Perguntas frequentes:
Quais são as conseqüências de não fazer upgrade para o ePO 5.10 e a migração para fora de um certificado SHA-1 após o fim do suporte para SHA-1?
Funcionalmente, o ePO continua funcionando como fazia antes do cancelamento do suporte a SHA-1; no entanto, os navegadores agora não sinalizam o console do ePO como um site HTTPS seguro.
Para alguns navegadores, talvez seja necessário adicionar um exceção para permitir o acesso ao site. Para outros navegadores, o ícone de cadeado é aberto ou, de outra forma, é exibido como não seguro (dependendo navegador). Além disso, os mecanismos de varredura de vulnerabilidades podem sinalizar o servidor ePO como usando um certificado SHA-1.
Posso migrar meu certificado SHA-1 para um certificado SHA-2 se eu ainda não tiver feito upgrade para o ePO 5.10 ?
Versões do ePO antes 5.9.0 de usar o certificado SHA-1. O suporte a SHA-2 foi introduzido no ePO 5.9.0 ou versões posteriores.
Você pode migrar o certificado console (associado à porta 8443 por padrão) para um certificado SHA-2. No entanto, não é possível migrar o certificado manipulador (associado à porta 443 por padrão) para um certificado SHA-2, a menos que você upgrade ao ePO
5.10.
Se eu tiver substituído meu certificado console do ePO por um certificado que usa SHA-2, o upgrade do ePO será substituído por outro certificado?
Não. Se você usar um certificado personalizado, o processo do upgrade do ePO deixará o certificado existente no local.
Da mesma forma, se você tiver substituído o certificado console por um que usa SHA-1, um upgrade ao ePO 5.10não substituirá o certificado. Nesse caso, você deve gerar novamente um certificado autoassinado com o ePO 5.10 ou substituir o certificado usando seu próprio servidor de autoridade de certificação ou uma CA pública por um certificado que use SHA-2.
E se eu já tiver concluído minha migração de SHA-2 e descobrir clientes que ainda estão usando certificados SHA-1?
Em tais casos, execute uma das ações a seguir para restaurar a comunicação entre o agente e o servidor:
- Reinstale o Agent em qualquer cliente que ainda use um certificado SHA-1 depois de migrar para Sha-2.
- Execute o comando a seguir:
maconfig -provision -managed -auto -epo <ePO IP> -user <ePO admin username> -password <ePO admin password>
Como
maconfig -provision -managed -auto -epo 111.111.111.111:8443 -user admin -password epopw
Há alguma etapa que precisa ser concluída após a conclusão da migração de certificado SHA-2?
Sim. Se você usar um servidor TIE, também deverá executar as etapas de migração listadas no artigo abaixo depois de concluir as etapas de migração descritas neste documento.
KB88491-como reconfigurar o servidor Threat Intelligence Exchange após a migração de certificado EPolicy Orchestrator 5.10 (SHA-1 para Sha-2).
Para receber notificações por e-mail quando este artigo for atualizado, clique em Assinar na lateral direita da página. Você deve estar conectado para assinar.