IMPORTANTE:: Antes de iniciar esse processo, você deve instalar e configurar o
OpenSSL kit de ferramentas. A instalação e a configuração do kit de ferramentas garantem que todas as bibliotecas e arquivos de configuração necessários para o OpenSSL sejam instalados:
- Faça download e instale o OpenSSL kit de ferramentas.
NOTAS:
- Você deve fazer download e usar a versão completa do OpenSSL. Não use a versão light.
- A versão atual é o instalador EXE de 140 MB do OpenSSL v3.0.2 140 MB MSI.
- Extraia e instale a versão baixada com base na sua plataforma (32 bits ou de 64 bits).
OBSERVAÇÃO:: Para obter mais informações sobre como obter o OpenSSL Toolkit, consulte o site OpenSSL.
- Crie a seguinte pasta: c:\ssl\keys
- Abra um prompt de comando como Administrador. Altere o diretório para a pasta Bin OpenSSL em que o OpenSSL está instalado. Exemplo: cd C:\OpenSSL-Win64\bin
Obtenha um certificado SSL personalizado para usar com o ePO:
- Crie um novo chave privada usando o OpenSSL com força de 2.048 bits e criptografe-o usando des3:
openssl genpkey -out c:\ssl\keys\mcafee.key -algorithm RSA -pkeyopt rsa_keygen_bits:2048
- Salvar uma cópia do arquivo .key arquivo. Você precisa da chave para criar uma versão não criptografada na etapa 7 para importar para o ePO.
- Versões posteriores Chrome e Edge requerem um certificado com o campo Assunto Alt Nome preenchido. Para criar uma Solicitação de assinatura de certificado (CSR) para uso com o Chrome ou Edge, você precisa primeiro criar uma configuração arquivo executando as etapas abaixo:
- Crie um arquivo nomeada sancert.cnf com as informações fornecidas abaixo.
- Salvar na pasta C:\OpenSSL-Win64\bin , ou OpenSSL onde o está instalado, desde que ele se instale na pasta bin.
- Não altere nada no ou [req][ req_ext ] seção abaixo.
- Substitua as informações quando necessário nas [dn] seções e [alt_names] . Se você não usar os parâmetros DNS.1-3, remova parâmetros não usado para que apenas os nomes de DNS válidos sejam listados.
Exemplo:
[ req ]
default_bits = 2048
distinguished_name = dn
req_extensions = req_ext
[ dn ]
C=US
ST=State name (note: use full state name instead of abbreviation)
L=City
O=Organization name
OU=Domain name
CN=fqdn of server name
[ req_ext ]
subjectAltName = @alt_names
[alt_names]
DNS.1 = dns1
DNS.2 = dns2.com (optional)
DNS.3 = dns3.com (optional)
- Crie o CSR com o Common Nome (CN), sancert.cnf que, em seguida, vê para adicionar a opção Alternativa de Nome.
Executar comando abaixo e substitua os valores corretos entre as aspas.
openssl req -key c:\ssl\keys\mcafee.key -config sancert.cnf -new -subj "/C=US/ST=state/L=city/O=OrgName/OU=domain.com/CN=servername.domain.com" -out c:\ssl\keys\mcafee.csr
OBSERVAÇÃO:: O
CN= valor é para o qual o certificado é emitido, seja o FQDN ou nome NetBIOS do servidor. Se o ePO estiver em cluster, use o nome do cluster virtual. Esses valores são inseridos no campo de assunto do certificado.
- Para obter a certificado de servidor, envie o CSR para a CA de terceiros ou Enterprise CA.
Um certificado SSL personalizado pode ser certificado usando um dos abaixo:
- Uma ECA (uma CA de domínio Windows):
- No servidor controlador de domínio CA, abra um prompt de comando como Administrador.
- Executar comando abaixo. Esse comando força o uso do modelo servidor Web padrão que gera o certificado de servidor.
certreq -submit -attrib "CertificateTemplate: WebServer" c:\ssl\keys\mcafee.csr
OBSERVAÇÃO:: O nome do modelo pode ser diferente para sua CA, desde que seja um modelo de tipo webserver.
- Clique OK quando a janela de diálogo for exibida para o servidor LDAP.
