9.2.9 以降で使用可能。SAP Metric Data Collector のパスワード暗号化のセキュリティーを向上させるために、SAP Metric Data Collector の鍵ストアのデフォルト秘密鍵やデフォルト・パスワードを変更できます。これらの 2 つの手順は独立したものです。ニーズに応じて、秘密鍵または鍵ストアのパスワード、あるいはその両方を変更できます。
始める前に
BigFix サポートに連絡して、SAP Metric Data Collector の鍵ストアの現行パスワードを入手します。
手順
-
デフォルト秘密鍵をカスタムのものに置き換えるには、以下のステップを実行します。
重要: 以下の各コマンドを実行するには、SAP Metric Data Collectorの鍵ストアの現行パスワードを指定します。デフォルト・パスワードは、BigFix サポートから入手できます。既に変更済みの場合は、セットアップしたカスタム・パスワードを使用してください。
-
デフォルト秘密鍵を削除するために、以下のコマンドを実行します。
-
"/var/opt/BESClient/LMT/SAPTOOL/java/jre/bin/keytool" -delete -keystore "/var/opt/BESClient/LMT/SAPTOOL/keydb/<keystore_name>" -storetype <type> -alias bigfixsaptoolcustomkey
-
"C:\Program Files (x86)\BigFix Enterprise\BES Client\LMT\SAPTOOL\java\jre\bin\keytool.exe" -delete -keystore "C:\Program Files (x86)\BigFix Enterprise\BES Client\LMT\SAPTOOL\keydb\<keystore_name>" -storetype <type> -alias bigfixsaptoolcustomkey
-
カスタム秘密鍵を作成するために、以下のコマンドを実行します。
重要: 新規秘密鍵の作成時に、パスワードを指定するように求められます。SAP Metric Data Collectorの鍵ストアのパスワードと同じパスワードを指定してください。鍵ストアのパスワードを変更していない場合は、BigFix サポートから入手したパスワードを指定してください。そうでない場合は、SAP Metric Data Collectorの鍵ストアのカスタム・パスワードを指定してください。
- "/var/opt/BESClient/LMT/SAPTOOL/java/jre/bin/keytool" -genseckey -keystore "/var/opt/BESClient/LMT/SAPTOOL/keydb/<keystore_name>" -storetype <type> -keyalg AES -keysize 128 -alias bigfixsaptoolcustomkey
- "C:\Program Files (x86)\BigFix Enterprise\BES Client\LMT\SAPTOOL\java\jre\bin\keytool.exe" -genseckey -keystore "C:\Program Files (x86)\BigFix Enterprise\BES Client\LMT\SAPTOOL\keydb\<keystore_name>" -storetype <type> -keyalg AES -keysize 128 -alias bigfixsaptoolcustomkey
各部の意味は以下のとおりです。
- -keyalg
- 秘密鍵を暗号化するために使用されるアルゴリズムです。AES のみがサポートされます。
- -keysize
- 秘密鍵のサイズです。デフォルトのサイズは 128 ビットです。それよりも長い鍵を使用するには、Java JCE 無制限管轄ポリシーをセットアップします。詳しくは、こちらを参照してください:IBM SDK ポリシー・ファイル。
-
SAP Metric Data Collectorの鍵ストアのデフォルト・パスワードを変更するには、以下のステップを実行します。
重要: 以下の各コマンドを実行するには、HCL サポートから入手した SAP Metric Data Collectorの鍵ストアの現行パスワードを指定します。
-
鍵ストアのパスワードを変更するには、以下のコマンドを実行します。
鍵ストア内の各鍵のパスワードは、鍵ストアのパスワードと同じでなければなりません。そのため、コマンドで
-all パラメーターを使用します。
- "/var/opt/BESClient/LMT/SAPTOOL/java/jre/bin/keytool" -storepasswd -all -keystore "/var/opt/BESClient/LMT/SAPTOOL/keydb/<keystore_name>" -storetype <type>
- "C:\Program Files (x86)\BigFix Enterprise\BES Client\LMT\SAPTOOL\java\jre\bin\keytool.exe" -storepasswd -all -keystore "C:\Program Files (x86)\BigFix Enterprise\BES Client\LMT\SAPTOOL\keydb\<keystore_name>" -storetype <type>
-
プロンプトが出されたら、新しい鍵ストア・パスワードを入力します。
-
パスワードをエンコードするために、以下のコマンドを実行します。
- "/var/opt/BESClient/LMT/SAPTOOL/saptool.sh" -encode
- "C:\Program Files (x86)\BigFix Enterprise\BES Client\LMT\SAPTOOL\saptool.bat" -encode
パスワードがエンコードされ、コマンド・ラインで表示されます。
-
エンコードされたパスワードをファイルにコピーし、テキスト・フォーマットで保存します。
例:
- "/var/opt/BESClient/LMT/SAPTOOL/config/custom_access_code.txt"
- "C:\Program Files (x86)\BigFix Enterprise\BES Client\LMT\SAPTOOL\config\custom_access_code.txt"
注: config ディレクトリー内に custom_access_code.txt を保存することをお勧めします。このディレクトリーは、SAP Metric Data Collectorの更新後も変更されません。
-
以下の場所にある saptool_config.properties ファイルを開きます。
- "/var/opt/BESClient/LMT/SAPTOOL/config/"
- "C:\Program Files (x86)\BigFix Enterprise\BES Client\LMT\SAPTOOL\config\"
configuration_key_init_path パラメーターに、エンコードされたパスワードが入っているファイルのパスを指定します。
以下に例を示します。
- configuration_key_init_path=/var/opt/BESClient/LMT/SAPTOOL/config/custom_access_code.txt
- configuration_key_init_path=C:\\Program Files (x86)\\BigFix Enterprise\\BES Client\\LMT\\SAPTOOL\\config\\custom_access_code.txt
ヒント: パスは、引用符で囲むことなく、1 行で指定してください。円記号 (\) を使用する場合は、二重にしてください (\\)。
注: 上記のコマンドに適用される
<type> および
<keystore_name> パラメーターは、以下を指定します。
- <type>
- バージョン 10.0.8.0 以降では、証明書のタイプは PKCS12 です。上記より前のバージョンでは、JCEKS です。
- <keystore_name>
- バージョン 10.0.8.0 以降では、鍵ストア・ファイルの名前は keys.p12 です。上記より前のバージョンでは、keys.jceks です。