サーバー構成 > サーバーインストール後のセキュリティ > 暗号化されたサーバー側パスワードへの移行
  
暗号化されたサーバー側パスワードへの移行
デフォルトでは、Windchill RV&S Server はテキスト形式のパスワードを使用してインストールされます。デフォルトのインストールを変更し、暗号化されたサーバー側パスワードを使用して実行する場合は、encryptPassword アプリケーションを使用して、パスワードが暗号化されるようにターゲット サーバー ファイルを変更できます。encryptPassword アプリケーションは次の場所にあります。
installdir/bin/encryptPassword.exe
* 
encryptPassword アプリケーションを実行する前に、まず Windchill RV&S Server を停止する必要があります。アプリケーションを実行し、サーバーを再起動すると、システムによって暗号化されたパスワードが使用されます。
使用している環境で MKS Federated Server アーキテクチャ (FSA) を構成した場合は、encryptPassword アプリケーションを使用して、プロキシ上で暗号化されたパスワードに移行することもできます。プロキシ上で暗号化されたパスワードに移行するには、プロキシ マシンの インストールディレクトリ/bin から encryptPassword を実行します。FSA の詳細については、Federated Server アーキテクチャの概要を参照してください。
アプリケーションの実行時に、Windchill RV&S Server がデフォルトのテキスト形式のパスワード構成で実行されている場合は、暗号化されたパスワード構成にサーバーが移行されます。Windchill RV&S Server が既に暗号化されたパスワード構成で実行されている場合は、テキスト形式のターゲットパスワードがすべて暗号化され、暗号化形式でファイルに書き戻されます。
アプリケーションを直接実行し、暗号化されたパスワードに移行するには、encryptPassword に次のオプションを指定します。
encryptPassword -e|--encryptPassword
または
./encryptPassword -e|--encryptPassword
ここで
encryptPassword では、パスワードを暗号化するためのアプリケーションを実行します。
-e|--encryptPassword では、ターゲット Windchill RV&S Server (ホストまたはプロキシ) のシステムをテキスト形式のパスワードから暗号化されたパスワードに移行するためのオプションを指定します。サーバーが既に暗号化されたパスワード構成で実行されている場合、このオプションは残りのテキスト形式のパスワードをすべて暗号化することを指定します。たとえば、encryptPassword -e のようになります。
encryptpassword アプリケーションによって暗号化されるパスワードの一覧については、サーバー側パスワードの暗号化を参照してください。
キーストアおよびキーストアパスワードのファイルが存在しない場合は、encryptPassword アプリケーションの実行時にこれらが生成されます。Windchill RV&S では、パスワードベースの暗号化とともに JCEKS KeyStore が使用されます。JCEKS KeyStore は、Sun KeyStore 実装の強力なバージョンです。Sun KeyStore 実装は、Java SE Development Kit (JDK) に標準装備されています。
Password Based Encryption (PBE) メソッドを使用して生成される暗号化キーを使用して、すべてのパスワードが暗号化されます。暗号化キーは、installdir/data/security/store ディレクトリにある keystore.jceks キーストアファイルに格納されます。
このキーストアとともに、encryptPassword アプリケーションは、installdir/data/security/key ディレクトリに secret.key キーストアパスワードファイルも生成して、キーストアパスワードを格納します。
* 
最適な方法としては、secret.key キーストアパスワードファイルがセキュリティで保護され、encryptPassword アプリケーションを実行できる権限を持ったユーザーのみが、キーストアに格納された暗号化キーを表示できることを確認します。
暗号化キーの長さは、is.properties ファイルにある mksis.encryptkeysize プロパティで構成できます。キーのデフォルトの長さは 128 ビットで、Advanced Encryption Standard (AES) に準拠しています。キーの長さは、128 ビットよりも小さくすることはできません。128 ビットよりも大きな値にする必要がある場合は、お住まいの国の政府指令に暗号化の制限がないことを確認してください。お住まいの国で暗号化の最大強度の制限がある場合、さらに大きな値が必要な場合は、使用するアプリケーションに暗号化制限が適用されないことを確認する必要があります。アプリケーションに暗号化制限が適用されないようにするための詳細については、無制限強度の暗号の有効化のトピックを参照してください。
サイトの暗号化キーを変更する必要がある場合は、次の手順を実行します。
1. すべてのパスワードをテキスト形式に変換します。
2. global.encryprt プロパティの値を false に設定し、キーストアおよびキーストアパスワードのファイルを削除します。
3. 再度 encryptPassword アプリケーションを実行します。
パスワードが暗号化された後は、Windchill RV&S 構成ファイルではテキスト形式でパスワードを表示することはできません。代わりに、<gen_text> がシステムで生成されたテキストの場合、パスワード値はファイル内で encrypted.<gen_text> として表示され、これにより格納済みの暗号化されたパスワードを一意に識別します。
たとえば、mks.dbPassword プロパティに格納されたデータベースパスワードの値が password の場合、encryptPassword アプリケーションを実行した後、暗号化されたパスワードには以下のようなシステムで生成されたテキストが一部含まれます。
mks.dbPassword=encrypted.wRKAKkhyW5s263TaJz05pSG10HwFxibAmfKuO7kRiq4.
* 
暗号化されたパスワード構成ですでに実行している 12.0 よりも古いバージョンの Integrity Lifecycle Manager Server から移行する場合は、暗号化されたパスワードをテキスト形式に手動で戻してください。また、global.encrypt プロパティの値を false に変更する必要もあります。encryptPassword アプリケーションを実行すると、テキスト形式のパスワードは暗号化され、暗号化された形式でファイルに書き戻されます。
Windchill RV&S Server で暗号化されたパスワードに移行するには