DPA:想要更改 Data Protection Advisor 应用程序密钥库密码
Summary: 想要更改 Data Protection Advisor (DPA) 应用程序密钥库密码。
Symptoms
我想更改 Data Protection Advisor (DPA) 密钥库密码。这能做到吗?
在某些环境中,为了遵守安全要求,可能需要修改或设置 DPA 密钥库的密码。
Cause
环境和安装的管理员可以更改 DPA 密钥库的密码。
Resolution
在执行此配置更改之前,请确保已完整查看和理解所有步骤。错误地执行步骤(例如键入错误)可能会导致 DPA 应用程序可能无法启动或使用 HTTPS 类型的连接访问 DPA UI。
要更改 DPA 密钥库的密码,用户应执行以下步骤。
-
以根用户或管理员身份登录 DPA 应用程序服务器
-
如果服务器基于 Windows,请打开命令提示符窗口。
-
浏览至目录:/opt/emc/dpa/services/standalone/configuration
如果尚未安装到默认路径,路径可能会有所不同。 -
此目录应包含以下两个文件:
- apollo.keystore
- standalone.xml
-
在继续作之前,请复制这两个文件并将其保存到安全位置。
提醒:如果在此过程之后 DPA 应用程序出现任何错误或问题,则可以恢复到原始文件。这将还原配置。如果未保存这些原始文件的拷贝,并且所犯错误导致 DPA 应用程序无法启动或使用 HTTPS 无法访问 DPA UI,则除了重新安装 DPA 应用程序之外,没有其他方法可以从中恢复。 -
使用以下命令列出 apollo.keystore 的内容:
/opt/emc/dpa/services/_jre/bin/keytool -list -keystore apollo.keystore
-
该命令的输出类似于下面的输出。出现提示时,输入 apollo.keystore 密码。(默认 apollo.keystore 密码为“apollo”)
Enter keystore password: Keystore type: JKS Keystore provider: SUN Your keystore contains 2 entries apollokey, Jul 22, 2013, PrivateKeyEntry, Certificate fingerprint (SHA1): 22:97:5A:5D:54:6A:55:43:FE:58:0A:74:89:35:01:86:BC:D1:E1:05 mykeyalias, Nov 17, 2018, PrivateKeyEntry, Certificate fingerprint (SHA1): DF:7E:C1:F0:75:34:AD:84:D5:58:A7:C4:06:EA:36:64:4C:29:BC:25
-
此命令的输出显示,密钥库当前配置有两 (2) 个 PrivateKeyEntry 密钥别名,即“apollokey”和“mykeyalias”。通常,密钥库只有一个或两个这样的条目,但有时可能有更多。记下密钥库中包含的所有列出的 PrivateKeyEntry 密钥别名(其名称)。
-
要更改密钥库的密码,它要求密钥库中包含的所有 PrivateKeyEntry 密钥别名也更改其密码以匹配密钥库。更改密码的顺序并不重要。您可以先更改密钥库密码,也可以先更改 PrivateKeyEntry 密钥别名。
-
要更改 apollo.keystore 的密码,请使用以下命令:
/opt/emc/dpa/services/_jre/bin/keytool -storepasswd -keystore apollo.keystore
-
在此命令的输出中,首先输入 apollo.keystore 的当前密码。然后输入密钥库的新密码。最后,重新输入密钥库的新密码。
Enter keystore password: New keystore password: Re-enter new keystore password:
-
使用以下命令再次列出 apollo.keystore 的内容,验证密钥库密码是否已按预期更改。输出应与上一次运行命令相同。
/opt/emc/dpa/services/_jre/bin/keytool -list -keystore apollo.keystore
-
接下来,更改密钥别名的密码。用于更改单个密钥别名密码的命令如下
提醒:同样,新密码必须与密钥库的新密码匹配。/opt/emc/dpa/services/_jre/bin/keytool -keypasswd -keystore apollo.keystore -alias apollokey -
在此命令的输出中,首先输入 apollo.keystore 的当前密码。然后,有两种可能的输出变体。
第一种变体
Enter keystore password: New key password for <apollokey>: Re-enter new key password for <apollokey>:
第二种变化
Enter keystore password: Enter key password for <apollokey> New key password for <apollokey>: Re-enter new key password for <apollokey>:
-
在第一个变体中,输入新的密钥别名密码,然后重新输入。在第二个变体中,首先输入当前密钥别名密码,然后输入新的密钥别名密码,然后再次重新输入。通常,当前密钥别名密码是原始密钥库的密码。(默认 apollo.keystore 密码为“apollo”)
-
必须对密钥库中的所有 PrivateKeyEntry 密钥别名执行此命令。在我们的例子中,这意味着必须为 apollokey 和 mykeyalias 运行该命令。
-
接下来,必须将密钥别名密码设置更改为 DPA 应用程序配置文件“standalone.xml”中的新密码
-
使用文本编辑器(如“vi”或“记事本”)编辑standalone.xml文件。
-
浏览到以下行,该行应位于文件末尾处。搜索或查找“password”或“ssl”是一种快速导航的方法。
<ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo" certificate-key-file="${jboss.server.config.dir}/apollo.keystore" cipher-suite="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA" protocol="TLSv1,TLSv1.1,TLSv1.2" verify-client="false"/> -
修改此行上的密码,以匹配为密钥库和密钥别名设置的新密码。例如,如果新密码是“my1Pass00”,则修改后的行如下所示:
<ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="my1Pass00" certificate-key-file="${jboss.server.config.dir}/apollo.keystore" cipher-suite="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA" protocol="TLSv1,TLSv1.1,TLSv1.2" verify-client="false"/> -
保存 standalone.xml 文件。
-
重新启动 DPA 应用程序。
有关更多信息或帮助,请联系戴尔技术支持。