产品安装和新手上路

内容

• 概述
• 必备条件
• 系统要求
• 安装Password Manager Pro
• 在Windows中
• 在Linux中
• 开启及关闭
• 在Windows中
• 在Linux中
• 连接到Web界面
• 使用MS SQL作为后台数据库
• 在PMP中将数据从 MySQL迁移至MS SQL服务器
• 快速入门指南
• 管理PMP加密密钥
• PMP使用的端口
• 许可
• 将PMP的安装目录从一台计算机移动到另一台计算机或在同一台计算机上移动
• MSP版本

概述

欢迎使用ManageEngine Password Manager Pro！

这部分将会介绍如何在您的系统中安装“密码管理解决方案”（PMP）。同时也将介绍PMP所需的系统配置、安装方法、启动及关闭，以及在成功开启服务器后如何连接到web界面的方法。

必备软件

使用PMP无需安装其他软件。以下标准系统（硬件和软件）配置要求和一个外部邮件服务器（SMTP)对于PMP服务器的功能和发送邮件通知来说是必不可少的。

系统配置要求

以下表格中列出了PMP所需的最低硬件及软件配置要求：

PMP的构成

PMP包含以下组成部分：

• PMP服务器
• PMP代理——用于连接远程资源
• PostgreSQL 9.2.1（绑定在PMP中），它会作为单独的进程运行，只接受来自主机的连接且外部不可见。

安装PMP

在Windows中

• 下载并打开 ManageEngine_PMP.exe
• 安装向导将会在整个安装过程中为您提示。
• 选择安装目录——在默认状态下，它会被安装在C:/ManageEngine/PMP目录下;此后，这个安装路径可以被称为 "PMP_Home"
• 最后，您可以看到两个复选框-一个用来浏览ReadMe文件，另外一个用于在安装之后立即启动服务器；如果您选择立即启动服务器，那么它会在后台进行启动。
• 如果您选择稍后启动服务器（安装结束后），您可以从 开始 >> 所有程序 >> ManageEngine Password Manager Pro 中进行启动
• 在开始菜单中，您还可以执行如：停止服务器和卸载产品等其他操作。

在Linux中

• 下载Linux版ManageEngine_PMP.bin
• 使用命令 chmod a+x <file-name> 来分配可执行权限
• 执行以下命令： ./<file_name> -i console
• 按照屏幕上出现的说明进行安装操作，注意：在安装过程中，选择安装路径不要放在默认的root路径下，可能导致权限问题，建议安装路径选择/home或者/opt或者指定的自定义非root路径中。
• PMP即可被安装在您机器中的指定位置。此后，这个安装路径可被称为"PMP_Home".

启动和停止PMP

在Windows中

在Linux中

连接到Web界面

自动打开浏览器

PMP服务器成功启动后，浏览器就会自动打开到PMP登陆界面。由于通过HTTPS协议连接，您将会收到提示接受安全证书。点击“是”，在登陆页面输入用户名和密码并点击回车键。对于未做配置的设置，默认的用户名和密码都将是“admin”。每次启动服务器，浏览器都会自动打开。

手动打开Web客户端

在windows中,您也可以在Windows托盘中手动登陆web客户端。右键点击PMP托盘图标并点击“PMP Web控制台”。浏览器会自动打开到PMP登陆界面。由于通过HTTPS协议连接，您将会收到提示接受安全证书。点击“是”，在登陆页面输入用户名和密码并点击回车键。对于未做配置的设置，默认的用户名和密码都将是“admin”。每次启动服务器，浏览器都会自动打开。

在Linux中, 打开浏览器并访问以下URL

在远程主机上连接Web客户端

如果您想要在另外一台机器上连接web客户端,而不是在PMP正在运行的机器上连接，那么请打开浏览器，访问以下URL。

由于通过HTTPS协议连接，您将会收到提示接受安全证书。点击“是”，在登陆页面输入用户名和密码并点击回车键。对于未做配置的设置，默认的用户名和密码都将是“admin”。每次启动服务器，浏览器都会自动开启。

使用MS SQL作为后台数据库

PMP支持PostgreSQL、MySQL和MSSQL作为后台数据库。PostgreSQL数据库在默认状态下是与产品绑定在一起的。产品配置为运行PostgreSQL。如果您希望使用MS SQL数据库，请按照以下步骤进行配置：

