Смена ключа шифрования БД

Компрометация ключа — ситуация, когда ключ становится известен и может быть использован третьими лицами. Если произошла компрометация ключей шифрования баз данных PAM, смените ключи путем обновления конфигурации PAM. Для ротации ключей используется утилита KeyRotator.

Пути к конфигурационным файлам компонентов приведены в таблице.

Компонент	Windows	Linux
KeyRotator	IndeedPAM_3.3_RU\indeed-pam-tools\key-rotator\appsettings.json	/etc/indeed/indeed-pam/tools/key-rotator/appsettings.json
Core	C:\inetpub\wwwroot\core\appsettings.json	/etc/indeed/indeed-pam/core/appsettings.json
IdP	C:\inetpub\wwwroot\idp\appsettings.json	/etc/indeed/indeed-pam/idp/appsettings.json

Настройка конфигурации KeyRotator

1. Расшифруйте конфигурационные файлы PAM в зависимости от схемы установки.

2. Откройте конфигурационный файл KeyRotator.

3. В секции Database для параметра Provider укажите тип сервера СУБД: PgSql или MsSql.
   Не закрывайте файл.

   Конфигурационный файл KeyRotator

   "Database": {
     "Provider": "MsSql", // Укажите СУБД
     "PamCore": "PAM_CORE_DB_CONNECTION_STRING",
     "PamIdp": "PAM_IDP_DB_CONNECTION_STRING"
   }

4. Откройте конфигурационный файл Core.

5. В секции ConnectionStrings скопируйте значение параметра PamCore.
   Укажите это значение в конфигурационном файле KeyRotator в секции Database для параметра PamCore.

   Конфигурационный файл Core

     "$schema": "appsettings.schema.json",
     "ConnectionStrings": {
       "PamCore": "a4a1b2e2910371e15b353", // Скопируйте это значение
       "JobsQueue": "ecda23a59b856554561ce"
     }
   Конфигурационный файл KeyRotator

   "Database": {
     "Provider": "MsSql",
     "PamCore": "a4a1b2e2910371e15b353", // Вставьте значение из файла компонента Core
     "PamIdp": "PAM_IDP_DB_CONNECTION_STRING"
    }

6. Откройте конфигурационный файл Idp.

7. В секции ConnectionStrings скопируйте значение параметра DefaultConnection.
   Укажите это значение в конфигурационном файле KeyRotator в секции Database для параметра PamIdp.

   Конфигурационный файл Idp

   "ConnectionStrings": {
        "DefaultConnection": "77f6951e7881ed232cd2d", // Скопируйте это значение
        "JobsQueue": "0786670f99283fcceee86"
     }  
   Конфигурационный файл KeyRotator

   "Database": {
      "Provider": "MsSql",
      "PamCore": "ENCRYPTED_CfDJ8DpxpXA-mxxMpMmnxTrA",
      "PamIdp": "77f6951e7881ed232cd2d" // Вставьте значение из файла компонента IdP
    }

8. Сохраните изменения в конфигурационном файле KeyRotator.

Смена ключа шифрования

Смените ключи шифрования баз данных компонентов Core или Idp. Если нужны изменения для обоих компонентов, меняйте ключи поочередно, так как конфигурационный файл KeyRotator хранит только один набор ключей.

База данных компонента Core

1. Сгенерируйте новый ключ шифрования.

   Windows

   Чтобы сгенерировать ключ с помощью утилиты KeyGen:

   1. Перейдите в дистрибутив PAM по пути IndeedPAM_3.3_RU\indeed-pam-tools\key-gen
   2. Запустите утилиту IndeedPAM.KeyGen.exe.
   3. Для параметра Algorithm выберите Aes и нажмите Generate.
      В результате сгенерируется ключ, например, e16155e21c73e86c4792c.
   4. Сохраните или скопируйте ключ.

   Linux

   Чтобы сгенерировать ключ с помощью утилиты OpenSSL, выполните команду:

   openssl rand -hex 32

   • rand — команда для генерации случайных данных.
   • -hex — вывод ключа в шестнадцатеричном формате.
   • 32 — размер ключа в байтах.

   
   В консоли появится ключ, например, e16155e21c73e86c4792c. Сохраните или скопируйте его.

2. Откройте конфигурационный файл Core. В секции Encryption у параметра Key скопируйте старый ключ и сохраните его, затем укажите новый ключ шифрования.

   Конфигурационный файл Core

   "Encryption": {
     "Primary": {
       "Algorithm": "AES",
       "HashAlgorithm": "SHA512",
       "Key": "1c697af0512e1a20ce099", // Скопируйте старый ключ, а затем вставьте новый ключ
       "MediaFiles": {
         "Algorithm": "AES"
       }
     }
   }

3. Откройте конфигурационный файл KeyRotator.

