Le contenu de cet article est également disponible sous la forme d’une vidéo sur le
canal McAfee Enterprise YouTube.
Workflow du processus de migration de certificat :
Régénération de certificat
- Les certificats racine et les certificats intermédiaires SHA-2 sont régénérés sur le serveur ePO pour tous les produits managés qui utilisent MFS ROOT_CA pour la communication TLS/SSL. Les certificats sont placés dans un emplacement temporaire sur le serveur ePO.
- Lors de la régénération d’un nouveau Sitelist. xml, une package agent est créée. Au cours de cette étape, ePO distribue Sitelist .xml et vérifie la progression de la distribution des certificats.
Activation du certificat
- Le serveur ePO prend une sauvegarde du certificat d’origine et déplace les nouveaux certificats générés dans le dossier temporaire vers le dossier de banque de clés actif.
Terminer ou annuler la migration
- Lors de la sélection de l’option terminer la migration, l’ancien certificat (original) sauvegardé est supprimé. Les nouveaux certificats sont alors définis sur actif.
- Lors de la sélection de l’option annuler la migration, l’ancien certificat (original) sauvegardé est ramené au dossier keystore. Ils sont ensuite activés.
- Etant donné que le processus d’activation de certificat n’est pas activé, il annule l’affichage de l’interface utilisateur en tant que SHA1WithRSA . Le nouveau certificat du dossier TEMP est supprimé et restaure les anciens certificats SHA-1 à fonctionner.
Etapes détaillées (actions effectuées sur la page Manager de certificat dans la console ePO) :
Clic sur régénérer le certificat
- Par défaut avec SHA-1, l’agent MA-sitelist contient deux ensembles d’informations sur le certificat. Si vous cliquez sur régénérer le certificat, il dispose de quatre ensembles d’informations sur le certificat pour la valeur SHA-2.
- De plus, il crée le dossier keystoreTemp sous (ePO\server). Il contient les quatre fichiers suivants :
- AgentHandler. keystore
- Ca. keystore
- ClientAuth. keystore
- Server. keystore
- En cas de réussite, vous pouvez vérifier audit journal avec la régénérationde l’action de datage la même fois terminée.
- Vous pouvez consulter Sitelist.xml le fichier avec la date et l’heure de modification pour vérifier qu’il correspond keystoreTemp et audit entrées de journal.
- Vous pouvez voir que deux entrées supplémentaires sont ajoutées à et à EPOServerCerts EPOServerCertsBackup. Qui comporte deux anciennes entrées et qui sont utilisées pendant que vous cliquez sur annuler la migration pour revenir SHA-1 à la version précédente.
- L’algorithme SHA1withRSA de hachage indique que le processus de migration des certificats n’est pas terminé lors de la conversion de SHA-1 en SHA-2.
- Les certificats de la liste sitelist sont reçus sur le système client et mis à jour le CABUNDLE.cer fichier. Lorsqu’un agent ASCI se déclenche, il télécharge la liste sitelist mise à jour avec les certificats SHA-2 sur le système client.
- A l’issue de l’opération, l’indicateur de pourcentage terminé est modifié pour le certificat Manager dans la console ePO. Statistiques informatiques le certificat a été reçu sur le client, ce qui indique que vous êtes prêt à cliquer sur activation.
Cliquer sur’activer le certificat'
- Cliquez sur activer uniquement lorsque l’état est 100%. Un 100% indique que tous les clients ont reçu le nouveau SHA-2 par le biais de l’intervalle de communication agent-serveur.
- Si vous cliquez Activate & Progress lorsqu’il affiche moins de 100%, les clients ne reçoivent pas le certificat SHA-2. Par conséquent, les clients ne parviennent pas à contacter le serveur ePO.
- Lorsque vous cliquez sur activer , l' KeystoreTempKeystoreBackup option est remplacée par et les données du dossier de la Banque de sauvegarde sont transférées vers le dossier de sauvegarde.
- Pour vérifier que l’activation est terminée, affichez le journal d’audit pour le même horodatage. Ou regardez la date à laquelle le nom KeystoreBackup du dossier a été modifié.
Cliquer sur’terminer la migration'
- La suppression des éléments suivants est cruciale, car elle a été migrée vers SHA-2 :
- Contenu de server\KeystoreBackup la sauvegarde du dossier
- Contenu du EPOServercertificatesBackup tableau.
- Vérifiez sur le système client que les modifications ont été appliquées à partir de la régénération du certificat ePO. Actis :
- Sur le système client, examinez l’heure de modification du cabundle.cer fichier. Cette fois-ci, l’intervalle de communication agent-serveur reçoit les nouvelles informations de certificat sitelist mises à jour et met à jour le cabundle.cer fichier.
- Vérifiez que le fichier est mis à jour avec SHA-2 les informations avant de cliquer sur activation dans la console ePO. Utilisez cette méthode si vous souhaitez confirmer manuellement, plutôt que de vous appuyer sur la page nombre de pourcentages de la page Manager de certificat.
- Modifiez le fichier à l' cabundle.cer aide d’un éditeur de texte. Par exemple, ouvrez avec Notepad ou Notepad++ pour afficher deux ensembles de certificats : un pour SHA-1 et quatre ensembles de certificats pour SHA-2 .
Les informations ci-dessus confirment que le client a reçu les certificats pour SHA-2 . En cliquant sur terminer la migration dans ePO, le système SHA-2 se transforme en et autorise ePO à se connecter au client avec succès.
- Vérifiez que les informations de certificat dans le cabundle.cer fichier sont identiques en fonction de sitelist .xml sur le serveur ePO.
- Utilisez la requête suivante pour effectuer le suivi des systèmes à l’aide du certificat SHA-2, après que la migration de certificat affiche des résultats incorrects en fonction du fuseau horaire :
SELECT * FROM OrionCertStateManager WHERE ProductID = 'agentHandler.keystore'
- Utilisez les scripts SQL suivants pour vérifier l’état de la migration de certificat :
- Requête SQL pour afficher l’état du processus de migration. Par exemple : régénérer, activer, terminer la migration.
Select * from OrionCertStateManager
- Requête SQL pour afficher les certificats pour la valeur SHA-1 et SHA-2 d’ePO :
Select * from EPOServerCerts
- Requête SQL pour afficher les certificats de sauvegarde, après avoir cliqué sur l’option régénérer avant de terminer la migration :
Select * from EPOServerCertsbackup