使用 MS SQL服务器的步骤

为保证更高的安全级别，PMP默认配置为只通过SSL连接到SQL服务器。

步骤汇总：

1. 创建SSL证书并将其安装在Windows证书库（该Windows服务器为正在运行SQL服务器的windows服务器）
• 获取第三方证书颁发机构颁发的证书或者使用自签名证书
2. 将SSL证书导入到PMP
3. 在SQL服务器中启用SSL加密
4. 配置PMP连接到SQL服务器

步骤1 & 2: 创建SSL证书并将其安装在Windows证书库（该Windows服务器为正在运行SQL服务器的windows服务器）

在尝试用SQL服务器连接PMP之前，您需要在SQL服务器中启用SSL加密。在这里，您可以创建一个SSL证书，然后让一个第三方证书颁发机构（CA）去做验证，或者 也可以自行验证。

选项1：

创建证书并由第三方证书颁发机构进行验证：

您可以使用openssl创建证书，共分为以下两步：生成私人密钥和生成证书。使用以下命令创建证书。

Generate private key

openssl genrsa -des3 -out server.key 2048

生成证书请求

当出现如下提示时，请使用服务器私人密钥来创建一个证书请求。 输入密码口令，公用名，主机名称或者IP地址。

openssl req -new -key server.key -out server.csr

在这里，通用名称指的是SQL服务器的正式域名（FQDN）。

• 在生成证书之后，您需要让第三方证书颁发机构（简称CA）如：VeriSign, Thawte, RapidSSL给您的证书做验证，或者您也可以自行验证。在以下的内容中将会对这两种方式做进一步的介绍。请根据您的环境选择一种：
• 一些主要的CA有：Verisign (http://verisign.com), Thawte (http://www.thawte.com), RapidSSL (http://www.rapidssl.com). 更多关于证书签名请求的信息，请查看这些证书颁发机构的文档及网站。另外，需要提示的是：CA对验证这一过程是要收取费用的。
• 通常验证的过程需要几天的时间，到时您会收到已签署的 服务器SSL证书 以及 CA的根证书 的.cer文件
• 服务器证书需要安装在运行SQL服务器的机器上，CA的根证书会安装在PMP服务器上。

在运行SQL服务器的机器上安装服务器证书。您可以使用MMC按照如下步骤操作：

• （在正在运行SQL服务器的机器上）点击开始 >>> 运行 打开MMC控制台。在“运行”对话框中输入： MMC
• 在控制台菜单中，点击添加/删除管理单元。选择“证书”，再次点击添加。您将会收到提示：该管理单元将始终为下列账户管理证书：“我的账户”，“服务账户”，“计算机账户”，选择 计算机账户.
• 选择 证书(本地计算机) >> 个人的 >> 证书
• 右键点击 证书 >> 点击 所有任务 >> 导入
• 浏览并选择已安装的证书

在PMP中安装CA的根证书

• 复制CA根证书并粘贴至 <PMP安装目录 >/bin 目录下

• 在<PMP安装目录>/bin 目录中, 执行以下命令：
  importCert.bat <以上提到的已复制的根证书名称>

• 这样就把证书添加到了PMP证书库中。

选项2：

创建一个自签名证书

如果您想要创建一个自签名证书并使用，您需要在已安装SQL服务器的机器上按照如下步骤操作：

• 在安装了SQL服务器的机器上执行以下命令：
  
  makecert.exe -r -pe -n "CN=pmptestlab.manageengine.com" -b 01/01/2011 -e 01/01/2036 -eku 1.3.6.1.5.5.7.3.1 -ss my -sr localMachine -sky exchange pmptestlab.manageengine.com.cer
  
  在这里，对于CN部分，请输入SQL服务器的正式域名（FQDN）来代替示例中的 pmptestlab.manageengine.com.
• 以上命令将会在您的本地库中安装一个自签名证书。也会将证书存储在文件pmptestlab.manageengine.com.cer中

在PMP中安装服务器证书

• 复制服务器证书并将其粘贴到<PMP安装目录>/bin 目录下
• 在 <PMP安装目录>/bin 目录中, 执行以下命令：
  
  importCert.bat <name of the server certificate>
• 这样就把证书添加到了PMP证书库中。

步骤3： 在SQL服务器中启用SSL加密

 如何在SQL服务器中启用SSL:

