Erstellen eines benutzerdefinierten SSL-Zertifikats zur Verwendung mit ePolicy Orchestrator anhand des OpenSSL-Toolkits
Technische Artikel ID:
KB72477
Zuletzt geändert am: 2021-01-26 07:45:02 Etc/GMT
Umgebung
McAfee ePolicy Orchestrator (ePO) 5.x
Zusammenfassung
Für die Authentifizierung eines Browsers, z. B. Internet Explorer (IE) oder Firefox, beim ePO-Server kann anstelle des selbstsignierten Standardzertifikats auch ein benutzerdefiniertes SSL-Zertifikat verwendet werden.
In diesem Artikel wird eine Methode zum Erstellen eines benutzerdefinierten SSL-Zertifikats beschrieben, das von einer unabhängigen Zertifizierungsstelle, wie z. B. Verisign, signiert wurde.
HINWEIS: Die ePO-Plattform bietet die technischen Voraussetzungen zur Unterstützung der Integration von Drittanbieterzertifikaten, die Erstellung, Validierung oder Fehlerbehebung von Drittanbieterzertifikaten wird jedoch nicht unterstützt.
Lösung
1
WICHTIG: Bevor Sie mit diesem Verfahren beginnen, müssen Sie erst das OpenSSL-Toolkit installieren und konfigurieren. Hierdurch wird sichergestellt, dass alle erforderlichen Bibliotheken und Konfigurationsdateien für OpenSSL zur Verfügung stehen, bevor Sie diesen Vorgang starten:
- Laden Sie das OpenSSL-Toolkit unter dieser Adresse herunter:
https://slproweb.com/products/Win32OpenSSL.html
HINWEIS: Laden Sie die Datei Win64 OpenSSL v1.0.2j herunter. Führen Sie diese Installation nur durch, wenn Sie Software-Entwickler sind und 64-Bit-OpenSSL für Windows benötigen, und nur auf 64-Bit-Versionen von Windows.
- Extrahieren und installieren Sie das Paket Win64 OpenSSL v1.0.2j. Weitere Informationen zum Herunterladen des OpenSSL-Toolkits finden Sie unter http://www.openssl.org/.
- Erstellen Sie den folgenden Ordner:
c:\ssl\keys
- Navigieren Sie zu C:\OpenSSL–Win64\bin\, und führen Sie die Datei openssl.exe aus.
So beschaffen Sie sich ein benutzerdefiniertes SSL-Zertifikat zur Verwendung mit ePO:
- Erstellen Sie mithilfe von OpenSSL einen neuen privaten 2048-Bit-Schlüssel unter Verwendung des Verschlüsselungsverfahrens des3:
openssl> genrsa -des3 -out c:\ssl\keys\mcafee.key 2048
- Erzeugen Sie die Datei für die Zertifikatssignaturanforderung (Certificate Signing Request, CSR):
openssl> req -new -key c:\ssl\keys\mcafee.key -out c:\ssl\keys\mcafee.csr
Wenn eine Fehlermeldung zu einer fehlenden Datei openssl.cnf angezeigt wird (z. B. "Unable to open config info openssl.cnf"), müssen Sie den Befehl so anpassen, dass der Pfad zur Datei openssl.cnf von der ePO-Installation aus angegeben wird. Beispiel:
openssl> req -new -key c:\ssl\keys\mcafee.key -out c:\ssl\keys\mcafee.csr -config "C:\Program Files\McAfee\ePolicy Orchestrator\Apache2\Conf\openssl.cnf"
HINWEIS: Zur Erzeugung der CSR müssen Sie in den angezeigten Eingabeaufforderungen jeweils die entsprechenden Informationen eingeben, wie im folgenden Beispiel veranschaulicht. Das CN-Attribut muss den Namen des ePO-Servers tragen, für den das Zertifikat von der Zertifizierungsstelle ausgestellt werden soll.
Beispiel: EPOSRV ist der Systemname des ePO-Servers, der in der Aufforderung unten als "Common Name" (allgemeiner Name) angegeben ist:
Enter pass phrase for the mcafee.key: You are about to be asked to enter information that will be incorporated into your certificate request. (Geben Sie die Passphrase für den mcafee.key ein: Sie werden nun zur Eingabe von Informationen aufgefordert, die in Ihre Zertifikatanforderung einbezogen werden.)
What you are about to enter is what is called a Distinguished Name or a DN. (Sie werden nun den sogenannten "Distinguished Name" (eindeutigen Namen), kurz DN, eingeben.)
There are quite a few fields but you can leave some blank. (Es gibt mehrere Felder, einige davon können Sie jedoch leer lassen.)
For some fields there will be a default value. (In einigen Feldern ist schon ein Standardwert vorgegeben.)
If you enter '.', the field will be left blank. (Wenn Sie "." eingeben, bleibt das Feld leer.)
-----
Country Name (2 letter code) [US]: US (zweibuchstabiger Ländercode)
State or Province Name (full name) [Some-State]: Oregon (vollständiger Name des Bundeslands/Kantons)
Locality Name (eg, city) []: Beaverton (vollständiger Name des Ortes)
Organization Name (eg, company) [Internet Widgits Pty Ltd]: XYZ Inc. (Name des Unternehmens)
Organizational Unit Name (eg, section) []: Tech. Support (Name der Organisationseinheit)
Common Name (eg, YOUR name) []: EPOSRV (Common Name)
Email Address []: support@xyz.com (E-Mail-Adresse)
Please enter the following 'extra' attributes
to be sent with your certificate request (Geben Sie die folgenden "zusätzlichen" Attribute ein, die mit Ihrer Zertifikatanforderung gesendet werden sollen.)
