SSO 鍵ストアのパスワードおよび暗号化の構成

SSO 鍵ストアの固有のパスワードを構成し、AES 暗号化アルゴリズムを使用してそのパスワードを暗号化します。

このタスクについて

アプリケーション更新 9.2.9 から、BigFix Inventory でのシングル・サインオンのすべてのフレッシュ構成で、SSO 鍵ストアのパスワードは、デフォルト暗号化方式として AES を使用します。バージョン 9.2.9 へのアップグレード前にシングル・サインオンが有効になっていた場合、パスワード暗号化スキーマは変更されません。

SAML と LTPA の両 SSO タイプでは、以下の 2 つの別個の鍵ストアが必要です: サービス・プロバイダーと ID プロバイダー。これらの鍵ストアに対して同じパスワードをセットアップしても、異なるパスワードをセットアップしても構いません。SSO 鍵ストアの新規パスワードを構成するか、暗号化方式を XOR から AES に変更する場合は、該当する変数を使用し、以下の手順を実行します。

<SP_keystore_name>: サービス・プロバイダー鍵ストアの名前は、SPKeyStore (SAML SSO の場合) または LdapSSLTrustStore (LTPA SSO の場合) です。
<IP_keystore_name>: ID プロバイダー鍵ストアの名前は、SPKeyStore (SAML SSO の場合) または LdapSSLTrustStore (LTPA SSO の場合) です。
<alias>: samlsp (SAML SSO の場合) または default (LTPA SSO の場合) です。

手順

BigFix Inventory サーバーを停止します。
オプション: カスタム SSO 鍵ストア・パスワードを構成する場合、以下の手順に従います。パスワード暗号化方式を XOR から AES に変更するだけであれば、ステップ 3 に進みます。
1. サービス・プロバイダー鍵ストアの鍵パスワードを変更するには、以下のコマンドを実行します。
  <Installation_directory>/jre/bin/keytool -keypasswd -keystore <Installation_directory>/wlp/usr/servers/server1/resources/security/<SP_keystore_name>.<keystore_extension> -storetype <type> -alias <alias>
  
  <Installation_directory>\jre\bin\keytool -keypasswd -keystore <Installation_directory>\wlp\usr\servers\server1\resources\security\<SP_keystore_name>.<keystore_extension> -storetype <type> -alias <alias>
  SSO 鍵ストア・パスワードを入力するプロンプトが出たら、パスワードを指定します。デフォルトの鍵ストア・パスワードについては、BigFix サポートにお問い合わせください。
```
Enter keystore password:
Enter key password for <alias>:
New key password for <alias>:
Re-enter new key password for <alias>:
Password change successful for alias <alias>
```
2. サービス・プロバイダー鍵ストア・パスワードを変更するには、以下のコマンドを実行します。
  
  <Installation_directory>/jre/jre/bin/keytool -storepasswd -keystore <Installation_directory>/wlp/usr/servers/server1/resources/security/<SP_keystore_name>.<keystore_extension> -storetype <type>
  
  <Installation_directory>\jre\jre\bin\keytool.exe -storepasswd -keystore <Installation_directory>\wlp\usr\servers\server1\resources\security\<SP_keystore_name>.<keystore_extension> -storetype <type>
  新しい鍵ストア・パスワードをセットアップします。パスワードは、鍵に対してセットアップしたパスワード (ステップ a) と一致している必要があります。
```
Enter keystore password:
New keystore password:
Re-enter new keystore password:
```
3. ID プロバイダー鍵ストア・パスワードを変更するには、以下のコマンドを実行します。
  
  <Installation_directory>/jre/jre/bin/keytool -storepasswd -keystore <Installation_directory>/wlp/usr/servers/server1/resources/security/<IP_keystore_name>.<keystore_extension> -storetype <type>
  
  <Installation_directory>\jre\jre\bin\keytool.exe -storepasswd -keystore <Installation_directory>\wlp\usr\servers\server1\resources\security\<IP_keystore_name>.<keystore_extension> -storetype <type>
  新しい鍵ストア・パスワードをセットアップします。
```
Enter keystore password:
New keystore password:
Re-enter new keystore password:
```
AES を使用してサービス・プロバイダー鍵ストア・パスワードを暗号化するには、以下のコマンドを実行します。
1. JAVA_HOME 変数の設定
  
  export JAVA_HOME=Installation_directory/jre/jre
  
  set JAVA_HOME=Installation_directory\jre\jre
2. 以下のコマンドを実行します。
  
  <Installation_directory>/wlp/bin/securityUtility encode --encoding=aes
  
  <Installation_directory>\wlp\bin\securityUtility.bat encode --encoding=aes
現在の鍵ストア・パスワードを指定します。
```
Enter text:
Re-enter text:
{aes}xxxxXXXXxxxxXXXXxxxxXXXXxxxxXXXXxxxxXXXX
```
server.xml ファイル内のサービス・プロバイダー鍵ストア・パスワードを更新します。ステップ 3 で生成された値を、以下のコード行に入力します。
```
 <keyStore id='<SP_keystore_name>' location='<SP_keystore_name>.<keystore_extension>' 
password='{aes}xxxxXXXXxxxxXXXXxxxxXXXXxxxxXXXXxxxxXXXX' type='<type>'/>
```
SAML SSO の場合、server.xml ファイル内の追加の行を更新します。
```
<samlWebSso20 enabled="true" id="defaultSP" keyAlias="samlsp" 
keyPassword="{aes}xxxxXXXXxxxxXXXXxxxxXXXXxxxxXXXXxxxxXXXX" 
keyStoreRef="SPKeyStore" loginPageURL="https://hostname:9081/" nameIDFormat="customize">
```
server.xml ファイルは、以下のフォルダーにあります。
<Installation_directory>/wlp/usr/servers/server1/server.xml
<Installation_directory>\wlp\usr\servers\server1\server.xml
AES を使用して ID プロバイダー鍵ストア・パスワードを暗号化するには、以下のコマンドを実行します。
<Installation_directory>/wlp/bin/securityUtility encode --encoding=aes

<Installation_directory>\wlp\bin\securityUtility.bat encode --encoding=aes

現在の鍵ストア・パスワードを指定します。
```
Enter text:
Re-enter text:
{aes}xxxxXXXXxxxxXXXXxxxxXXXXxxxxXXXXxxxxXXXX
```
server.xml ファイル内の ID プロバイダー鍵ストア・パスワードを更新します。ステップ 5 で生成された値を、以下のコード行に入力します。
```
 <keyStore id='<IP_keystore_name>' location='<IP_keystore_name>.<keystore_extension>' 
password='{aes}xxxxXXXXxxxxXXXXxxxxXXXXxxxxXXXXxxxxXXXX' type='<type>'/>
```
server.xml ファイルは、以下のフォルダーにあります。
- <Installation_directory>/wlp/usr/servers/server1/server.xml
- <Installation_directory>\wlp\usr\servers\server1\server.xml
BigFix Inventory サーバーを開始します。

注: 上記のコマンドに適用される <type> および <keystore_extension> パラメーターは、以下を指定します。

<type>

バージョン 10.0.8.0 以降では、証明書のタイプは PKCS12 です。上記より前のバージョンでは、JCEKS です。

<keystore_extension>

バージョン 10.0.8.0 以降では、鍵ストア・ファイルの名前は .p12 です。上記より前のバージョンでは、.jceks です。