Il contenuto di questo articolo è disponibile anche come video sul
canale McAfee Enterprise YouTube.
Flusso di lavoro del processo di migrazione dei certificati:
Rigenerazione del certificato
- I certificati di root e intermedi basati su SHA-2 vengono rigenerati sul server ePO per tutti i prodotti gestiti che utilizzano MFS ROOT_CA per la comunicazione TLS/SSL. I certificati vengono inseriti in un percorso temporaneo sul server ePO.
- Quando viene rigenerata una nuova Sitelist. XML, viene creato un pacchetto di agent. Durante questa fase, ePO distribuisce Sitelist .xml e verifica lo stato di avanzamento della distribuzione dei certificati.
Attivazione del certificato
- Il server ePO esegue un backup del certificato originale e sposta i certificati appena generati nella cartella temporanea nella cartella keystore attiva.
Fine o Annulla migrazione
- Alla selezione della migrazione finale, viene eliminato il vecchio certificato (originale) di cui è stato eseguito il backup. I nuovi certificati vengono quindi impostati su attivo.
- Alla selezione della migrazione di annullamento, il vecchio certificato (originale) di cui è stato eseguito il backup viene spostato di nuovo in keystore cartella. Quindi vengono attivati.
- Poiché il processo di attivazione del certificato non è attivato, ripristina l'interfaccia utente in modo che venga visualizzato come SHA1WithRSA . Il nuovo certificato della cartella Temp viene eliminato e ripristina i vecchi certificati SHA-1.
Passaggi dettagliati (azioni intraprese nella pagina certificato Manager nella console ePO):
Fare clic su Rigenera certificato
- Per impostazione predefinita, con SHA-1, l'elenco dei siti MA contiene due insiemi di informazioni sul certificato. Mentre quando si fa clic su Rigenera certificato, sono disponibili quattro set di informazioni sul certificato per SHA-2.
- Inoltre, crea la cartella keystoreTemp in (ePO\server). Contiene i seguenti quattro file:
- AgentHandler. keystore
- CA. keystore
- ClientAuth. keystore
- Server. keystore
- Se ha esito positivo, è possibile verificare il registro di verifica con lo stesso tempo di rigenerazionedell'azione timbro completata.
- È possibile esaminare il file con l'indicatore di data e ora modificato per verificarne la Sitelist.xml corrispondenza con keystoreTemp le voci del registro di verifica e le relative.
- È possibile notare che sono state aggiunte altre due voci a EPOServerCerts e EPOServerCertsBackup. Che include due voci precedenti e viene utilizzato durante il clic su Annulla migrazione per consentire il ripristino SHA-1 .
- L'algoritmo SHA1withRSA hash stabilisce che il processo di migrazione dei certificati non è terminato per la conversione da SHA-1 a SHA-2.
- I certificati provenienti dall'elenco dei siti vengono ricevuti nel sistema client e aggiornano il CABUNDLE.cer file. Quando si attiva un trigger ASCI, il sito Web aggiornato viene scaricato con i certificati SHA-2 nel sistema client.
- Al termine, l'indicatore percentuale completato cambia per il certificato Manager nella console ePO. Statistiche it il certificato è stato ricevuto sul client, indicando che si è pronti per fare clic su attivazione.
Fare clic su Attiva certificato
- Fare clic su attiva solo quando lo stato è 100%. Un 100% indica che tutti i client hanno ricevuto il nuovo SHA-2 tramite asci.
- Se si fa clic su Activate & Progress quando viene visualizzato meno del 100%, i client non ricevono il certificato SHA-2. Di conseguenza, i client non riescono a contattare il server ePO.
- Se si fa clic su attiva , viene modificato il KeystoreTemp a KeystoreBackup e tutti i dati vengono spostati dalla cartella keystore alla cartella di backup.
- Per verificare che l'attivazione sia stata completata, visualizzare il registro di verifica per lo stesso contrassegno di ora. O esaminare la data in cui è stato modificato il nome KeystoreBackup della cartella.
Fare clic su "termina migrazione"
- Questo punto in cui viene eliminato quanto segue è cruciale perché è stato migrato in SHA-2 :
- Il contenuto di backup dalla server\KeystoreBackup cartella
- Contenuto dalla EPOServercertificatesBackup tabella.
- Verificare sul sistema client che le modifiche sono state applicate dalla rigenerazione del certificato ePO. Actis:
- Nel sistema client, esaminare l'ora di modifica del cabundle.cer file. Questa volta è che ASCI riceve le nuove informazioni aggiornate sul certificato di elenco dei siti e aggiorna il cabundle.cer file.
- Verificare che il file venga aggiornato con le informazioni prima di SHA-2 fare clic su attivazione nella console ePO. Utilizzare questo metodo se si desidera confermare manualmente, piuttosto che affidarsi al conteggio percentuale dalla pagina Manager certificato.
- Modificare il cabundle.cer file tramite un editor di testo. Ad esempio, aprire con Notepad o Notepad++ per visualizzare due set di certificati: uno per SHA-1 e quattro set di certificati per SHA-2 .
Quanto sopra conferma che il client ha ricevuto i certificati per SHA-2 . Facendo clic su fine migrazione in ePO, il sistema SHA-2 viene modificato in e consente a ePO di connettersi al client correttamente.
- Verificare che le informazioni sul certificato contenute nel file siano identiche in cabundle.cer base al SiteList .xml sul server ePO.
- Utilizzare la query seguente per tenere traccia dei sistemi che utilizzano il certificato SHA-2, dopo la migrazione del certificato Visualizza risultati non corretti in base al fuso orario:
SELECT * FROM OrionCertStateManager WHERE ProductID = 'agentHandler.keystore'
- Utilizzare i seguenti script SQL per verificare lo stato della migrazione del certificato:
- Query SQL per visualizzare lo stato del processo di migrazione. Ad esempio: rigenerate, attivate, completate la migrazione.
Select * from OrionCertStateManager
- Query SQL per visualizzare i certificati per ePO SHA-1 e SHA-2:
Select * from EPOServerCerts
- Query SQL per visualizzare i certificati di backup, dopo aver fatto clic sull'opzione Rigenera prima di terminare la migrazione:
Select * from EPOServerCertsbackup