DPA: Desea cambiar la contraseña del almacén de claves de la aplicación Data Protection Advisor

Me gustaría cambiar la contraseña del almacén de claves de Data Protection Advisor (DPA). ¿Se puede hacer esto?

En algunos entornos, para cumplir con los requisitos de seguridad, es posible que sea necesario modificar o establecer la contraseña del almacén de claves de DPA.

El administrador del entorno y de la instalación puede cambiar la contraseña del almacén de claves de DPA.

Antes de realizar este cambio en la configuración, asegúrese de que todos los pasos se hayan revisado y comprendido por completo. Si realiza los pasos incorrectamente (como errores de escritura), puede producirse una situación en la que es posible que la aplicación DPA no se inicie o que no se pueda acceder a la interfaz de usuario de DPA mediante una conexión de tipo HTTPS.

Para cambiar la contraseña del almacén de claves de DPA, los usuarios deben realizar los siguientes pasos.

1. Inicie sesión en el servidor de aplicaciones de DPA como raíz o administrador

2. Abra una ventana del símbolo del sistema si el servidor está basado en Windows.

3. Navegue hasta el directorio: /opt/emc/dpa/services/standalone/configuration
   La ruta puede variar si no se instaló una en la ruta predeterminada.

4. Este directorio debe contener los siguientes dos archivos:

   • apollo.keystore
   • standalone.xml

5. Antes de continuar, haga copias de estos dos archivos y guárdelas en una ubicación segura.

   NOTA: Si hay errores o problemas con la aplicación DPA después de este procedimiento, los archivos originales se pueden revertir a. Esto restaura la configuración. Si no se guardan copias de estos archivos originales y se cometen errores que provocan que la aplicación DPA no se inicie o que no se pueda acceder a la interfaz de usuario de DPA mediante HTTPS, no hay otro método para recuperarse de esto que no sea una reinstalación de la aplicación DPA.

6. Enumere el contenido de apollo.keystore con el siguiente comando:

   /opt/emc/dpa/services/_jre/bin/keytool -list -keystore apollo.keystore

7. El resultado del comando se ve similar al que aparece a continuación. Ingrese la contraseña de apollo.keystore cuando se le solicite. (La contraseña predeterminada de apollo.keystore es "apollo")

   Enter keystore password:
   
   Keystore type: JKS
   Keystore provider: SUN
   Your keystore contains 2 entries
   
   apollokey, Jul 22, 2013, PrivateKeyEntry,
   Certificate fingerprint (SHA1): 22:97:5A:5D:54:6A:55:43:FE:58:0A:74:89:35:01:86:BC:D1:E1:05
   
   mykeyalias, Nov 17, 2018, PrivateKeyEntry,
   Certificate fingerprint (SHA1): DF:7E:C1:F0:75:34:AD:84:D5:58:A7:C4:06:EA:36:64:4C:29:BC:25

8. El resultado de este comando muestra que el almacén de claves está configurado actualmente con dos (2) alias de clave PrivateKeyEntry, "apollokey" y "mykeyalias". Por lo general, el almacén de claves tiene una o dos de estas entradas, pero a veces podría tener más. Tome nota de todos los alias de clave de PrivateKeyEntry enumerados (sus nombres) que se incluyen en el almacén de claves.

9. Para cambiar la contraseña de un almacén de claves, es necesario que también se cambien las contraseñas de todos los alias de claves PrivateKeyEntry contenidos en el almacén de claves para que coincidan con el almacén de claves. El orden de cambio de las contraseñas no es importante. Puede cambiar primero la contraseña del almacén de claves o los alias de clave PrivateKeyEntry primero.

10. Para cambiar la contraseña de apollo.keystore, utilice el siguiente comando:

    /opt/emc/dpa/services/_jre/bin/keytool -storepasswd -keystore apollo.keystore

11. En el resultado de este comando, primero ingrese la contraseña actual para apollo.keystore. A continuación, ingrese la nueva contraseña para el almacenamiento de claves. Por último, vuelva a ingresar la nueva contraseña para el almacenamiento de claves.

    Enter keystore password:
    New keystore password:
    Re-enter new keystore password:

12. Verifique que la contraseña del almacén de claves haya cambiado según lo previsto enumerando nuevamente el contenido del almacén apollo.keystore con el siguiente comando. El resultado debe ser idéntico a la ejecución anterior del comando.

    /opt/emc/dpa/services/_jre/bin/keytool -list -keystore apollo.keystore

13. A continuación, cambie las contraseñas de los alias de clave. A continuación, se muestra el comando para cambiar una contraseña de alias de clave única

    NOTA: Una vez más, la contraseña nueva debe coincidir con la contraseña nueva para el almacenamiento de claves.
    /opt/emc/dpa/services/_jre/bin/keytool -keypasswd -keystore apollo.keystore -alias apollokey

14. En el resultado de este comando, primero se ingresa la contraseña actual para apollo.keystore. Luego, después de eso, hay dos variaciones de salida posibles.

    Primera variación

    Enter keystore password:
    New key password for <apollokey>:
    Re-enter new key password for <apollokey>:

    Segunda variación

    Enter keystore password:
    Enter key password for <apollokey>
    New key password for <apollokey>:
    Re-enter new key password for <apollokey>:

15. En la primera variación, introduzca la nueva contraseña de alias de clave y vuelva a introducirla. En la segunda variación, ingrese primero la contraseña de alias de clave actual, luego la nueva contraseña de alias de clave y, a continuación, vuelva a ingresarla. Por lo general, la contraseña de alias de clave actual es la contraseña del almacén de claves original. (La contraseña predeterminada de apollo.keystore es "apollo")

16. Este comando se debe ejecutar para todos los alias de clave PrivateKeyEntry del almacén de claves. En nuestro caso, esto significa que el comando se debe ejecutar tanto para apollokey como para mykeyalias.

17. A continuación, se debe cambiar la configuración de la contraseña del alias de clave por la nueva contraseña en el archivo de configuración "standalone.xml" de la aplicación DPA.

18. Edite el archivo standalone.xml con un editor de texto como "vi" o "Bloc de notas".

19. Navegue hasta la siguiente línea, que debe ubicarse hacia el final del archivo. Realizar una búsqueda de "contraseña" o "ssl" es un método para navegar allí rápidamente.

    <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo" certificate-key-file="${jboss.server.config.dir}/apollo.keystore" cipher-suite="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA" protocol="TLSv1,TLSv1.1,TLSv1.2" verify-client="false"/>

20. Modifique la contraseña en esta línea para que coincida con la nueva contraseña que configuró para el almacenamiento de claves y los alias de clave. Por ejemplo, si la nueva contraseña es "my1Pass00", la línea modificada tiene el siguiente aspecto:

    <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="my1Pass00" certificate-key-file="${jboss.server.config.dir}/apollo.keystore" cipher-suite="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA" protocol="TLSv1,TLSv1.1,TLSv1.2" verify-client="false"/>

21. Guarde el archivo standalone.xml.

22. Reinicie la aplicación DPA.

Comuníquese con el soporte técnico de Dell para obtener más información o asistencia.