DPA: Si desidera modificare la password dell'archivio chiavi dell'applicazione Data Protection Advisor

Vorrei cambiare la password dell'archivio chiavi di Data Protection Advisor (DPA). Si può fare?

In alcuni ambienti, per rispettare i requisiti di sicurezza, potrebbe essere necessario modificare o impostare la password dell'archivio chiavi DPA.

La password per l'archivio chiavi DPA può essere modificata dall'amministratore dell'ambiente e dell'installazione.

Prima di eseguire questa modifica alla configurazione, assicurarsi che tutti i passaggi siano stati esaminati e compresi completamente. L'esecuzione dei passaggi in modo errato (ad esempio, errori di digitazione) può causare una situazione in cui l'applicazione DPA potrebbe non avviarsi o l'interfaccia utente DPA potrebbe non essere accessibile utilizzando una connessione di tipo HTTPS.

Per modificare la password dell'archivio chiavi DPA, gli utenti devono effettuare le seguenti operazioni.

1. Accedere al server applicazioni DPA come root o amministratore

2. Aprire una finestra del prompt dei comandi se il server è basato su Windows.

3. Individuare la directory: /opt/emc/dpa/services/standalone/configuration
   Il percorso può variare se non è stato installato il percorso predefinito.

4. Questa directory dovrebbe contenere i due file seguenti:

   • apollo.keystore
   • standalone.xml

5. Prima di procedere, creare copie di questi due file e salvarli in una posizione sicura.

   NOTA: Se si verificano errori o problemi con l'applicazione DPA dopo questa procedura, è possibile ripristinare i file originali. In questo modo viene ripristinata la configurazione. Se le copie di questi file originali non vengono salvate e vengono commessi errori che causano il mancato avvio dell'applicazione DPA o l'inaccessibilità dell'interfaccia utente DPA tramite HTTPS, non esiste alcun metodo per eseguire il ripristino se non reinstallare l'applicazione DPA.

6. Elencare il contenuto di apollo.keystore con il seguente comando:

   /opt/emc/dpa/services/_jre/bin/keytool -list -keystore apollo.keystore

7. L'output del comando è simile all'output riportato di seguito. Immettere la password apollo.keystore quando richiesto. (la password predefinita di apollo.keystore è "apollo")

   Enter keystore password:
   
   Keystore type: JKS
   Keystore provider: SUN
   Your keystore contains 2 entries
   
   apollokey, Jul 22, 2013, PrivateKeyEntry,
   Certificate fingerprint (SHA1): 22:97:5A:5D:54:6A:55:43:FE:58:0A:74:89:35:01:86:BC:D1:E1:05
   
   mykeyalias, Nov 17, 2018, PrivateKeyEntry,
   Certificate fingerprint (SHA1): DF:7E:C1:F0:75:34:AD:84:D5:58:A7:C4:06:EA:36:64:4C:29:BC:25

8. L'output di questo comando mostra che l'archivio chiavi è attualmente configurato con due (2) alias di chiave PrivateKeyEntry, "apollokey" e "mykeyalias". In genere l'archivio chiavi dispone di una o due di queste voci, ma talvolta potrebbe averne di più. Prendere nota di tutti gli alias di chiave PrivateKeyEntry elencati (i relativi nomi) contenuti nell'archivio chiavi.

9. Per modificare la password di un archivio chiavi, è necessario modificare le password di tutti gli alias di chiave PrivateKeyEntry contenuti nell'archivio chiavi in modo che corrispondano all'archivio chiavi. L'ordine di modifica delle password non è importante. È possibile modificare prima la password dell'archivio chiavi o prima gli alias delle chiavi PrivateKeyEntry.

10. Per modificare la password di apollo.keystore, utilizzare il seguente comando:

    /opt/emc/dpa/services/_jre/bin/keytool -storepasswd -keystore apollo.keystore

11. Nell'output di questo comando, si immette prima la password corrente per apollo.keystore. Immettere quindi la nuova password per l'archivio chiavi. Infine, immettere nuovamente la nuova password per l'archivio chiavi.

    Enter keystore password:
    New keystore password:
    Re-enter new keystore password:

12. Verificare che la password del keystore sia stata modificata come previsto elencando nuovamente il contenuto di apollo.keystore con il seguente comando. L'output deve essere identico all'esecuzione precedente del comando.

    /opt/emc/dpa/services/_jre/bin/keytool -list -keystore apollo.keystore

13. Successivamente, modificare le password per gli alias delle chiavi. Il comando per modificare la password di una singola chiave alias è riportato di seguito

    NOTA: Anche in questo caso, la nuova password deve corrispondere alla nuova password per l'archivio chiavi.
    /opt/emc/dpa/services/_jre/bin/keytool -keypasswd -keystore apollo.keystore -alias apollokey

14. Nell'output di questo comando, si inserisce prima la password corrente per apollo.keystore. Dopodiché ci sono due possibili varianti di uscita.

    Prima variazione

    Enter keystore password:
    New key password for <apollokey>:
    Re-enter new key password for <apollokey>:

    Seconda variante

    Enter keystore password:
    Enter key password for <apollokey>
    New key password for <apollokey>:
    Re-enter new key password for <apollokey>:

15. Nella prima variante, immettere la nuova password chiave-alias e inserirla nuovamente. Nella seconda variante, immettere prima la password corrente dell'alias della chiave, quindi la nuova password dell'alias della chiave e quindi immetterla nuovamente. In genere, la password corrente dell'alias della chiave è la password del keystore originale. (la password predefinita di apollo.keystore è "apollo")

16. Questo comando deve essere eseguito per tutti gli alias di chiave PrivateKeyEntry nell'archivio chiavi. Nel nostro caso, ciò significa che il comando deve essere eseguito sia per apollokey che per mykeyalias.

17. Successivamente, è necessario modificare l'impostazione della password chiave-alias nella nuova password nel file di configurazione "standalone.xml" dell'applicazione DPA.

18. Modificare il file standalone.xml con un editor di testo, ad esempio "vi" o "Blocco note".

19. Individuare la riga seguente, che dovrebbe trovarsi verso la fine del file. Eseguire una ricerca o trovare "password" o "ssl" è un metodo per navigare rapidamente.

    <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo" certificate-key-file="${jboss.server.config.dir}/apollo.keystore" cipher-suite="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA" protocol="TLSv1,TLSv1.1,TLSv1.2" verify-client="false"/>

20. Modificare la password su questa riga in modo che corrisponda alla nuova password impostata per l'archivio chiavi e gli alias delle chiavi. Ad esempio, se la nuova password è "my1Pass00", la riga modificata sarà simile alla seguente:

    <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="my1Pass00" certificate-key-file="${jboss.server.config.dir}/apollo.keystore" cipher-suite="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA" protocol="TLSv1,TLSv1.1,TLSv1.2" verify-client="false"/>

21. Salvare il file standalone.xml.

22. Riavviare l'applicazione DPA.

Per ulteriori informazioni o assistenza, contattare il supporto tecnico Dell.