• 在正在运行SQL服务器的机器上，点击 开始, 在Microsoft SQL服务器程序组中, 点击 配置工具, 然后点击 SQL服务器配置管理器.
• 扩展SQL服务器网络配置，右键点击您想要使用的服务器协议,然后点击 属性。（该协议是工具左侧面板中的协议选项，不是右侧面板中的某一个具体协议。）
• 在 证书标签下，配置数据库引擎（Database Engine）来使用证书。
• 当服务器引擎的强制加密选项设置为“是”时，所有的客户端和服务器通信都将被加密，不支持加密的客户端将被拒绝访问。
• 当服务器引擎的强制加密选项设置为“否”时，客户端应用可以请求加密，但不是必需的。
• 当您更改了强制加密设置之后，必需重启SQL服务器。

请参考微软知识库中关于“为SQL服务器配置SSL”的章节来了解更多详情。http://msdn.microsoft.com/en-us/library/ms189067.aspx

步骤4：在PMP中执行ChangeDB.bat

现在，您需要通过编辑文件ChangeDB.bat (Windows)或者ChangeDB.sh (Linux)来向PMP提供MSSQL的信息。

• 导航至<PMP安装目录>/bin 文件夹并执行ChangeDB.bat (Windows) 或 sh ChangeDB.sh (Linux)
• 选择 '“服务器类型”' 为MSSQL服务器并输入其他值。
1. 主机名： 安装MSSQL服务器的机器名称或者其IP地址
2. 端口： PMP与数据库连接的端口号。默认是1433。由于PMP只通过SSL模式与MSSQL连接，建议您创建一个专门的数据库运行一个特定的端口供PMP使用。
3. 数据库名称： PMP数据库的名称。默认名称是 "PassTrix"。如果您想要更改为其他名称，可以在这里进行更改。PMP将会生成主密钥（Master Key）, 对称密钥（Symmetric Key）等等。
4. 身份验证：您想要连接SQL服务器的方式。如果您是从Windows中连接SQL服务器，同时PMP服务是以服务账户运行的，您就可以使用Windows的单点登录功能，该功能有权限连接到SQL服务器。如果是这样的话，请选择“Windows”。否则，也选择“SQL”。 建议选择“Windows”，这样一来，用作验证的用户名和密码不会被储存在任何地方。
5. 用户名和密码如果您选择的是“SQL”，请指定PMP连接到数据库的用户名和密码。在这里输入的用户名和密码将会储存在PMP的database_params.conf文件中。因此，您需要确保主机的安全性。
   在这里，如果您是从Windows中连接到数据库，则可以使用您的Windows登陆信息进行登陆。这样的话，需要按照 <domain-name>\<username>的格式输入用户名。
6. 加密密钥: 是指用于将您的数据在SQL服务器中加密并存储的密钥。您可以将其保留为“默认”从而让PMP生成一个密钥。如果您想使用自定义密钥，请选择“自定义”选项。

7. 如果您选择了“自定义”： 如果您您选择了“自定义”，您需要创建一个新的数据库、主密钥、证书（这里将会是证书名），并且使用AES256加密算法创建对称密钥。
   
   您需要执行以下步骤：
   
   创建数据库 -> 更多信息，请参考 http://msdn.microsoft.com/en-us/library/aa258257(v=sql.80).aspx
   创建主密钥 -> 更多信息，请参考 http://technet.microsoft.com/en-us/library/ms174382.aspx
   创建证书 -> 更多信息，请参考 http://msdn.microsoft.com/en-us/library/ms187798.aspx
   创建对称密钥 -> 更多信息，请参考 http://msdn.microsoft.com/en-us/library/ms188357.aspx
   
   在做完以上步骤后，您需要在图形用户界面（GUI）中提供证书名和对称密钥。

• 最后，点击"测试" 来确认连接设置是否正常，然后点击“保存”。

更多关于MS SQL的加密和密钥管理信息，请参考这个微软开发者网络（MSDN）文档 http://msdn.microsoft.com/en-us/library/ms189586.aspx

