El contenido de este artículo también está disponible como vídeo en el
canal YouTube de McAfee Enterprise.
Flujo de trabajo del proceso de migración de certificados:
Regeneración de certificados
- Los certificados raíz e intermedios basados en SHA-2 se regeneran en el servidor de ePO para todos los productos gestionados que utilizan MFS ROOT_CA la comunicación TLS/SSL. Los certificados se colocan en una ubicación temporal en el servidor de ePO.
- Al realizar una regeneración correcta de un nuevo Sitelist. XML, se crea un paquete de agente. Durante esta etapa, ePO distribuye Sitelist .xml y comprueba el progreso de la distribución de certificados.
Seleccioneción de certificados
- El servidor de ePO toma una copia de seguridad del certificado original y mueve los certificados recién generados de la carpeta temporal a la carpeta del almacén de claves activo.
Finalizar o cancelar migración
- Al seleccione la migración finalizada, se elimina el certificado antiguo (original) del que se realizó una copia de seguridad. A continuación, los nuevos certificados se establecen como activos.
- Al seleccione Cancelar migración, el antiguo certificado (original) del que se realizó una copia de seguridad se vuelve a colocar en la carpeta del almacén de claves. A continuación, se activan.
- Dado que el proceso de activación de certificados no está activado, revierte la interfaz de usuario para que se muestre como SHA1WithRSA . El nuevo certificado de la carpeta Temp se elimina y restaura los certificados SHA-1 antiguos para que funcionen.
Pasos detallados (acciones llevadas a cabo en la página Manager de certificados de la consola de ePO):
Haciendo clic en ' regenerar certificado '
- De forma predeterminada, con SHA-1, el MA-sitelist contiene dos conjuntos de información de certificados. Mientras que al hacer clic en regenerar certificado, dispone de cuatro conjuntos de información de certificados para Sha-2.
- Además, crea la carpeta keystoreTemp en (ePO\server). Contiene los siguientes cuatro archivos:
- AgentHandler. keystore
- CA. keystore
- ClientAuth. keystore
- Server. keystore
- Puede verificar el registro de auditoría con la misma regeneración de la acción de marca de tiempo completada, si es correcta.
- Puede ver el Sitelist.xml archivo con la marca de fecha y hora modificada para comprobar que coincide con y con keystoreTemp las entradas del registro de auditoría.
- Puede ver que se agregan dos entradas más a la EPOServerCerts y EPOServerCertsBackup. Que tiene dos entradas antiguas y que se utilizan al hacer clic en Cancelar migración para ayudar a revertir a SHA-1 .
- El algoritmo SHA1withRSA hash indica que el proceso de migración de certificados no ha terminado en la conversión de SHA-1 a Sha-2.
- Los certificados de la lista sitelist se reciben en el sistema cliente y actualizan el CABUNDLE.cer archivo. Cuando se activa un ASCI, descarga el archivo sitelist con los certificados SHA-2 actualizados en el sistema cliente.
- Cuando finaliza, el indicador de porcentaje completado cambia para el certificado Manager en la consola de ePO. Indica que el certificado se ha recibido en el cliente, lo que indica que está listo para hacer clic en Seleccioneción.
Haciendo clic en ' activar certificado '
- Solo haga clic en Seleccioner cuando el estado sea 100%. Un 100% indica que todos los clientes recibieron el nuevo SHA-2 a través del ASCI.
- Si hace clic en Seleccionete & Progress cuando muestra menos del 100%, los clientes no recibirán el certificado Sha-2. Como resultado, los clientes no pueden contactar con el servidor de ePO.
- Al hacer clic en Seleccioner , se cambia KeystoreTemp a KeystoreBackup y se mueven todos los datos de la carpeta almacén de claves a la carpeta copia de seguridad.
- Para ver que la activación ha finalizado, consulte el registro de auditoría para la misma marca de tiempo. O bien, KeystoreBackup Observe la fecha en que se modificó el nombre de la carpeta.
Haciendo clic en ' finalizar migración '
- Este punto en el que se elimina lo siguiente es crucial, ya que se ha migrado a SHA-2 :
- El contenido de la server\KeystoreBackup carpeta de copia de seguridad
- Contenido de la EPOServercertificatesBackup tabla.
- Verifique en el sistema cliente que los cambios se hayan aplicado desde la regeneración del certificado de ePO. acciones:
- En el sistema cliente, mire la hora de modificación del cabundle.cer archivo. Esta vez es que el ASCI recibe la nueva información actualizada del certificado de lista de sitios y actualiza el cabundle.cer archivo.
- Verifique que el archivo se actualiza con SHA-2 información antes de hacer clic en activación en la consola de ePO. Utilice este método si desea confirmar manualmente, en lugar de confiar en el recuento de porcentaje de la página de Manager de certificados.
- Edite el cabundle.cer archivo a través de un editor de texto. Por ejemplo, abra con Notepad o Notepad++ para ver dos conjuntos de certificados: uno para SHA-1 y cuatro conjuntos de certificados para SHA-2 .
La anterior confirma que el cliente ha recibido los certificados de SHA-2 . Al hacer clic en Finalizar migración en ePO, se cambia el sistema a SHA-2 y se permite que ePO se conecte al cliente correctamente.
- Verifique que la información cabundle.cer del certificado del archivo sea la misma en función de sitelist .xml en el servidor de ePO.
- Utilice la siguiente consulta para rastrear sistemas mediante el certificado SHA-2, tras la migración de certificados muestra resultados incorrectos en función de la zona horaria:
SELECT * FROM OrionCertStateManager WHERE ProductID = 'agentHandler.keystore'
- Utilice los siguientes scripts de SQL para verificar el estado de la migración de certificados:
- Consulta SQL para mostrar el estado del proceso de migración. Por ejemplo: regenerar, activar y finalizar la migración.
Select * from OrionCertStateManager
- Consulta SQL para mostrar los certificados de los elementos de ePO SHA-1 y SHA-2:
Select * from EPOServerCerts
- Consulta SQL para mostrar los certificados de copia de seguridad tras hacer clic en la opción regenerar antes de finalizar la migración:
Select * from EPOServerCertsbackup