重要说明: 开始此过程前,您必须安装并配置该
OpenSSL 工具包。工具包的安装和配置确保 OpenSSL 的所有所需库和配置文件均就位:
- 下载并安装该 OpenSSL 工具包。
注意:
- 您必须下载并使用完整版本 OpenSSL。请勿使用光版本。
- 当前版本是 Win64 OpenSSL v 3.0.2 140-MB 安装程序 EXE MSI。
- 根据平台(32 位或 64 位)解压缩并安装下载的版本。
注意: 有关如何获取 OpenSSL 工具包的详细信息,请参阅 OpenSSL 网站。
- 创建以下文件夹: c:\ssl\keys
- 以管理员身份打开命令提示符。 将目录更改为安装 OpenSSL 的 OpenSSL bin 文件夹。Example: cd C:\OpenSSL-Win64\bin
获取用于 ePO 的自定义 SSL 证书:
- 使用 OpenSSL with 2048 位强度创建新私钥,并使用 des3对其进行加密:
openssl genpkey -out c:\ssl\keys\mcafee.key -algorithm RSA -pkeyopt rsa_keygen_bits:2048
- 保存加密 .key 文件的副本。您需要密钥才能在步骤7中创建未加密的版本,以便导入 ePO。
- 更高版本的 Chrome 和 Edge 需要已填充 "主题 Alt 名称" 字段的证书。要创建用于 Chrome 或 Edge 的 证书签名请求 (CSR),您需要先通过执行以下步骤创建配置文件:
- 使用下面提供的信息创建一个名为 sancert.cnf 的文件。
- 只要它位于 bin 文件夹中,就会在文件夹或安装位置 OpenSSL 中 C:\OpenSSL-Win64\bin 保存该文件。
- 请不要在下面的 [req] 或 [ req_ext ] 部分中更改任何内容。
- 在和 [alt_names] 部分中 [dn] 需要时替换信息。
Example:
[ req ]
default_bits = 2048
distinguished_name = dn
req_extensions = req_ext
[ dn ]
C=US
ST=State name (note: use full state name instead of abbreviation)
L=City
O=Organization name
OU=Domain name
CN=fqdn of server name
[ req_ext ]
subjectAltName = @alt_names
[alt_names]
DNS.1 = dns1
DNS.2 = dns2.com (optional)
DNS.3 = dns3.com (optional)
- 使用通用名称(CN)创建 CSR,然后会看到 sancert.cnf 添加使用者备用名称。
运行以下命令,并替代引号内的正确值。
openssl req -key c:\ssl\keys\mcafee.key -config sancert.cnf -new -subj "/C=US/ST=state/L=city/O=OrgName/OU=domain.com/CN=servername.domain.com" -out c:\ssl\keys\mcafee.csr
注意: CN = 值是证书的颁发内容,无论它是服务器的 FQDN 还是 NetBIOS 名称。如果 ePO 是群集的,请使用虚拟群集名称。这些值将输入到证书的使用者字段中。
- 要获取服务器证书,CSR证书提交给第三方 CA 或企业 CA。
可以使用以下任一方法认证自定义 SSL 证书:
- 一个 DNS(WINDOWS 中的域 CA):
- 在域控制器 CA 服务器上,以管理员身份打开命令。提示。
- 运行下面的 命令。。此命令。强制使用生成服务器证书的 web 服务器模板。
certreq -submit -attrib "CertificateTemplate: WebServer" c:\ssl\keys\mcafee.csr
注意: 您的 CA 的模板名称可能会有所不同,只要它是 web 存储类型的模板即可。
- 点击还行当为系统显示对话框窗口LDAP 服务器。
- .cer保存到您选择的位置。将创建一个 .cer 包含 root CA 证书和 ePO 证书的文件。
- 第三方 CA,例如 Verisign 或 Entrust:
第三方 CA 可能会提供单个证书文件 (.cer) ,或有时会有多个证书文件 (.crt) 。获取的证书始终至少包含 CA root 证书和服务器证书。
例如:
- 表示 root 证书的 root 证书文件
- 用于中间证书的证书文件
- 一个服务器证书
三个证书文件
(.crt) 将合并为正确的格式,以便 ePO 与以下步骤配合使用。但是,如果 CA 可以按
PKCS#7 格式提供证书,则不需要进一步转换。您可以将生成
(.cer) 的文件提供给 ePO。
如果您接收到单独.crt 的
文件,请按照下面的步骤合并.crt 文件。
- 使用以下命令。在 Windows 或 Linux 的 OpenSSL for Windows 或 Linux 中使用导出证书向导:
openssl crl2pkcs7 -nocrl -certfile cert1.crt -certfile cert2.crt -certfile cert3.crt -out outfile.p7b
注意: 命令。会从 'cert1.crt, cert2.crt, cert3.crt' 名 outfile.p7b 为的文件创建证书链文件。该 p7b 文件包含整个证书链,可提供给 ePO。链的顺序必须如下所示:根证书、中间证书(如果存在)以及 ePO 证书。
- OpenSSL使用步骤1中的工具包和加密 .key 文件创建私钥的未加密版本,以输入 ePO:
对于 OpenSSL 版本 1.x ,请使用下面的命令。:
openssl rsa -in c:\ssl\keys\mcafee.key -out c:\ssl\keys\unsecured.mcafee.pem
对于 OpenSSL 版本 3.x ,请使用下面的命令:
注意:当使用更版本高的 OpenSSL 或任何以 pkcs8 格式生成密钥的方法时,此步骤非常重要。目前,我们不支持 pkcs8 浏览器证书,因此必须将密钥转换 pkcs8 为 pkcs1 。这两个命令都需要执行。
openssl pkcs8 -in c:\ssl\keys\mcafee.key -topk8 -nocrypt -out c:\ssl\keys\pkcs8mcafee.pem
openssl pkcs8 -in c:\ssl\keys\pkcs8mcafee.pem -traditional -nocrypt -out c:\ssl\keys\unsecured.mcafee.pem
- 使用新的证书和私钥文件来更新 ePO 证书:
重要说明: 在将任何证书导入到 ePO 控制台之前,请备份 <ePO installation folder> \Server\keystore\ 文件夹。
注意: 除此列表外,所提供的浏览器证书必须被识别为受信任。此步骤非常重要,因此当您的企业 CA 添加到受信任的根 CA 列表中时,它可被信任。有关详细信息,请参阅您的操作系统文档。
- 登录到 ePO 控制台。
- 点击菜单,配置,服务器设置.
- 点击服务器证书在 设置类别 下,然后单击编辑.
- 选择使用提供的证书和私钥。
- 在证书( P7B, PEM )字段中单击浏览。找到并选择证书文件( .p7b 或 .cer )。然后,单击 " 打开"。
- 点击浏览在 Private key (PEM) 字段中。
- 转到并选择私钥文件( unsecured.mcafee.pem 此例中为),然后单击 打开。
- 单击保存。
- 重新启动 ePO 服务:
- 按 Windows + R,键入 services.msc ,然后单击 确定。
- 右键单击以下每个 ePO 服务,然后单击重新启动:
McAfee ePolicy Orchestrator x.x.x Application Server
McAfee ePolicy Orchestrator x.x.x事件解析
McAfee ePolicy Orchestrator x.x.x Server
器
- 关闭服务窗口。