从MySQL/PostgreSQL中迁移数据到MS SQL数据库中（仅适用于PMP6401及以上版本）

如果您已经在MySQL/PostgreSQL上使用PMP，并且想要使用MS SQL作为后台数据库，您可以按照下列步骤来迁移数据。(这些步骤只适用于从MySQL迁移数据至MS SQL服务器。在此之前，您需要完成以上提到的步骤1至步骤3让MS SQL作为后台数据库)

1. 个人密码管理

• 假如，您或者机构中的其他用户在PMP中使用了“个人密码管理”并且指定了自己的加密密钥，那么该密钥是不会存储在PMP中的，所以按照以上的迁移步骤不会迁移个人密码。用户必须在迁移之前，在个人密码区域中“导出密码”

2. 仅绑定了数据库

• 只有当您的PMP中使用了产品中绑定的数据库时，才可以进行数据库迁移。如果您正在使用的是一个外部数据库，那么以上过程则不适用。

步骤1

• 将整个Password Manager Pro安装文件夹拷贝一份并保存起来。如果数据迁移出现问题，这将成为备份以供使用。
• 关闭PMP服务器。同时，确保mysqld / postgres进程不再运行。

步骤2

• 导航至 <PMP安装目录>/bin 文件夹并执行MigrateDB.bat (Windows)或者sh MigrateDB.sh (Linux)。在弹出窗口中，首先选择阅读“最佳实践指南”（"Best Practices Guide" ），然后选择 “前往迁移设置”。

在打开的窗口中，输入以下信息：

1. 主机名称： 安装了MSSQL服务器的机器名称或者IP地址。
2. 端口： PMP与数据库连接的端口号。默认是1433。由于PMP只通过SSL模式与MSSQL连接，建议您创建一个专门的数据库运行一个特定的端口供PMP使用。
3. 数据库名称： PMP数据库的名称。默认名称是 "PassTrix"。如果您想要更改为其他名称，可以在这里进行更改。PMP将会生成主密钥（Master Key）, 对称密钥（Symmetric Key）等等。
4. 身份验证：您想要连接SQL服务器的方式。如果您是从Windows中连接SQL服务器，同时PMP服务是以服务账户运行的，您就可以使用Windows的单点登录功能，该功能有权限连接到SQL服务器。如果是这样的话，请选择“Windows”。否则，也选择“SQL”。建议选择“Windows”，这样一来，用作验证的用户名和密码不会被储存在任何地方。
5. 用户名和密码如果您选择的是“SQL”，请指定PMP连接到数据库的用户名和密码。在这里输入的用户名和密码将会储存在PMP的database_params.conf文件中。因此，您需要确保主机的安全性。
   在这里，如果您是从Windows中连接到数据库，则可以使用您的Windows登陆信息进行登陆。这样的话，需要按照 <domain-name>\<username>的格式输入用户名。
6. 加密密钥: 是指用于将您的数据在SQL服务器中加密并存储的密钥。您可以将其保留为“默认”从而让PMP生成一个密钥。如果您想使用自定义密钥，请选择“自定义”选项。

7. 如果您选择了“自定义”： 如果您您选择了“自定义”，您需要创建一个新的数据库、主密钥、证书（这里将会是证书名），并且使用AES256加密算法创建对称密钥。您需要执行以下步骤：
   
   创建数据库 -> 更多信息，请参考 http://msdn.microsoft.com/en-us/library/aa258257(v=sql.80).aspx
   创建主密钥 -> 更多信息，请参考 http://technet.microsoft.com/en-us/library/ms174382.aspx
   创建证书 -> 更多信息，请参考 http://msdn.microsoft.com/en-us/library/ms187798.aspx
   创建对称密钥 -> 更多信息，请参考 http://msdn.microsoft.com/en-us/library/ms188357.aspx
   
   在做完以上步骤后，您需要在图形用户界面（GUI）中提供证书名和对称密钥。

步骤3

• 最后，请点击 “测试”来确认连接设置是否正常，然后点击“迁移”。数据迁移的状态将会在文本框中显示。
• 在数据迁移的最后，启动PMP服务器。

故障排除提示

如果您在PMP服务器正在运行时尝试数据库迁移，那么将会在数据库迁移的图形用户界面中看到如下报错： "服务器正在运行。请关闭PMP服务器并重试” 同时，图形用户界面将会保持打开。假如您在关闭服务器后仍收到这个报错，请在<PMP-Installation-Folder>/bin文件夹中删除.lock 文件然后尝试迁移。如果问题仍然存在，请联系PMP支持团队并提供.lock文件。