- Salvar o .cer para o local de sua escolha. Um .cer arquivo que contém o certificado certificado de autoridade de certificação raiz e o certificado ePO é criado.
- Uma CA terceirizada, como a Verisign ou Entrust:
A CA de terceiros pode fornecer um único certificado arquivo (.cer), ou, às vezes, mais de um certificado arquivo (.crt). O certificado obtido sempre contém o certificado raiz de CA e certificado de servidor pelo menos.
Por exemplo:
- Um certificado raiz arquivo representando o certificado raiz
- Um certificado arquivo para um certificado intermediário
- Uma certificado de servidor
Os três arquivos de certificado
(.crt) são combinados no formato correto para o ePO usar com as etapas a seguir. Mas, se a CA puder fornecer o certificado em formato
PKCS#7 , não precisará de mais conversão. Você pode fornecer os resultados arquivo
(.cer) ao ePO.
Se você receber arquivos .crt separados, siga as etapas abaixo para combinar os .crt arquivos.
- Use o assistente exportar certificado no Windows ou OpenSSL para Windows ou Linux o comando a seguir:
openssl crl2pkcs7 -nocrl -certfile cert1.crt -certfile cert2.crt -certfile cert3.crt -out outfile.p7b
OBSERVAÇÃO:: O comando cria uma cadeia de certificados arquivo dos arquivos 'cert1.crt, cert2.crt, cert3.crt' chamados outfile.p7b. O p7b arquivo contém toda a cadeia de certificados, que pode ser fornecida ao ePO. A ordem da cadeia deve ser a seguinte: certificado raiz, certificado intermediário (se existir) e certificado ePO.
- Usando o OpenSSL kit de .key ferramentas e o arquivo criptografados na etapa 1, crie uma versão não criptografada do chave privada para entrada no ePO:
Para a versão do OpenSSL 1.x, use o comando a seguir:
openssl rsa -in c:\ssl\keys\mcafee.key -out c:\ssl\keys\unsecured.mcafee.pem
Para a versão do OpenSSL 3.x, use os comandos a seguir:
OBSERVAÇÃO:: Essa etapa é fundamental ao usar uma versão mais alta do OpenSSL ou qualquer método que gere a chave no pkcs8 formato. Atualmente, não há suporte para o certificado pkcs8 do navegador, portanto, é necessário converter a pkcs8 chave em pkcs1. Ambos os comandos precisam ser executados.
openssl pkcs8 -in c:\ssl\keys\mcafee.key -topk8 -nocrypt -out c:\ssl\keys\pkcs8mcafee.pem
openssl pkcs8 -in c:\ssl\keys\pkcs8mcafee.pem -traditional -nocrypt -out c:\ssl\keys\unsecured.mcafee.pem
- Use o novo certificado e chave privada arquivo para atualização certificado ePO:
IMPORTANTE: Antes de importar qualquer certificado para o console do ePO, fazer o back-up <ePO installation folder> \Server\keystore\ Pasta.
OBSERVAÇÃO:: Além dessa lista, o certificado navegador apresentado deve ser reconhecido como Confiável. Essa etapa é importante para que ele possa ser confiável para a CA empresarial quando ele for adicionado à lista de CA raiz confiável. Para obter mais detalhes, consulte a documentação do seu sistema operacional.
- Entre no console do ePO.
- Clique em Menu, Configuração, Configurações do servidor.
- Clique em Certificado de servidor em Categorias de configuração e clique em Editar.
- Selecione Usar o certificado e a chave privada.
- Clique em Procurar no campo Certificado (P7B, PEM). Localize e selecione o certificado arquivo (.p7b ou .cer). Em seguida, clique em Abrir.
- Clique em Procurar no campo Chave privada (PEM) .
- Vá para a caixa de chave privada arquivo (unsecured.mcafee.pem nesse caso) e clique em Abrir.
- Clique em Salvar.
- Reinicie os serviços do ePO:
- Pressione Windows+R, digite services.msce clique em OK.
- Clique com o botão direito do mouse em cada um dos seguintes serviços do ePO e clique em Reiniciar:
McAfee ePolicy Orchestrator x.x.x Application Server
McAfee ePolicy Orchestrator x.x.x Event Parser
McAfee ePolicy Orchestrator x.x.x Server
- Feche a janela de serviços.