IMPORTANT: Avant de commencer ce processus, vous devez installer et configurer le
OpenSSL kit d’outils. L’installation et la configuration du kit d’outils permettent de s’assurer que toutes les bibliothèques et fichiers de configuration nécessaires pour OpenSSL sont en place:
- Téléchargez et installez le OpenSSL kit d’outils.
REMARQUES :
- Vous devez télécharger et utiliser la version complète d’OpenSSL. N’utilisez pas la version légère.
- La version actuelle est Win64 OpenSSL v3.0.2 140 Mo installer EXE MSI.
- Extrayez et installez la version téléchargée en fonction de votre plate-forme (32 ou 64 bits).
NOTE: Pour plus d’informations sur l’obtention de la boîte à outils OpenSSL, reportez-vous au site OpenSSL.
- Créez le dossier suivant: c:\ssl\keys
- Ouvrez une invite de commande en tant qu’administrateur. Remplacez le répertoire par le dossier OpenSSL bin dans lequel OpenSSL est installé. Exemple : cd C:\OpenSSL-Win64\bin
Obtenez un certificat SSL personnalisé à utiliser avec ePO:
- Créez une nouvelle clé privée à l’aide d’OpenSSL avec une force 2 048 bits et chiffrez-la à l’aide des éléments suivants des3:
openssl genpkey -out c:\ssl\keys\mcafee.key -algorithm RSA -pkeyopt rsa_keygen_bits:2048
- Enregistrez une copie du fichier chiffré .key . Vous avez besoin de la clé pour créer une version non chiffrée à l’étape 7 pour l’importation dans ePO.
- Les versions ultérieures des Chrome et Edge nécessitent un certificat contenant le champ Nom d’objet alt. Pour créer une demande de signature de certificat (CSR) à utiliser avec Chrome ou Edge, vous devez commencer par créer un fichier de configuration en procédant comme suit:
- Créez un fichier nommé sancert.cnf avec les informations fournies ci-dessous.
- Enregistrez-le dans le C:\OpenSSL-Win64\bin dossier ou l’emplacement où OpenSSL il est installé, tant qu’il se trouve dans le dossier bin.
- Ne modifiez rien dans ou dans la [req][ req_ext ] section ci-dessous.
- Remplacez les informations lorsque cela est nécessaire dans et dans les [dn][alt_names] sections. Si vous n’utilisez pas les paramètres DNS.1-3, supprimez tous les paramètres non utilisés afin que seuls les noms DNS valides soient répertoriés.
Exemple :
[ req ]
default_bits = 2048
distinguished_name = dn
req_extensions = req_ext
[ dn ]
C=US
ST=State name (note: use full state name instead of abbreviation)
L=City
O=Organization name
OU=Domain name
CN=fqdn of server name
[ req_ext ]
subjectAltName = @alt_names
[alt_names]
DNS.1 = dns1
DNS.2 = dns2.com (optional)
DNS.3 = dns3.com (optional)
- Créez le CSR avec le nom commun (CN), qui voit sancert.cnf ensuite pour ajouter le Nom d’objet alternatif.
Exécutez la commande ci-dessous et remplacez les valeurs correctes dans les guillemets.
openssl req -key c:\ssl\keys\mcafee.key -config sancert.cnf -new -subj "/C=US/ST=state/L=city/O=OrgName/OU=domain.com/CN=servername.domain.com" -out c:\ssl\keys\mcafee.csr
NOTE: La
CN= valeur est la valeur à laquelle le certificat est émis, qu’il s’agisse du nom de domaine complet (FQDN) ou du nom NetBIOS du serveur. Si ePO est en cluster, utilisez le nom du cluster virtuel. Ces valeurs sont entrées dans le champ d’objet du certificat.
- Pour obtenir le certificat serveur, soumettez le CSR à votre autorité de certification tierce partie ou à votre autorité de certification de l’entreprise.
Un certificat SSL personnalisé peut être certifié à l’aide de l’un des certificats ci-dessous:
- Un ECA (autorité de certification de domaine dans Windows):
- Sur le contrôleur de domaine serveur d’une autorité de certification, ouvrez une invite de commande en tant qu’administrateur.
- Exécutez la commande ci-dessous. Cette commande force l’utilisation du modèle de serveur web qui génère le certificat serveur.
certreq -submit -attrib "CertificateTemplate: WebServer" c:\ssl\keys\mcafee.csr
NOTE: Le nom du modèle peut différer selon votre autorité de certification, tant qu’il s’agit d’un modèle de type serveur web.
- Cliquez sur OK lorsque la fenêtre de dialogue s’affiche pour le serveur LDAP.