A challenge password []: password (abzufragendes Kennwort)
An optional company name []: (optionaler Unternehmensname)
- Senden Sie die Zertifikatssignatur-Anfrage (CSR) an eine unabhängige Zertifizierungsstelle oder eine Unternehmenszertifizierungsstelle, um das Server-Zertifikat zu erhalten.
Das benutzerdefinierte SSL-Zertifikat kann von einer ECA (einer Domänen-Zertifizierungsstelle in Windows) oder einer unabhängigen Zertifizierungsstelle, wie z. B. Verisign oder Entrust, zertifiziert werden. Sie erhalten möglicherweise eine einzelne Zertifikatsdatei (.cer) oder in bestimmten Fällen mehrere Zertifikatsdateien (.crt) von der unabhängigen Zertifizierungsstelle, beispielsweise eine Stammzertifikatsdatei als Stammzertifikat, eine Zertifikatsdatei als Zwischenzertifikat und schließlich das eigentliche Server-Zertifikat.
Diese drei Zertifikatdateien (.crt) können wie folgt in das für ePO benötigte Format kombiniert werden. Wenn die Zertifizierungsstelle das Zertifikat jedoch im PKCS#7-Format bereitstellen kann, ist keine weitere Umwandlung erforderlich, und die resultierende CER-Datei kann an ePO übergeben werden. (Möglicherweise müssen Sie die Datei zuvor in .p7b umbenennen.)
- Damit das benutzerdefinierte SSL-Zertifikat die gesamte Zertifikatskette repräsentiert und Sie es mit ePO verwenden können, müssen Sie die .crt-Dateien kombinieren und als .p7b-Datei exportieren. Verwenden Sie hierfür den Zertifikatexport-Assistenten in Windows oder OpenSSL für Windows/Linux:
openssl> crl2pkcs7 -nocrl -certfile cert1.crt -certfile cert2.crt -certfile cert3.crt -out outfile.p7b
HINWEIS: Mit diesem Befehl erstellen Sie aus den Dateien cert1.crt, cert2.crt und cert3.crt eine neue Zertifikatskettendatei mit dem Namen outfile.p7b. Die .p7b-Datei enthält die gesamte Zertifikatskette, die nun in ePO verwendet werden kann.
- Erstellen Sie eine unverschlüsselte Version des privaten Schlüssels zur Verwendung in ePO:
openssl> rsa -in mcafee.key -out unsecured.mcafee.key
- Aktualisieren Sie das ePO-Zertifikat mithilfe der Zertifikatskette und der Datei des privaten Schlüssels:
HINWEIS: Achten Sie darauf, dass die Zertifizierungsstelle von Ihrer Unternehmens-Zertifizierungsstelle als vertrauenswürdig eingestuft wird und in der Liste der vertrauenswürdigen Stammzertifizierungsstellen aufgeführt ist. Dies ist erforderlich, damit das vom Browser verwendete Zertifikat als vertrauenswürdig erkannt wird. Ausführliche Informationen hierzu finden Sie in der Dokumentation zu Ihrem Betriebssystem.
- Melden Sie sich bei der ePO-Konsole an.
- Klicken Sie auf Menü, auf Konfiguration und dann auf Server-Einstellungen.
- Klicken Sie unter 'Einstellungskategorien' auf Server-Zertifikat und dann auf Bearbeiten.
- Wählen Sie Angegebenes Zertifikat und angegebenen privaten Schlüssel verwenden aus.
- Klicken Sie im Feld für das Zertifikat (P7B, PEM-Datei) auf Durchsuchen, navigieren Sie zur Zertifikatsdatei (.p7b), wählen Sie sie aus, und klicken Sie dann auf Öffnen.
- Klicken Sie im Feld für den privaten Schlüssel (PEM-Datei) auf Durchsuchen, navigieren Sie zur Datei mit dem privaten Schlüssel (in diesem Fall unsecured.mcafee.key), wählen Sie sie aus, und klicken Sie dann auf Öffnen.
- Klicken Sie auf Speichern.
- Drücken Sie die WINDOWS-TASTE+R, geben Sie services.msc ein, und klicken Sie dann auf OK.
- Klicken Sie mit der rechten Maustaste auf jeden der folgenden ePO-Dienste, und klicken Sie dann auf Neu starten:
McAfee ePolicy Orchestrator x.x.x-Anwendungs-Server
McAfee ePolicy Orchestrator x.x.x-Ereignisanalyse
McAfee ePolicy Orchestrator x.x.x-Server
Lösung
2
Falls es bei der Anwendung des benutzerdefinierten SSL-Zertifikats zu einem Fehler kommt oder ein Rollback erfolgen muss:
- Navigieren Sie zu <ePO-Installationsverzeichnis>\Server\keystore\.
- Suchen Sie folgende Datei(en):
- server.keystore
- server.keystore.backup<Datumsangabe>
- Benennen Sie server.keystore in server.keystore.bad um.
- Benennen Sie server.keystore.backup<Datumsangabe> in server.keystore um.
- Drücken Sie die WINDOWS-TASTE+R, geben Sie services.msc ein, und klicken Sie dann auf OK.
- Klicken Sie mit der rechten Maustaste auf jeden der folgenden ePO-Dienste, und klicken Sie dann auf Neu starten:
McAfee ePolicy Orchestrator x.x.x-Anwendungs-Server
McAfee ePolicy Orchestrator x.x.x-Ereignisanalyse
McAfee ePolicy Orchestrator x.x.x-Server
Haftungsausschluss
Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.
|