Configuration du mot de passe du magasin de clés cryptographiques et du chiffrement

Configurez un mot de passe unique pour le magasin de clés cryptographiques et chiffrez-le avec l'algorithme de chiffrement AES.

Pourquoi et quand exécuter cette tâche

A partir de la mise à jour de l'application 9.2.7, les mots de passe du magasin de clés et de la base de données utilisent AES comme méthode de chiffrement par défaut pour toutes les nouvelles installations de BigFix Inventory. Le schéma de chiffrement de mot de passe reste inchangé pour toutes les instances d'application mises à niveau vers la version 9.2.7.

Pour configurer les mots de passe de magasin de clés de connexion unique et le chiffrement, voir : Configuration des mots de passe du magasin de clés de connexion unique et du chiffrement.

Procédure

  1. Arrêtez le serveur BigFix Inventory.
  2. Facultatif : Si vous souhaitez remplacer le mot de passe du magasin de clés par un mot de passe personnalisé, suivez les instructions ci-dessous. Si vous souhaitez uniquement remplacer la méthode de chiffrement du mot de passe XOR par AES, continuez en passant à l'étape 3.
    1. Pour afficher la liste des contenus du magasin de clés d'application, exécutez la commande suivante :

      Installation_directory/jre/jre/bin/keytool -list -keystore <inst_dir>/wlp/usr/servers/server1/resources/security/<keystore_name> -storetype <type>

      Installation_directory\jre\jre\bin\keytool.exe -list -keystore <inst_dir>\wlp\usr\servers\server1\resources\security\<keystore_name> -storetype <type>

      Lorsque vous y êtes invité, indiquez le mot de passe du magasin de clés. Pour le mot de passe du magasin de clés par défaut, contactez le service de support HCL. 

      
Enter keystore password:

Keystore type: <type>
Keystore provider: IBMJCE

Your keystore contains 1 entry

default, Nov 15, 2013, keyEntry,
Certificate fingerprint (SHA1): 
xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx
      Remarque : La liste peut se composer de plusieurs entrées, si la fonction de connexion unique (SSO) est configurée pour le produit. L'élément souligné est un alias de l'entrée répertoriée et il est nécessaire d'exécuter les étapes suivantes.
    2. Veillez à changer le mot de passe de toutes les entrées répertoriées. Exécutez la commande suivante et indiquez l'alias à la fin de la ligne de commande.

      Installation_directory/jre/jre/bin/keytool -keypasswd -keystore <inst_dir>/wlp/usr/servers/server1/resources/security/<keystore_name> -storetype <type> -alias default

      Installation_directory\jre\jre\bin\keytool.exe -keypasswd -keystore <inst_dir>\wlp\usr\servers\server1\resources\security\<keystore_name> -storetype <type> -alias default

      Configurez un seul mot de passe pour toutes les entrées répertoriées. Vérifiez que les mots de passe sont identiques pour plusieurs entrées.
      
Enter keystore password:
Enter key password for <default>:
New key password for <default>:
Re-enter new key password for <default>:
Password change successful for alias <default>
    3. Pour changer le mot de passe du magasin de clés, exécutez la commande suivante :

      Installation_directory/jre/jre/bin/keytool -storepasswd -keystore <inst_dir>/wlp/usr/servers/server1/resources/security/<keystore_name> -storetype <type>

      Installation_directory\jre\jre\bin\keytool.exe -storepasswd -keystore <inst_dir>\wlp\usr\servers\server1\resources\security\<keystore_name> -storetype <type>

      Configurez le nouveau mot de passe du magasin de clés. Le mot de passe doit correspondre au mot de passe que vous configurez pour les entrées répertoriées (étape b).
      
Enter keystore password:
New keystore password:
Re-enter new keystore password:
  3. Pour chiffrer le mot de passe du magasin de clés avec la norme de chiffrement AES, exécutez la commande suivante :
    1. Définissez la variable JAVA_HOME.

      exporter JAVA_HOME=Installation_directory/jre/jre

      set JAVA_HOME=Installation_directory\jre\jre

    2. Exécutez la commande suivante :

      Installation_directory/wlp/bin/securityUtility encode --encoding=aes

      Installation_directory\wlp\bin\securityUtility.bat encode --encoding=aes

    Indiquez le mot de passe actuel du magasin de clés.

    
Enter text:
Re-enter text:
{aes}xxxxXXXXxxxxXXXXxxxxXXXXxxxxXXXXxxxxXXXX
  4. Mettez à jour le mot de passe du magasin de clés dans le fichier de server.xml. Entrez la valeur générée à l'étape 3 dans la ligne de code suivante : 
     <keyStore id='defaultKeyStore' location='<keystore_name>' 
password='{aes}xxxxXXXXxxxxXXXXxxxxXXXXxxxxXXXXxxxxXXXX' type='<type>'/>
    Le fichier server.xml se trouve dans le dossier suivant.
    • Installation_directory/wlp/usr/servers/server1/server.xml
    • Installation_directory\wlp\usr\servers\server1\server.xml
  5. Démarrez le serveur BigFix Inventory.
    Remarque : Les paramètres <type> et <keystore_name> qui s'appliquent aux commandes ci-dessus spécifient les éléments suivants :
    <type>
    A partir de la version 10.0.8.0, le type du certificat est PKCS12. Pour les versions antérieures, il s'agit de JCéKS.
    <keystore_name>
    A compter de la version 10.0.8.0, le nom du fichier de clés est key_server.p12. Pour les versions antérieures, il s'agit de key_server.jceks.