この記事の内容は、McAfee YouTube チャンネルに投稿されています。
{CONSYOUTUBE.EN_US}
証明書移行プロセスのワークフロー:
証明書の再生成
- SHA-2 ベースのルート証明書と中間証明書は、TLS/SSL 通信に MFS ROOT_CA を使用するすべての管理対象製品の ePO サーバーで再生成されます。 証明書は、ePO サーバーの一時的な場所に配置されます。
- 新しい Sitelist.xml が正常に再生成されると、エージェント パッケージが作成されます。 この段階で、ePO は Sitelist.xml を配布し、証明書の配布の進行状況を確認します。
証明書のアクティブ化
- ePO サーバーは元の証明書のバックアップを取り、一時フォルダーに新しく生成された証明書をアクティブなキーストア フォルダーに移動します。
移行を終了またはキャンセルする
- 移行の完了を選択すると、バックアップされた古い証明書(元の証明書)が削除されます。 次に、新しい証明書がアクティブに設定されます。
- 移行のキャンセル を選択すると、バックアップされた古い証明書(元の証明書)がキーストア フォルダーに戻されます。 次に、それらがアクティブ化されます。
- 証明書のアクティブ化プロセスはアクティブ化されていないため、ユーザー インターフェイスが元に戻って SHA1WithRSA として表示されます。 一時フォルダーから新しい証明書が削除され、古い SHA-1 証明書が機能するように復元されます。
詳細な手順(ePO コンソールの [証明書マネージャー] ページで実行されるアクション):
[証明書の再生成] をクリックします
- デフォルトの SHA-1 では、MA サイトリストに 2 セットの証明書情報が含まれています。 一方、証明書の再生成をクリックすると、SHA-2 の 4 セットの証明書情報が表示されます。
- また、(ePO\server) の下に keystoreTemp フォルダーが作成されます。 次の 4 つのファイルが含まれています。
- AgentHandler.keystore
- Ca.keystore
- ClientAuth.keystore
- Server.keystore
- 成功した場合は、同じタイム スタンプのアクション 再生成完了 監査ログを確認できます。
- 日付とタイム スタンプが変更された Sitelist.xml ファイルを調べて、keystoreTemp および監査ログ エントリと一致することを確認できます。
- EPOServerCerts と EPOServerCertsBackup にさらに 2 つのエントリが追加されていることがわかります。 これには 2 つの古いエントリがあり、[移行のキャンセル] をクリックして SHA-1 に戻すために使用されます。
- ハッシュ アルゴリズム SHA1withRSA は、SHA-1 から SHA-2 への変換で証明書の移行プロセスが完了していないことを示しています。
- サイトリストからの証明書はクライアント システムで受信され、CABUNDLE.cer file ファイルを更新します。 ASCI がトリガーされると、SHA-2 証明書を含む更新されたサイトリストがクライアント システムにダウンロードされます。
- 完了すると、ePO コンソールの証明書マネージャーの完了率インジケーターが変更されます。 クライアントで証明書を受信したことを示し、アクティベーションをクリックする準備ができていることを示します。
[証明書のアクティブ化] をクリックします
- ステータスが 100 %の場合にのみ、アクティブ化 をクリックします。 100% は、すべてのクライアントが ASCI を介して新しい SHA-2 を受信したことを示します。
- 100% 未満の場合に Activate & Progress をクリックすると、クライアントは SHA-2 証明書を受け取りません。 その結果、クライアントは ePO サーバーに接続できません。
- アクティブ化 をクリックすると KeystoreTemp が KeystoreBackup に変更され、すべてのデータがキーストア フォルダーからバックアップ フォルダーに移動されます。
- アクティベーションが完了したことを確認するには、同じタイム スタンプの監査ログを表示します。 または、フォルダ名 KeystoreBackup が変更された日付を確認してください。
[移行の完了] をクリックします
- 以下が削除されるこのポイントは、SHA-2 に移行されているため、非常に重要です。
- server\KeystoreBackup フォルダーからのバックアップ コンテンツ
- EPOServercertificatesBackup テーブルのコンテンツ
- クライアント システムで、変更が ePO 証明書の regeneration.actis から適用されていることを確認します。
- クライアント システムで、cabundle.cer ファイルの変更時刻を確認します。 今回は、ASCI が新しく更新されたサイト リスト証明書情報を受信し、cabundle.cer ファイルを更新します。
- ePO コンソールで [アクティベーション] をクリックする前に、ファイルが SHA-2 情報で更新されていることを確認してください。 証明書マネージャー ページのパーセンテージ カウントに依存するのではなく、手動で確認する場合は、この方法を使用します。
- テキスト エディタを使用して cabundle.cer ファイルを編集します。 たとえば、Notepad または Notepad++ で開くと、2 セットの証明書が表示されます。1 つは SHA-1 用、4 つは SHA-2 用です。
上記は、クライアントが SHA-2 の証明書を受信したことを確認します。 ePO で移行の完了 をクリックすると、システムが SHA-2 に変更され、ePO がクライアントに正常に接続できるようになります。
- cabundle.cer ファイルの証明書情報が ePO サーバーの Sitelist.xml に従って同じであることを確認します。
- 証明書の移行でタイムゾーンに基づいて誤った結果が表示された後、次のクエリを使用して、SHA-2 証明書を使用するシステムを追跡します。
SELECT * FROM OrionCertStateManager WHERE ProductID = 'agentHandler.keystore'
- 次の SQL スクリプトを使用して、証明書の移行のステータスを確認します。
- 移行プロセスのステータスを表示する SQL クエリー。 例:再生成、アクティブ化、移行の終了。
Select * from OrionCertStateManager
- ePO SHA-1 および SHA-2 の証明書を表示する SQL クエリー:
Select * from EPOServerCerts
- 移行を完了する前に [再生成] オプションをクリックした後、バックアップ証明書を表示する SQL クエリー:
Select * from EPOServerCertsbackup