DPA：想要變更 Data Protection Advisor 應用程式金鑰存放區密碼

我想要變更 Data Protection Advisor （DPA） 金鑰存放區密碼。這能做到嗎？

在某些環境中，若要遵循安全性要求，可能需要修改或設定 DPA 金鑰存放區的密碼。

DPA 金鑰存放區的密碼可由環境與安裝的系統管理員變更。

在執行此配置更改之前，請確保已查看並完全理解所有步驟。不當執行步驟 （例如輸入錯誤），可能會導致 DPA 應用程式無法啟動，或無法使用 HTTPS 類型連線存取 DPA UI。

若要變更 DPA 金鑰存放區的密碼，使用者應執行下列步驟。

1. 以 root 或系統管理員身分登入 DPA 應用程式伺服器

2. 如果伺服器是以 Windows 為基礎，請開啟命令提示字元視窗。

3. 瀏覽至目錄：/opt/emc/dpa/services/standalone/configuration
   如果尚未安裝至預設路徑，路徑可能會有所不同。

4. 此目錄應包含以下兩個檔案：

   • Apollo.Keystore
   • standalone.xml

5. 在繼續之前，請複製這兩個檔並將其保存到安全的位置。

   注意：如果在此程序之後，DPA 應用程式有任何錯誤或問題，則可將原始檔案還原。這將恢復配置。如果未儲存這些原始檔案的副本，並發生錯誤，導致 DPA 應用程式無法啟動或無法使用 HTTPS 存取 DPA UI，則除了重新安裝 DPA 應用程式外，沒有其他方法可以從中復原。

6. 使用下列命令列出 apollo.keystore 的內容：

   /opt/emc/dpa/services/_jre/bin/keytool -list -keystore apollo.keystore

7. 命令的輸出結果與以下輸出類似。出現提示時，輸入 apollo.keystore 密碼。（預設的 apollo.keystore 密碼為「Apollo」）

   Enter keystore password:
   
   Keystore type: JKS
   Keystore provider: SUN
   Your keystore contains 2 entries
   
   apollokey, Jul 22, 2013, PrivateKeyEntry,
   Certificate fingerprint (SHA1): 22:97:5A:5D:54:6A:55:43:FE:58:0A:74:89:35:01:86:BC:D1:E1:05
   
   mykeyalias, Nov 17, 2018, PrivateKeyEntry,
   Certificate fingerprint (SHA1): DF:7E:C1:F0:75:34:AD:84:D5:58:A7:C4:06:EA:36:64:4C:29:BC:25

8. 此命令的輸出顯示金鑰存放區目前設定了兩 （2） 個 PrivateKeyEntry 金鑰別名，「apollokey」和「mykeyalias」。通常，金鑰庫有一個或兩個這樣的條目，但有時可能有更多。記下金鑰庫中包含的所有列出的 PrivateKeyEntry 金鑰別名（其名稱）。

9. 要更改金鑰庫的密碼，它要求金鑰庫中包含的所有 PrivateKeyEntry 金鑰別名也更改其密碼以匹配金鑰庫。更改密碼的順序並不重要。您可以先更改金鑰庫密碼，也可以先更改 PrivateKeyEntry 金鑰別名。

10. 若要變更 apollo.keystore 的密碼，請使用下列命令：

    /opt/emc/dpa/services/_jre/bin/keytool -storepasswd -keystore apollo.keystore

11. 在此命令的輸出中，首先輸入 apollo.keystore 的目前密碼。然後輸入金鑰庫的新密碼。最後重新輸入金鑰存放區的新密碼

    Enter keystore password:
    New keystore password:
    Re-enter new keystore password:

12. 使用下列命令再次列出 apollo.keystore 的內容，確認金鑰存放區密碼是否如預期變更。輸出結果應與先前執行的命令相同。

    /opt/emc/dpa/services/_jre/bin/keytool -list -keystore apollo.keystore

13. 接下來，更改金鑰別名的密碼。變更單一金鑰別名密碼的命令如下

    注意：同樣，新密碼必須與金鑰庫的新密碼匹配。
    /opt/emc/dpa/services/_jre/bin/keytool -keypasswd -keystore apollo.keystore -alias apollokey

14. 在此命令的輸出中，首先輸入 apollo.keystore 的目前密碼。然後有兩種可能的輸出變化。

    第一個變體

    Enter keystore password:
    New key password for <apollokey>:
    Re-enter new key password for <apollokey>:

    第二種變化

    Enter keystore password:
    Enter key password for <apollokey>
    New key password for <apollokey>:
    Re-enter new key password for <apollokey>:

15. 在第一個變體中，輸入新的金鑰別名密碼，然後再次重新輸入。在第二種變體中，首先輸入當前密鑰別名密碼，然後輸入新的密鑰別名密碼，然後再次重新輸入。通常，當前金鑰別名密碼是原始金鑰庫的密碼。（預設的 apollo.keystore 密碼為「Apollo」）

16. 必須針對金鑰存放區中的所有 PrivateKeyEntry 金鑰別名執行此命令。在我們的案例中，這意味著必須針對 apollokey 和 mykeyalias 執行命令。

17. 接下來，金鑰別名密碼設定必須變更為 DPA 應用程式組態檔案「standalone.xml」中的新密碼

18. 使用文字編輯器（如“vi”或“記事本”）編輯standalone.xml檔。

19. 流覽到下行，該行應位於檔末尾。執行搜尋或尋找「密碼」或「ssl」是快速瀏覽至該處的一種方法。

    <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo" certificate-key-file="${jboss.server.config.dir}/apollo.keystore" cipher-suite="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA" protocol="TLSv1,TLSv1.1,TLSv1.2" verify-client="false"/>

20. 修改此行上的密碼，以匹配您為金鑰庫和金鑰別名設置的新密碼。例如，如果新密碼是「my1Pass00」，則修改後的行如下所示：

    <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="my1Pass00" certificate-key-file="${jboss.server.config.dir}/apollo.keystore" cipher-suite="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA" protocol="TLSv1,TLSv1.1,TLSv1.2" verify-client="false"/>

21. 儲存standalone.xml檔案。

22. 重新啟動 DPA 應用程式。

如需更多資訊或協助，請聯絡 Dell 技術支援部門。