将MySQL中的数据迁移至PostgreSQL（仅适用于6801及以上版本）

如果您正在MySQL中使用PMP并且希望将PostgreSQL作为后台数据库使用，您可以按照如下步骤迁移数据：

• 停止运行PMP服务器并确保mysql进程不再运行。
• 打开命令提示符并导航至 <PMP安装目录>/bin目录
• 执行MigrateMySQLToPgSQL.bat （在Windows中）或 MigrateMySQLToPgSQL.sh（在Linux中）
• 打开PMP服务器。现在，PMP将以PostgreSQL作为后台数据库运行。

快速入门指南

参考帮助文档"PMP的工作流"部分

如需任何帮助，请联系mes@zohocorp.com.cn，或拨打服务热线：400 660 8680

管理PMP加密密钥（6402及以上版本）

PMP采用AES-256加密来保护密码数据库中的密码及其它敏感数据的安全。加密的密钥是自动生成的并且对每次安装都是唯一的。默认状态下，该加密密钥存储在<PMP_HOME>/conf文件夹中的pmp_key.key文件中。对产品来说，实际上PMP不允许将加密密钥存储在它的安装文件夹中。这样是为了确保在活动数据库和备份数据库中的加密密钥和加密的数据不被存储在一起。

我们强烈建议您将加密密钥从安装了PMP的机器上移出并转存到其它机器或外置驱动器中。您可以提供放置pmp_key.key文件的完整路径，然后手动将该文件移动到那个位置并删除PMP服务器安装文件夹中的所有引用。该路径可以是一个映射过的网络驱动器或者外部USB设备（硬盘驱动器/拇指驱动器）。

PMP会把pmp_key.key文件存储在<PMP_HOME>/conf文件夹下的一个名叫manage_key.conf的配置文件中。您也可以直接编辑该配置文件来更改密钥文件的位置。在配置完文件夹位置之后，将pmp_key.key文件移动到这个位置，并确保该文件或者键值不被储存在PMP安装文件夹中的任何位置。

pmp_key.key文件夹需要在每次PMP启动时都可以通过必要的权限接受访问从而读取pmp_key.key文件。在成功启动后，就不需要再对该文件进行访问了，所以存储该文件的设备就可以关闭了。

动态轮换加密密钥

尽管加密密钥可以在PMP外部得到妥善保管，但是定期更换加密密钥也是很有必要的。PMP可以实现自动轮换加密密钥。

轮换密钥的原理

PMP会在以下的路径中寻找当前的加密密钥：在<PMP_HOME>/conf文件夹下的 manage_key.conf文件中设置了pmp_key.key文件的路径。只有当密钥存在于指定的路径中，轮换过程才能继续。在轮换加密密钥之前，PMP会先将整个数据库进行整体备份，以防在轮换过程中出现任何问题导致数据丢失。

在密钥更改过程中，所有的密码和敏感数据先是使用当前的加密密钥进行加密，然后再用轮换后的新密钥进行加密。随后，新的密钥将会被写入到manage_key.conf文件中所指定位置的pmp_key.key文件中。如果在写入密钥的过程中出错，密码轮换过程将会中止。在轮换成功之后，PMP会把旧密钥写入到包含新密钥的文件中。

如何轮换加密密钥（如果未使用“高可用性”）

• 当前的加密密钥(pmp_key.key file)应保存在manage_key.conf文件指定的位置。同时，请确保PMP在访问pmp_key.key文件时使用的是读/写权限。
• 关闭PMP服务器
• 打开命令提示符，导航至 <PMP-Installation-Folder>/bin 目录并执行 RotateKey.bat（在Windows中）或 sh RotateKey.sh（在Linux中）
• 根据需要管理的密码和其他参数的数量，更改过程需要花上几分钟的时间。
• 当您看到轮换成功完成的确认信息后，就可以启动PMP服务器了。

