手动修改 Web 服务器密钥存储以符合 FIPS 模式要求
如果在根据 SSMC 过程创建服务器证书之前启用了 FIPS,可以使用该过程修改密钥存储文件。
过程
-
从安装了 SSMC 的系统中,重命名默认密钥存储,以便轻松恢复为非 FIPS 安装。
ssmcadmin@server2:/opt/hpe/ssmc/ssmcbase/etc$ pwd /opt/hpe/ssmc/ssmcbase/etc ssmcadmin@server2:/opt/hpe/ssmc/ssmcbase/etc$ mv keystore keystore.nofps -
导航到
/opt/hpe/ssmc/ssmcbase/fips/jre/bin,然后运行以下命令:./keytool -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/hpe/ssmc/ssmcbase/bcFipsJars/bc-fips-1.0.1.jar -importkeystore -srckeystore /opt/hpe/ssmc/ssmcbase/etc/keystore.nofps -destkeystore /opt/hpe/ssmc/ssmcbase/etc/keystore -srcstoretype JKS -deststoretype BCFKS -srcstorepass <store password> -deststorepass <store password> -srckeypass <key password> -destkeypass <key password> -alias jetty -
使用密钥存储所用的密码更新
/opt/hpe/ssmc/ssmcbase/etc中的jetty-ssl-context.xml文件:如果整体更改密钥存储的默认密码,请修改 KeyStorePassword 条目。
如果将密码更改为密钥存储中的私钥,请更改 KeyManagerPassword。
如果安全策略要求在配置文件中存储密码之前对其进行混淆处理,请按照在配置文件中使用混淆的密码一节中提到的过程进行操作。