DPA: Vill ändra lösenordet för Data Protection Advisor-programmets nyckelbehållare

Jag skulle vilja ändra lösenordet för Data Protection Advisor (DPA) till nyckelbehållaren. Är det möjligt?

I vissa miljöer kan det vara nödvändigt att ändra eller ställa in lösenordet för DPA-nyckelbehållaren för att följa säkerhetskraven.

Lösenordet för DPA-nyckelbehållaren kan ändras av administratören för miljön och installationen.

Innan du utför den här konfigurationsändringen bör du se till att alla steg har granskats och förståtts fullständigt. Om du utför stegen felaktigt (t.ex. skrivfel) kan det leda till en situation där DPA-programmet kanske inte startar eller DPA-användargränssnittet inte är tillgängligt med hjälp av en HTTPS-typanslutning.

Om du vill ändra lösenordet för DPA-nyckelbehållaren bör användarna utföra följande steg.

1. Logga in på DPA-programservern som rotanvändare eller administratör

2. Öppna ett kommandotolksfönster om servern är Windows-baserad.

3. Bläddra till katalogen: /opt/emc/dpa/services/standalone/configuration
   Sökvägen kan variera om man inte har installerat standardsökvägen.

4. Den här katalogen ska innehålla följande två filer:

   • apollo.keystore
   • standalone.xml

5. Innan du fortsätter ska du göra kopior av de här två filerna och spara dem på en säker plats.

   Obs! Om det finns några misstag eller problem med DPA-programmet efter denna procedur kan originalfilerna återställas till. Detta återställer konfigurationen. Om kopior av dessa originalfiler inte sparas och misstag görs som leder till att DPA-programmet inte startar eller att DPA-gränssnittet inte är tillgängligt med HTTPS, finns det ingen annan metod för att återställa från detta än en ominstallation av DPA-programmet.

6. Visa en lista över innehållet i apollo.keystore med följande kommando:

   /opt/emc/dpa/services/_jre/bin/keytool -list -keystore apollo.keystore

7. Kommandots utdata ser ut ungefär som utdata nedan. Ange lösenordet för apollo.keystore när du uppmanas. (Standardlösenordet för apollo.keystore är "Apollo")

   Enter keystore password:
   
   Keystore type: JKS
   Keystore provider: SUN
   Your keystore contains 2 entries
   
   apollokey, Jul 22, 2013, PrivateKeyEntry,
   Certificate fingerprint (SHA1): 22:97:5A:5D:54:6A:55:43:FE:58:0A:74:89:35:01:86:BC:D1:E1:05
   
   mykeyalias, Nov 17, 2018, PrivateKeyEntry,
   Certificate fingerprint (SHA1): DF:7E:C1:F0:75:34:AD:84:D5:58:A7:C4:06:EA:36:64:4C:29:BC:25

8. Utdata från det här kommandot visar att nyckelbehållaren för närvarande är konfigurerad med två (2) PrivateKeyEntry-nyckelalias, "apollokey" och "mykeyalias". Vanligtvis har nyckelbehållaren en eller två av dessa poster, men kan ha fler ibland. Anteckna alla listade PrivateKeyEntry-nyckelalias (deras namn) som finns i nyckelbehållaren.

9. Om du vill ändra lösenordet för en nyckelbehållare måste alla PrivateKeyEntry-nyckelalias som finns i nyckelbehållaren också få sina lösenord ändrade så att de matchar nyckelbehållaren. Ordningen för att ändra lösenorden är inte viktig. Du kan ändra nyckelbehållarlösenordet först eller PrivateKeyEntry-nyckelaliaset först.

10. Om du vill ändra lösenordet för apollo.keystore använder du följande kommando:

    /opt/emc/dpa/services/_jre/bin/keytool -storepasswd -keystore apollo.keystore

11. I utdata för det här kommandot anger du först det aktuella lösenordet för apollo.keystore. Ange sedan det nya lösenordet för nyckelbehållaren. Slutligen anger du det nya lösenordet för nyckelbehållaren igen.

    Enter keystore password:
    New keystore password:
    Re-enter new keystore password:

12. Kontrollera att lösenordet för nyckelbehållaren har ändrats som förväntat genom att återigen visa innehållet i apollo.keystore med följande kommando. Utdata ska vara identiska med föregående körning av kommandot.

    /opt/emc/dpa/services/_jre/bin/keytool -list -keystore apollo.keystore

13. Ändra sedan lösenorden för nyckelaliasen. Kommandot för att ändra ett lösenord för ett enskilt nyckelalias finns nedan

    Obs! Återigen måste det nya lösenordet matcha det nya lösenordet för nyckelbehållaren.
    /opt/emc/dpa/services/_jre/bin/keytool -keypasswd -keystore apollo.keystore -alias apollokey

14. I utdata från detta kommando anger man först det aktuella lösenordet för apollo.keystore. Därefter finns det två möjliga utdatavariationer.

    Första variationen

    Enter keystore password:
    New key password for <apollokey>:
    Re-enter new key password for <apollokey>:

    Andra ändringen

    Enter keystore password:
    Enter key password for <apollokey>
    New key password for <apollokey>:
    Re-enter new key password for <apollokey>:

15. I den första varianten anger du det nya nyckelaliaslösenordet och anger det igen. I den andra varianten anger du först det aktuella nyckelaliaslösenordet, sedan det nya nyckelaliaslösenordet och anger det sedan igen. Vanligtvis är det aktuella nyckelaliaslösenordet den ursprungliga nyckelbehållarens lösenord. (Standardlösenordet för apollo.keystore är "Apollo")

16. Det här kommandot måste utföras för alla PrivateKeyEntry-nyckelalias i nyckelbehållaren. I vårt fall innebär det att kommandot måste köras för både apollokey och mykeyalias.

17. Därefter måste lösenordsinställningen för nyckelalias ändras till det nya lösenordet i DPA-programmets konfigurationsfil "standalone.xml"

18. Redigera standalone.xml-filen med en textredigerare, t.ex. "vi" eller "Anteckningar".

19. Bläddra till följande rad, som ska finnas mot slutet av filen. Att göra en sökning eller sökning efter "lösenord" eller "ssl" är en metod för att snabbt navigera dit.

    <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo" certificate-key-file="${jboss.server.config.dir}/apollo.keystore" cipher-suite="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA" protocol="TLSv1,TLSv1.1,TLSv1.2" verify-client="false"/>

20. Ändra lösenordet på den här raden så att det matchar det nya lösenordet som du har angett för nyckelbehållaren och nyckelaliasen. Om det nya lösenordet till exempel är "my1Pass00" ser den ändrade raden ut så här:

    <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="my1Pass00" certificate-key-file="${jboss.server.config.dir}/apollo.keystore" cipher-suite="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA" protocol="TLSv1,TLSv1.1,TLSv1.2" verify-client="false"/>

21. Spara standalone.xml filen.

22. Starta om DPA-programmet.

Kontakta Dells tekniska support om du vill ha mer information eller hjälp.