如何轮换加密密钥（如果使用了“高可用性”）

• 在网页端点击“管理”>>“全局”>>“高可用性”。确保高可用性和复制状态是开启的。
• 当前的加密密钥(pmp_key.key file)应保存在manage_key.conf文件指定的位置。同时，请确保PMP在访问pmp_key.key文件时使用的是读/写权限。
• 关闭PMP主服务器，同时确保PMP从属服务器正在运行。
• 在PMP初始安装后打开命令提示符并导航至/bin目录，执行RotateKey.bat (在Windows中) 或 sh RotateKey.sh (在Linux中) 。
• 根据需要管理的密码的数量和其他参数的数量，轮换过程需要花上几分钟的时间。然后，您将看到轮换成功的确认信息。
• 您需要在初始安装时将新的加密密钥复制下来，放到manage_key.conf文件指定的备份检索pmp_key.key文件的位置。（也就是说，您可以将初始安装时的 pmp_key.key文件复制下来，放到manage_key.conf文件中所指定的位置。然后，您就可以进行初始和备份服务器了。

 

管理PMP数据库密码

• 除了AES加密，PMP数据库是通过一个单独的密码进行保护的，这个密码是自动生成的并且在每次安装中都是唯一的。
• 数据库的密码可以在PMP自身中得到安全存储。
• 也可以将该密码存储在PMP服务器能访问的其他安全位置。

交给PMP

• 如果您选择把密码交给PMP管理，就无需做任何操作，PMP将会自动去处理。

自行存储

• 默认状态下，数据库密码会放在<PMP Installation Folder>/conf/database_params.conf 文件中。
• 如果您选择自己管理数据库密钥，需要将这个配置文件存储在一个安全的地方，并将这个地址告知PMP。

• 如果您已将PMP作为服务启动，前往<<PMP Installation Folder>/conf/wrapper.conf (在Windows中) / <PMP Installation Folder>/conf/wrapper_lin.conf (在Linux中) ，并在"Java Additional Parameters"中编辑以下参数：
  wrapper.java.additional.9=-Ddatabaseparams.file=<database_params.conf文件的完整路径>

• 如果您是从命令行或者“开始”--“程序”中启动的PMP，需要编辑<PMP Installation Folder>/conf目录中的system_properties.conf文件。在这个文件中，在"Splash Screen default Properties"下编辑以下入口：
  databaseparams.file=<database_params.conf文件的完整路径>

PMP使用的端口

PMP使用如下两个端口：

• PostgreSQL 端口: 2345
• Web客户端端口: 7272

许可

共有三种许可类型：

• 评估版 下载30天有效，最多可支持2个管理员
• 免费版 授权软件，可以有1个管理员，最多支持10个资源。永久有效
• 已注册版本 - 需要根据管理员的数量和版本（标准版/白金版/企业版）的类型进行购买：
  • 标准版 - 如果您想要拥有一个安全的密码库来存储您的密码并且有选择地将密码在企业用户中共享，那么就可以选择标准版。
  • 白金版版 - 除了存储和共享密码，如果您还希望拥有企业级密码管理功能，如：远程密码重置，密码告警及通知，应用程序间的密码管理、报表、高可用性及其他功能，白金版将会是您最好的选择。

功能列表

• 了解更多信息以及获取许可，请联系mes@zohocorp.com.cn

将PMP在同一台/不同机器上移动

如果您想要将已安装在一台机器上的PMP移动到另外一台机器或者移动到同一台机器的其它地方，请按照以下步骤进行操作：

注意事项

• 在确保PMP最新安装正常运行之前，请不要删除之前已有的安装。这样是为了保证在移动的过程中应对灾难或数据损坏所保留的备份。

过程

如果您使用的是绑定在PMP中的PostgreSQL数据库

• 将现有的数据库进行备份在新机器上安装相同版本的PMP（正在运行的版本）
• 安装完成后，恢复备份数据

如果您使用的是MySQL作为后台数据库

• 如果PMP服务器/服务正在运行，请将其停止
• 如果您已安装PMP并且是作为启动服务运行的，请在继续下一步之前移除该服务
• 对于移除服务的步骤，请参考以下表格
• 将整个PMP安装文件夹压缩成zip文件，将该zip文件移动到另外一台机器或者所要求的同一台机器上的其他位置。 然后进行安装并作为服务运行。

MSP版本

如果您想使用PMP的MSP版本，请参考该部分 帮助文档。