4. В секции Encryption для параметра Key укажите новый ключ шифрования.
   В секции Secondary для параметра Key укажите значение старого ключа из конфигурационного файла Core.

   Конфигурационный файл KeyRotator

    "Encryption": {
    // new encryption settings
      "Primary": {
        "Algorithm": "AES",
        "HashAlgorithm": "SHA512",
        "Key": "e16155e21c73e86c4792c" // Вставьте новый ключ
      },
    // old encryption settings
      "Secondary": {
        "Algorithm": "AES",
        "HashAlgorithm": "SHA512",
        "Key": "1c697af0512e1a20ce099" // Вставьте старый ключ из файла компонента Core
        }
      }

5. Сохраните изменения в конфигурационных файлах KeyRotator и Core.

6. Выполните ротацию ключа с помощью утилиты KeyRotator.

   Windows

   1. Перейдите в дистрибутив PAM по пути IndeedPAM_3.3_RU\indeed-pam-tools\key-rotator
   2. Запустите утилиту Pam.Tools.KeyRotator.exe.

   Linux

   Выполните команду в терминале:

   sudo bash /etc/indeed/indeed-pam/tools/key-rotator.sh rotate --component Core

7. Зашифруйте конфигурационный файл и перезапустите сервер управления.

База данных компонента Idp

1. Сгенерируйте новый ключ шифрования.

   Windows

   Чтобы сгенерировать ключ с помощью утилиты KeyGen:

   1. Перейдите в дистрибутив PAM по пути IndeedPAM_3.3_RU\indeed-pam-tools\key-gen
   2. Запустите утилиту IndeedPAM.KeyGen.exe.
   3. Для параметра Algorithm выберите Aes и нажмите Generate.
      В результате сгенерируется ключ, например, 594d73ab13ead58463da6.
   4. Сохраните или скопируйте ключ.

   Linux

   Чтобы сгенерировать ключ с помощью утилиты OpenSSL, выполните команду:

   openssl rand -hex 32

   • rand — команда для генерации случайных данных.
   • -hex — вывод ключа в шестнадцатеричном формате.
   • 32 — размер ключа в байтах.

   
   В консоли появится ключ, например, 594d73ab13ead58463da6. Сохраните или скопируйте его.

2. Откройте конфигурационный файл IdP. В секции Encryption у параметра Key скопируйте старый ключ и сохраните его, затем укажите новый ключ шифрования.

   Конфигурационный файл IdP

   "Encryption": {
     "Primary": {
       "Algorithm": "AES",
       "HashAlgorithm": "SHA512",
       "Key": "ceaaa7f6ac059e0140051", // Скопируйте старый ключ, а затем вставьте новый ключ  
       }                                           
     }

3. Откройте конфигурационный файл KeyRotator.

4. В секции Encryption для параметра Key укажите новый ключ шифрования.
   В секции Secondary для параметра Key укажите значение старого ключа из конфигурационного файла IdP.

   Конфигурационный файл KeyRotator

    "Encryption": {
    // new encryption settings
      "Primary": {
        "Algorithm": "AES",
        "HashAlgorithm": "SHA512",
        "Key": "594d73ab13ead58463da6" // Вставьте новый ключ
      },
    // old encryption settings
      "Secondary": {
        "Algorithm": "AES",
        "HashAlgorithm": "SHA512",
        "Key": "ceaaa7f6ac059e0140051" // Вставьте старый ключ из файла компонента Idp
        }
      }

5. Сохраните изменения в конфигурационных файлах KeyRotator и IdP.

6. Выполните ротацию ключа с помощью утилиты KeyRotator.

   Windows

   1. Перейдите в дистрибутив PAM по пути IndeedPAM_3.3_RU\indeed-pam-tools\key-rotator
   2. Запустите утилиту Pam.Tools.KeyRotator.exe.

   Linux

   Выполните команду в терминале:

   sudo bash /etc/indeed/indeed-pam/tools/key-rotator.sh rotate --component Core

7. Зашифруйте конфигурационный файл и перезапустите сервер управления.

Шифрование и перезапуск сервера управления

После изменения конфигурационных файлов KeyRotator, Core или IdP выполните шифрование файлов и перезагрузите контейнеры сервера управления PAM.

Windows

1. Выполните шифрование конфигурационных файлов PAM.

2. Запустите PowerShell от имени администратора.

3. Запустите IIS Manager:

   start inetmgr

4. Нажмите на нужный сервер на левой панели.

5. На правой панели нажмите Restart (Перезапустить).

Linux

1. Выполните шифрование конфигурационных файлов PAM.

2. Перейдите в папку со скриптами PAM и перезапустите компонент:

   sudo bash /etc/indeed/indeed-pam/scripts/run-pam.sh