IMPORTANTE: Prima di iniziare questo processo, è necessario installare e configurare il
OpenSSL toolkit. L'installazione e la configurazione del toolkit assicurano l'utilizzo di tutte le librerie e i file di configurazione necessari per OpenSSL:
- Scaricare e installare il OpenSSL toolkit.
NOTE:
- È necessario download utilizzare la versione completa di OpenSSL. Non utilizzare la versione light.
- La versione corrente è Win64 OpenSSL v3.0.2 140-MB installer EXE MSI.
- Estrarre e installare la versione scaricata in base alla piattaforma (a 32 o 64 bit).
NOTA: Per ulteriori informazioni su come ottenere il toolkit OpenSSL, vedere il sito OpenSSL.
- Creare la cartella seguente: c:\ssl\keys
- Aprire un prompt dei comandi come amministratore. Modificare la directory nella cartella OpenSSL bin in cui è installato OpenSSL. Esempio: cd C:\OpenSSL-Win64\bin
Ottenere un certificato SSL personalizzato da utilizzare con ePO:
- Creare un nuovo chiave privata utilizzando OpenSSL con potenza di 2048 bit e crittografarlo utilizzando des3:
openssl genpkey -out c:\ssl\keys\mcafee.key -algorithm RSA -pkeyopt rsa_keygen_bits:2048
- Salvare una copia del file crittografato .key . È necessaria la chiave per creare una versione non crittografata al passaggio 7 per l'importazione in ePO.
- Nelle versioni successive di Chrome e Edge è necessario un certificato con il campo Subject Alt Name compilato. Per creare una richiesta di firma del certificato (CSR, Certificate Signing Request) da utilizzare con Chrome o Edge, è necessario creare un file di configurazione eseguendo la procedura seguente:
- Creare un file denominato sancert.cnf con le informazioni fornite di seguito.
- Salvarla nella C:\OpenSSL-Win64\bin cartella o nel percorso OpenSSL di installazione finché si trova nella cartella bin.
- Non modificare nulla nella sezione o [req] nella [ req_ext ] sezione sottostante.
- Se necessario, sostituire le informazioni nelle [dn] sezioni e [alt_names] . Se non si utilizzano i parametri DNS.1-3, rispostare i parametri inutilizzati in modo che siano elencati solo i nomi DNS validi.
Esempio:
[ req ]
default_bits = 2048
distinguished_name = dn
req_extensions = req_ext
[ dn ]
C=US
ST=State name (note: use full state name instead of abbreviation)
L=City
O=Organization name
OU=Domain name
CN=fqdn of server name
[ req_ext ]
subjectAltName = @alt_names
[alt_names]
DNS.1 = dns1
DNS.2 = dns2.com (optional)
DNS.3 = dns3.com (optional)
- Creare il CSR con il nome comune (CN), sancert.cnf che viene quindi visualizzato per aggiungere il nome alternativo dell'oggetto.
Eseguire il comando seguente e sostituire i valori corretti tra virgolette.
openssl req -key c:\ssl\keys\mcafee.key -config sancert.cnf -new -subj "/C=US/ST=state/L=city/O=OrgName/OU=domain.com/CN=servername.domain.com" -out c:\ssl\keys\mcafee.csr
NOTA: Il
CN= valore è l'ambito di emissione del certificato, sia che si tratta del nome di dominio completo o del nome NetBIOS del server. Se ePO è in cluster, utilizzare il nome del cluster virtuale. Questi valori vengono immessi nel campo dell'oggetto del certificato.
- Per ottenere il certificato del server, inviare il CSR all'autorità di certificazione di terze parti o all'autorità di certificazione enterprise.
Un certificato SSL personalizzato può essere certificato utilizzando una delle seguenti opzioni:
- ECA (un'autorità di certificazione del dominio Windows):
- Sul server controller di dominio CA, aprire un prompt dei comandi come amministratore.
- Eseguire il comando seguente. Questo comando impone l'utilizzo del modello server Web che genera il certificato del server.
certreq -submit -attrib "CertificateTemplate: WebServer" c:\ssl\keys\mcafee.csr
NOTA: Il nome del modello potrebbe essere diverso per l'autorità di certificazione, purché si tratta di un modello di tipo WebServer.
- Fare clic su OK quando viene visualizzata la finestra di dialogo per server LDAP.