- Enregistrez dans l’emplacement .cer de votre choix. Un .cer fichier contenant le certificat d'une autorité de certification racine et le certificat ePO est créé.
- Une autorité de certification tierce partie, telle que Verisign ou Entrust:
L’autorité de certification tierce partie peut fournir un seul fichier (.cer) de certificat ou parfois plusieurs fichiers (.crt) de certificat. Le certificat obtenu contient toujours le certificat racine de l’autorité de certification et certificat serveur au moins.
Par exemple :
- Un fichier de certificat racine représentant le certificat racine
- Un fichier de certificat pour un certificat intermédiaire
- Une certificat serveur
Les trois fichiers de
(.crt) certificats sont combinés dans le format approprié pour qu’ePO les utilise avec les étapes suivantes. Cependant, si l’autorité de certification est en mesure de fournir le certificat au
PKCS#7 format, il n’a pas besoin d’une conversion supplémentaire. Vous pouvez fournir le fichier résultant
(.cer) à ePO.
Si vous recevez .crt des fichiers distincts, suivez les étapes ci-dessous pour combiner les .crt fichiers.
- Utilisez l’Assistant Exporter le certificat dans Windows ou OpenSSL pour Windows ou Linux à l’aide de la commande ci-dessous:
openssl crl2pkcs7 -nocrl -certfile cert1.crt -certfile cert2.crt -certfile cert3.crt -out outfile.p7b
NOTE: La commande crée un fichier de chaîne de certificats à partir des 'cert1.crt, cert2.crt, cert3.crt' fichiers appelés outfile.p7b. Le p7b fichier contient la chaîne de certificats entière, qui peut être fournie à ePO. L’ordre de la chaîne doit être le suivant: certificat racine, certificat intermédiaire (s’il existe) et certificat ePO.
- A l’aide de la OpenSSL boîte à outils et du fichier chiffré .key à l’étape 1, et créez une version non chiffrée de la clé privée pour la saisie dans ePO:
Pour la version 1.xd’OpenSSL, utilisez la commande ci-dessous:
openssl rsa -in c:\ssl\keys\mcafee.key -out c:\ssl\keys\unsecured.mcafee.pem
Pour la version 3.xd’OpenSSL, utilisez les commandes ci-dessous:
NOTE: Cette étape est essentielle lorsque vous utilisez une version supérieure d’OpenSSL ou toute méthode qui génère la clé au pkcs8 format. Actuellement, le certificat de navigateur n’est pas pris en charge pkcs8 . Il est donc nécessaire de convertir la pkcs8 clé en pkcs1. Les deux commandes doivent être exécutées.
openssl pkcs8 -in c:\ssl\keys\mcafee.key -topk8 -nocrypt -out c:\ssl\keys\pkcs8mcafee.pem
openssl pkcs8 -in c:\ssl\keys\pkcs8mcafee.pem -traditional -nocrypt -out c:\ssl\keys\unsecured.mcafee.pem
- Utilisez le nouveau certificat et le fichier de clé privée pour mettre à jour le certificat ePO:
IMPORTANT : Avant d’importer un certificat dans la console ePO, sauvegardez le fichier <ePO installation folder> \Server\keystore\ des packages Add-on du serveur.
NOTE: En plus de cette liste, le certificat de navigateur présenté doit être reconnu comme approuvé. Cette étape est importante pour qu’elle puisse être approuvée avec votre autorité de certification d’entreprise lorsqu’elle est ajoutée à la liste Des autorités de certification racine approuvées. Pour plus d’informations, consultez la documentation de votre système d’exploitation.
- Connectez-vous à la console ePO.
- Cliquez sur Menu, Système, Paramètres serveur.
- Cliquez sur Certificat serveur sous Catégories de paramètres, puis sur Modifier.
- Sélectionnez Utiliser le certificat et la clé privée fournis.
- Cliquez sur Parcourir dans le champ Certificat (P7B, PEM). Recherchez et sélectionnez le fichier de certificat (.p7b ou .cer). Cliquez ensuite sur Ouvrir.
- Cliquez sur Parcourir dans le champ Clé privée (fichier PEM).
- Accédez au fichier de clé privée (unsecured.mcafee.pem dans ce cas), sélectionnez-le, puis cliquez sur Ouvrir.
- Cliquez sur Enregistrer.
- Redémarrez les services ePO :
- Appuyez sur Windows+R, saisissez services.msc, puis cliquez sur OK.
- Cliquez avec le bouton droit de la souris sur chacun des services ePO suivants, puis cliquez sur Redémarrer:
McAfee ePolicy Orchestrator x.x.x Application Server
McAfee ePolicy Orchestrator x.x.x Event Parser
McAfee ePolicy Orchestrator x.x.x Server
- Fermez la fenêtre services.