запроса. (пароль по умолчанию для Apollo.keystore: «Apollo»)

   Enter keystore password:
   
   Keystore type: JKS
   Keystore provider: SUN
   Your keystore contains 2 entries
   
   apollokey, Jul 22, 2013, PrivateKeyEntry,
   Certificate fingerprint (SHA1): 22:97:5A:5D:54:6A:55:43:FE:58:0A:74:89:35:01:86:BC:D1:E1:05
   
   mykeyalias, Nov 17, 2018, PrivateKeyEntry,
   Certificate fingerprint (SHA1): DF:7E:C1:F0:75:34:AD:84:D5:58:A7:C4:06:EA:36:64:4C:29:BC:25

8. Выходные данные этой команды показывают, что хранилище ключей в настоящее время настроено с двумя (2) псевдонимами ключей PrivateKeyEntry: «apollokey» и «mykeyalias». Обычно в хранилище ключей есть одна или две из этих записей, но иногда их может быть больше. Обратите внимание на все перечисленные псевдонимы ключей PrivateKeyEntry (их имена), содержащиеся в хранилище ключей.

9. Чтобы изменить пароль для хранилища ключей, необходимо, чтобы все псевдонимы ключей PrivateKeyEntry, содержащиеся в хранилище ключей, также были изменены в соответствии с хранилищем ключей. Порядок смены паролей не важен. Можно сначала изменить пароль хранилища ключей или псевдонимы ключей PrivateKeyEntry.

10. Чтобы изменить пароль для apollo.keystore, используйте следующую команду:

    /opt/emc/dpa/services/_jre/bin/keytool -storepasswd -keystore apollo.keystore

11. В выходных данных этой команды сначала вводится текущий пароль для хранилища ключей apollo.keystore. Затем введите новый пароль для хранилища ключей. Наконец, повторно введите новый пароль для хранилища ключей.

    Enter keystore password:
    New keystore password:
    Re-enter new keystore password:

12. Убедитесь, что пароль хранилища ключей изменился должным образом, повторно выведя список содержимого apollo.keystore с помощью следующей команды. Выходные данные должны совпадать с предыдущим выполнением команды.

    /opt/emc/dpa/services/_jre/bin/keytool -list -keystore apollo.keystore

13. Затем измените пароли для псевдонимов ключей. Ниже приведена команда для изменения пароля псевдонима одного ключа

    ПРИМЕЧАНИЕ. Новый пароль снова должен совпадать с новым паролем для хранилища ключей.
    /opt/emc/dpa/services/_jre/bin/keytool -keypasswd -keystore apollo.keystore -alias apollokey

14. В выходных данных этой команды сначала вводится текущий пароль для apollo.keystore. После этого возможны два варианта вывода.

    Первый вариант

    Enter keystore password:
    New key password for <apollokey>:
    Re-enter new key password for <apollokey>:

    Вторая вариация

    Enter keystore password:
    Enter key password for <apollokey>
    New key password for <apollokey>:
    Re-enter new key password for <apollokey>:

15. В первом варианте введите новый пароль псевдонима ключа и введите его еще раз. Во втором варианте сначала введите текущий пароль псевдонима ключа, затем новый пароль псевдонима ключа, а затем снова введите его. Как правило, текущий пароль псевдонима ключа является исходным паролем хранилища ключей. (пароль по умолчанию для Apollo.keystore: «Apollo»)

16. Эта команда должна быть выполнена для всех псевдонимов ключей PrivateKeyEntry в хранилище ключей. В нашем случае это означает, что команда должна быть выполнена как для apollokey, так и для mykeyalias.

17. Затем настройку пароля псевдонима ключа необходимо изменить на новый пароль в конфигурационном файле приложения DPA «standalone.xml».

18. Отредактируйте файл standalone.xml с помощью текстового редактора, например «vi» или «Блокнот».

19. Перейдите к следующей строке, которая должна быть расположена ближе к концу файла. Выполнить поиск по слову «password» или «ssl» — один из способов быстрой навигации.

    <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo" certificate-key-file="${jboss.server.config.dir}/apollo.keystore" cipher-suite="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA" protocol="TLSv1,TLSv1.1,TLSv1.2" verify-client="false"/>

20. Измените пароль в этой строке, чтобы он соответствовал новому паролю, который вы установили для хранилища ключей и псевдонимов ключей. Например, если новый пароль — «my1Pass00», то измененная строка выглядит следующим образом:

    <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="my1Pass00" certificate-key-file="${jboss.server.config.dir}/apollo.keystore" cipher-suite="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA" protocol="TLSv1,TLSv1.1,TLSv1.2" verify-client="false"/>

21. Сохраните файл standalone.xml.

22. Перезапустите приложение DPA.

Обратитесь в службу технической поддержки Dell для получения дополнительной информации или помощи.