O conteúdo deste artigo também está disponível como um vídeo no
canal McAfee Enterprise YouTube.
Fluxo de trabalho do processo de migração de certificado:
Regeneração de certificado
- Os certificados de raiz e intermediário baseados em SHA-2 são gerados novamente no servidor ePO para todos os produtos gerenciados que usam MFS ROOT_CA a comunicação TLS/SSL. Os certificados são colocados em um local temporário no servidor ePO.
- Em uma nova geração bem-sucedida de um novo Sitelist. xml, um pacote do agente é criado. Durante esse estágio, o ePO distribui Sitelist .xml e verifica o andamento da distribuição de certificados.
Ativação de certificado
- O servidor ePO pega um backup do certificado original e move os certificados gerados recentemente na pasta temporária para a pasta de armazenamento de chaves ativa.
Concluir ou cancelar migração
- Na seleção de concluir migração, o certificado antigo (original) que foi submetido ao backup será excluído. Em seguida, os novos certificados serão definidos como ativos.
- Na seleção de Cancelar migração, o certificado antigo (original) cujo backup foi feito foi movido de volta para a pasta do armazenamento de chaves. Em seguida, eles são ativados.
- Como o processo de ativação do certificado não é ativado, ele reverte a interface do usuário para ser exibido como SHA1WithRSA . O novo certificado da pasta Temp é excluído e restaura os certificados antigos do SHA-1 de volta para o trabalho.
Etapas detalhadas (ações executadas na página Manager de certificado no console do ePO):
Clicar em ' gerar certificado novamente '
- Por padrão, com SHA-1, o MA-sitelist contém dois conjuntos de informações de certificado. Enquanto você clica em regenerar certificado, ele possui quatro conjuntos de informações de certificado para Sha-2.
- Além disso, ele cria a pasta keystoreTemp em (ePO\server). Ele contém os quatro arquivos a seguir:
- Armazenamento de chaves AgentHandler.
- Armazenamento de chaves ca.
- Armazenamento de chaves ClientAuth.
- Armazenamento de chaves Server.
- Você pode verificar se o log de auditoria com a mesma ação de carimbo de data/hora foi concluído, se for bem-sucedido.
- Você pode ver a Sitelist.xml arquivo com a data e a hora de modificação para verificar se ela coincide com keystoreTemp as entradas do registro e de auditoria.
- É possível ver que duas outras entradas são adicionadas ao EPOServerCerts e EPOServerCertsBackup. Que possui duas entradas antigas e que são usadas ao clicar em cancelar migração para ajudar a reverter para SHA-1 o.
- O algoritmo SHA1withRSA de hash afirma que o processo de migração de certificado não foi concluído na conversão de SHA-1 para Sha-2.
- Os certificados do SITELIST são recebidos no sistema cliente e atualiza o CABUNDLE.cer arquivo. Quando um ASCI é disparado, ele faz o download do SITELIST atualizado com certificados SHA-2 para o sistema cliente.
- Quando concluído, o indicador de porcentagem concluído é alterado para o Manager de certificado no console do ePO. Ele statou que o certificado foi recebido no cliente, indicando que você está pronto para clicar em ativação.
Clique em ' Ativar certificado '
- Apenas clique em Ativar quando o status for 100%. Um 100% indica que todos os clientes receberam o novo SHA-2 por meio do asci.
- Se você clicar Activate e Progress quando ele mostrar menos de 100%, os clientes não receberão o certificado SHA-2. Como resultado, os clientes não conseguem entrar em contato com o servidor ePO.
- Clicar em Ativar altera o KeystoreTemp para KeystoreBackup e move todos os dados da pasta de armazenamento de chaves para a pasta de backup.
- Para ver se a ativação foi concluída, exiba o log de auditoria para o mesmo carimbo de data/hora. Ou verifique a data em que o nome KeystoreBackup da pasta foi modificado.
Clicar em ' finalizar migração '
- Esse ponto em que o seguinte é excluído é crucial porque foi migrado para SHA-2 :
- O conteúdo de backup da server\KeystoreBackup pasta
- Conteúdo da EPOServercertificatesBackup tabela.
- Verifique no sistema cliente se as alterações foram aplicadas da regeneração do certificado ePO. Actis:
- No sistema cliente, observe a hora da cabundle.cer arquivo modificada. Dessa vez, o ASCI recebe as novas informações atualizadas do certificado SiteList e atualiza o cabundle.cer arquivo.
- Verifique se o arquivo é atualizado com SHA-2 as informações antes de clicar em ativação no console do ePO. Use esse método se desejar confirmar manualmente, em vez de confiar na contagem de porcentagem da página de Manager de certificado.
- Edite o cabundle.cer arquivo por meio de um editor de texto. Por exemplo, abrir com Notepad ou Notepad++ para ver dois conjuntos de certificados: um para SHA-1 e quatro conjuntos de certificados para SHA-2 o.
O acima confirma se o cliente recebeu os certificados SHA-2 . Ao clicar em concluir migração no ePO, ele altera o sistema para SHA-2 e permite que o ePO se conecte ao cliente com êxito.
- Verifique se as informações do certificado no cabundle.cer arquivo são as mesmas de acordo com sitelist .xml no servidor ePO.
- Use a consulta a seguir para rastrear sistemas usando o certificado SHA-2, depois que a migração de certificado exibir resultados incorretos com base no fuso horário:
SELECT * FROM OrionCertStateManager WHERE ProductID = 'agentHandler.keystore'
- Use os seguintes scripts SQL para verificar o status da migração de certificado:
- Consulta SQL para mostrar o status do processo de migração. Por exemplo: regenerar, ativar e concluir a migração.
Select * from OrionCertStateManager
- Consulta SQL para mostrar os certificados para o ePO SHA-1 e SHA-2:
Select * from EPOServerCerts
- Consulta SQL para mostrar os certificados de backup, depois de clicar na opção regenerar antes de concluir a migração:
Select * from EPOServerCertsbackup