- Salvare il .cer nella posizione desiderata. Viene .cer creato un file che contiene il certificato certificato CA radice e di ePO.
- Un'autorità di certificazione di terze parti, ad esempio Verisign o Entrust:
L'autorità di certificazione di terze parti potrebbe fornire un singolo file di certificato (.cer) o talvolta più di un file di certificato (.crt). Il certificato ottenuto contiene sempre il certificato radice CA e certificato del server almeno.
Ad esempio:
- Un file di certificato radice che rappresenta il certificato radice
- Un file di certificato per un certificato intermedio
- Una certificato del server
I tre file di certificato
(.crt) vengono combinati nel formato corretto per l'utilizzo di ePO con i passaggi seguenti. Tuttavia, se l'autorità di certificazione è in grado di fornire il certificato in
PKCS#7 formato, non è necessaria un'ulteriore conversione. È possibile fornire il file risultante
(.cer) a ePO.
Se si ricevono file separati .crt , seguire la procedura riportata di seguito per combinare i .crt file.
- Utilizzare la procedura guidata Esporta certificato in Windows OpenSSL per Windows o Linux utilizzando il comando seguente:
openssl crl2pkcs7 -nocrl -certfile cert1.crt -certfile cert2.crt -certfile cert3.crt -out outfile.p7b
NOTA: Il comando crea un file della catena di certificati dai 'cert1.crt, cert2.crt, cert3.crt' file denominati outfile.p7b. Il p7b file contiene l'intera catena di certificati, che può essere fornita a ePO. L'ordine della catena deve essere il seguente: certificato radice, certificato intermedio (se esistente) e certificato ePO.
- Utilizzando il OpenSSL toolkit e .key il file crittografato del passaggio 1 e creare una versione non crittografata del chiave privata per l'inserimento in ePO:
Per la versione OpenSSL 1.x, utilizzare il comando seguente:
openssl rsa -in c:\ssl\keys\mcafee.key -out c:\ssl\keys\unsecured.mcafee.pem
Per la versione OpenSSL 3.x, utilizzare i comandi seguenti:
NOTA: Questo passaggio è critico quando si utilizza una versione più recente di OpenSSL o qualsiasi metodo che generi la chiave in pkcs8 formato. Attualmente non è supportato il pkcs8 certificato del browser, pertanto è necessario convertire la pkcs8 chiave in pkcs1. È necessario eseguire entrambi i comandi.
openssl pkcs8 -in c:\ssl\keys\mcafee.key -topk8 -nocrypt -out c:\ssl\keys\pkcs8mcafee.pem
openssl pkcs8 -in c:\ssl\keys\pkcs8mcafee.pem -traditional -nocrypt -out c:\ssl\keys\unsecured.mcafee.pem
- Utilizzare il nuovo certificato e il chiave privata per aggiornare il certificato ePO:
IMPORTANTE: Prima di importare un certificato nella console ePO, eseguire il backup <ePO installation folder> \Server\keystore\ Cartella.
NOTA: Oltre a questo elenco, il certificato del browser presentato deve essere riconosciuto come affidabile. Questo passaggio è importante in modo che possa essere considerato affidabile con l'autorità di certificazione aziendale quando viene aggiunto all'elenco autorità di certificazione radice affidabile. Per ulteriori informazioni, consultare la documentazione del sistema operativo in uso.
- Accedere alla console di ePO.
- Fare clic su Menu, Configurazione, Impostazioni del server.
- Fare clic su Certificato del server in Categorie di impostazioni, quindi fare clic su Modifica.
- Selezionare Usa il certificato fornito e fare chiave privata.
- Fare clic su Sfoglia nel campo Certificato (P7B, PEM). Individuare e selezionare il file del certificato (.p7b o .cer). Quindi, fare clic su Apri.
- Fare clic su Sfoglia nel campo Chiave privata (file PEM).
- Accedere a e selezionare il file chiave privata (unsecured.mcafee.pem in questo caso), quindi fare clic su Apri.
- Fare clic su Salva.
- Riavviare i servizi ePO:
- Premere Windows+R, digitare services.msce fare clic su OK.
- Fare clic con il pulsante destro del mouse sui servizi ePO seguenti e scegliere Riavvia:
McAfee ePolicy Orchestrator x.x.x Application Server
McAfee ePolicy Orchestrator x.x.x Event Parser
McAfee ePolicy Orchestrator x.x.x Server
- Chiudere la finestra dei servizi.