暗号鍵ストアのパスワードおよび暗号化の構成

暗号鍵ストアに固有のパスワードを構成し、AES 暗号化アルゴリズムを使用してそのパスワードを暗号化します。

このタスクについて

アプリケーション更新 9.2.7 以降では、BigFix Inventory のすべてのフレッシュ・インストールにおいて、鍵ストアおよびデータベースのパスワードはデフォルトの暗号化方式として AES を使用します。バージョン 9.2.7 にアップグレードされたすべてのアプリケーション・インスタンスの場合は、パスワードの暗号化スキーマは変更されません。

SSO 鍵ストアのパスワードおよび暗号化を構成する場合は、以下を参照してください。SSO 鍵ストアのパスワードおよび暗号化の構成

手順

  1. BigFix Inventory サーバーを停止します。
  2. オプション: 鍵ストアのパスワードをカスタム・パスワードに変更する場合は、以下の手順に従います。パスワード暗号化方式を XOR から AES に変更するだけであれば、ステップ 3 に進みます。
    1. アプリケーション鍵ストアの内容をリストするには、以下のコマンドを実行します。

      Installation_directory/jre/jre/bin/keytool -list -keystore <inst_dir>/wlp/usr/servers/server1/resources/security/<keystore_name> -storetype <type>

      Installation_directory\jre\jre\bin\keytool.exe -list -keystore <inst_dir>\wlp\usr\servers\server1\resources\security\<keystore_name> -storetype <type>

      鍵ストア・パスワードを入力するプロンプトが出たら、パスワードを指定します。デフォルトの鍵ストア・パスワードについては、HCL サポートにお問い合わせください。 

      
Enter keystore password:

Keystore type: <type>
Keystore provider: IBMJCE

Your keystore contains 1 entry

default, Nov 15, 2013, keyEntry,
Certificate fingerprint (SHA1): 
xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx
      注: 製品に対してシングル・サインオンが構成されている場合、リストは複数のエントリーで構成されることがあります。下線付きのエレメントは、リストされたエントリーの別名であり、次のステップの実行に必要です。
    2. リストされたすべてのエントリーのパスワード変更を確実に行います。以下のコマンドを実行します。コマンド・ラインの最後には別名を指定します。

      Installation_directory/jre/jre/bin/keytool -keypasswd -keystore <inst_dir>/wlp/usr/servers/server1/resources/security/<keystore_name> -storetype <type> -alias default

      Installation_directory\jre\jre\bin\keytool.exe -keypasswd -keystore <inst_dir>\wlp\usr\servers\server1\resources\security\<keystore_name> -storetype <type> -alias default

      リストされたすべてのエントリーの単一パスワードをセットアップします。複数のエントリーがある場合は、必ず同じパスワードにします。
      
Enter keystore password:
Enter key password for <default>:
New key password for <default>:
Re-enter new key password for <default>:
Password change successful for alias <default>
    3. 鍵ストア・パスワードを変更するには、以下のコマンドを実行します。

      Installation_directory/jre/jre/bin/keytool -storepasswd -keystore <inst_dir>/wlp/usr/servers/server1/resources/security/<keystore_name> -storetype <type>

      Installation_directory\jre\jre\bin\keytool.exe -storepasswd -keystore <inst_dir>\wlp\usr\servers\server1\resources\security\<keystore_name> -storetype <type>

      新しい鍵ストア・パスワードをセットアップします。パスワードは、リストされたエントリーにセットアップしたパスワードと一致している必要があります (ステップ b)。
      
Enter keystore password:
New keystore password:
Re-enter new keystore password:
  3. AES を使用して鍵ストア・パスワードを暗号化するには、以下のコマンドを実行します。
    1. JAVA_HOME 変数を設定します。

      エクスポート (export) JAVA_HOME=Installation_directory/jre/jre

      セット JAVA_HOME=Installation_directory\jre\jre

    2. 以下のコマンドを実行します。

      Installation_directory/wlp/bin/securityUtility encode --encoding=aes

      Installation_directory\wlp\bin\securityUtility.bat encode --encoding=aes

    現在の鍵ストア・パスワードを指定します。

    
Enter text:
Re-enter text:
{aes}xxxxXXXXxxxxXXXXxxxxXXXXxxxxXXXXxxxxXXXX
  4. server.xml ファイル内の鍵ストア・パスワードを更新します。ステップ 3 で生成された値を、以下のコード行に入力します。 
     <keyStore id='defaultKeyStore' location='<keystore_name>' 
password='{aes}xxxxXXXXxxxxXXXXxxxxXXXXxxxxXXXXxxxxXXXX' type='<type>'/>
    server.xml ファイルは、以下のフォルダーにあります。
    • Installation_directory/wlp/usr/servers/server1/server.xml
    • Installation_directory\wlp\usr\servers\server1\server.xml
  5. BigFix Inventory サーバーを開始します。
    注: 上記のコマンドに適用される <type> および <keystore_name> パラメーターは、以下を指定します。
    <type>
    バージョン 10.0.8.0 以降では、証明書のタイプは PKCS12 です。上記より前のバージョンでは、JCEKS です。
    <keystore_name>
    バージョン 10.0.8.0 以降では、鍵ストア・ファイルの名前は key_server.p12 です。上記より前のバージョンでは、key_server.jceks です。