DPA: Deseja alterar a senha do keystore do aplicativo Data Protection Advisor

Gostaria de alterar a senha do repositório de chaves do Data Protection Advisor (DPA). Isso pode ser feito?

Em alguns ambientes, para cumprir os requisitos de segurança, pode ser necessário modificar ou definir a senha do repositório de chaves do DPA.

A senha do keystore do DPA pode ser alterada pelo administrador do ambiente e da instalação.

Antes de realizar essa alteração de configuração, verifique se todas as etapas foram revisadas e compreendidas completamente. Executar as etapas incorretamente (como erros de digitação) pode resultar em uma situação em que o aplicativo DPA pode não iniciar ou a interface do usuário do DPA fica inacessível usando uma conexão do tipo HTTPS.

Para alterar a senha do keystore do DPA, os usuários devem executar as etapas a seguir.

1. Faça log-in no servidor de aplicativos do DPA como root ou administrador

2. Abra uma janela do prompt de comando se o servidor for baseado no Windows.

3. Navegue até o diretório: /opt/emc/dpa/services/standalone/configuration
   O caminho pode variar se um não tiver instalado no caminho padrão.

4. Esse diretório deve conter os dois arquivos a seguir:

   • apollo.keystore
   • standalone.xml

5. Antes de prosseguir, faça cópias desses dois arquivos e salve-os em um local seguro.

   Nota: Se houver erros ou problemas com o aplicativo DPA após esse procedimento, os arquivos originais poderão ser revertidos para. Isso restaura a configuração. Se cópias desses arquivos originais não forem salvas e forem cometidos erros que levem ao não início do aplicativo DPA ou à inacessibilidade da interface do usuário do DPA por HTTPS, não há outro método para se recuperar a partir disso além de uma reinstalação do aplicativo DPA.

6. Liste o conteúdo do apollo.keystore com o seguinte comando:

   /opt/emc/dpa/services/_jre/bin/keytool -list -keystore apollo.keystore

7. O resultado do comando é semelhante ao resultado abaixo. Digite a senha apollo.keystore quando solicitado. (a senha padrão apollo.keystore é "apollo")

   Enter keystore password:
   
   Keystore type: JKS
   Keystore provider: SUN
   Your keystore contains 2 entries
   
   apollokey, Jul 22, 2013, PrivateKeyEntry,
   Certificate fingerprint (SHA1): 22:97:5A:5D:54:6A:55:43:FE:58:0A:74:89:35:01:86:BC:D1:E1:05
   
   mykeyalias, Nov 17, 2018, PrivateKeyEntry,
   Certificate fingerprint (SHA1): DF:7E:C1:F0:75:34:AD:84:D5:58:A7:C4:06:EA:36:64:4C:29:BC:25

8. O resultado desse comando mostra que o keystore está configurado atualmente com dois (2) aliases de chave PrivateKeyEntry, "apollokey" e "mykeyalias". Normalmente, o keystore tem uma ou duas dessas entradas, mas pode ter mais vezes. Anote todos os aliases de chave PrivateKeyEntry listados (seus nomes) contidos no keystore.

9. Para alterar a senha de um keystore, é necessário que todos os aliases de chaves PrivateKeyEntry contidos no keystore também tenham suas senhas alteradas para corresponder ao keystore. A ordem de alteração das senhas não é importante. Você pode alterar a senha do keystore primeiro ou os aliases das chaves PrivateKeyEntry primeiro.

10. Para alterar a senha do apollo.keystore, use o seguinte comando:

    /opt/emc/dpa/services/_jre/bin/keytool -storepasswd -keystore apollo.keystore

11. Na saída desse comando, você primeiro digita a senha atual do apollo.keystore. Em seguida, digite a nova senha para o keystore. Por fim, digite novamente a nova senha do keystore.

    Enter keystore password:
    New keystore password:
    Re-enter new keystore password:

12. Verifique se a senha do keystore foi alterada conforme o esperado, listando novamente o conteúdo do apollo.keystore com o seguinte comando. A saída deve ser idêntica à execução anterior do comando.

    /opt/emc/dpa/services/_jre/bin/keytool -list -keystore apollo.keystore

13. Em seguida, altere as senhas dos aliases das chaves. O comando para alterar a senha de um alias de chave única está abaixo

    Nota: Novamente, a nova senha deve corresponder à nova senha do keystore.
    /opt/emc/dpa/services/_jre/bin/keytool -keypasswd -keystore apollo.keystore -alias apollokey

14. Na saída deste comando, primeiro se insere a senha atual para o apollo.keystore. Depois disso, há duas variações de saída possíveis.

    Primeira variação

    Enter keystore password:
    New key password for <apollokey>:
    Re-enter new key password for <apollokey>:

    Segunda variação

    Enter keystore password:
    Enter key password for <apollokey>
    New key password for <apollokey>:
    Re-enter new key password for <apollokey>:

15. Na primeira variação, digite a nova senha do alias da chave e digite-a novamente. Na segunda variação, primeiro digite a senha atual do alias da chave, depois a nova senha do alias da chave e, em seguida, digite-a novamente. Normalmente, a senha atual do alias da chave é a senha do keystore original. (a senha padrão apollo.keystore é "apollo")

16. Esse comando deve ser executado para todos os aliases de chave PrivateKeyEntry no keystore. No nosso caso, isso significa que o comando deve ser executado para apollokey e mykeyalias.

17. Em seguida, a configuração de senha de alias de chave deve ser alterada para a nova senha no arquivo de configuração "standalone.xml" do aplicativo DPA

18. Edite o arquivo standalone.xml com um editor de texto, como "vi" ou "Bloco de notas".

19. Navegue até a linha a seguir, que deve estar localizada no final do arquivo. Realizar uma pesquisa ou localizar por "senha" ou "ssl" é um método para navegar por lá rapidamente.

    <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo" certificate-key-file="${jboss.server.config.dir}/apollo.keystore" cipher-suite="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA" protocol="TLSv1,TLSv1.1,TLSv1.2" verify-client="false"/>

20. Modifique a senha nesta linha para corresponder à nova senha que você definiu para o keystore e os aliases das chaves. Por exemplo, se a nova senha for "my1Pass00", a linha modificada terá a seguinte aparência:

    <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="my1Pass00" certificate-key-file="${jboss.server.config.dir}/apollo.keystore" cipher-suite="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA" protocol="TLSv1,TLSv1.1,TLSv1.2" verify-client="false"/>

21. Salve o standalone.xml arquivo.

22. Reinicie o aplicativo DPA.

Entre em contato com o suporte técnico da Dell para obter mais informações ou assistência.