El contenido de este artículo también está disponible como vídeo en la
McAfee canal de YouTube empresarial.
Flujo de trabajo del proceso de migración de certificados:
Regeneración de certificados
- Los certificados raíz e intermedios basados en SHA-2 se regeneran en el servidor de ePO para todos los productos gestionados que utilicen MFS ROOT_CA para la comunicación TLS/SSL. Los certificados se colocan en una ubicación temporal en el servidor de ePO.
- Al realizar una regeneración correcta de un nuevo Sitelist. XML, se crea un paquete de agente. Durante esta etapa, ePO distribuye Sitelist. XML y comprueba el progreso de distribución de certificados.
Activación de certificados
- El servidor de ePO toma una copia de seguridad del certificado original y mueve los certificados recién generados de la carpeta temporal a la carpeta del almacén de claves activo.
Finalizar o cancelar migración
- Al seleccionar Finalizar migración, se elimina el certificado antiguo (original) del que se realizó una copia de seguridad. A continuación, los nuevos certificados se establecen como activos.
- Al seleccionar Cancelar migración, el certificado antiguo (original) del que se ha realizado una copia de seguridad se vuelve a colocar en la carpeta del almacén de claves. A continuación, se activan.
- Dado que el proceso de activación de certificados no está activado, revierte la interfaz de usuario para que se muestre como SHA1WithRSA. El nuevo certificado de la carpeta Temp se elimina y restaura los certificados SHA-1 antiguos para que funcionen.
Pasos detallados (acciones llevadas a cabo en la página Manager de certificados de la consola de ePO):
Haciendo clic en ' regenerar certificado '
- De forma predeterminada, con SHA-1, el MA-sitelist contiene dos conjuntos de información de certificados. Mientras que hace clic en Regenerar certificado, dispone de cuatro conjuntos de información de certificados para SHA-2.
- Además, crea la carpeta keystoreTemp en (ePO\server). Contiene los siguientes cuatro archivos:
- AgentHandler. keystore
- CA. keystore
- ClientAuth. keystore
- Server. keystore
- Puede verificar el registro de auditoría con la misma acción de marca de tiempo Regeneración finalizada, si es correcta.
- Puede consultar la Sitelist.xml archivo con la marca de fecha y hora modificada para comprobar que coincide con keystoreTemp y entradas del registro de auditoría.
- Puede ver que se agregan dos entradas más a la EPOServerCerts así EPOServerCertsBackup. Que tiene dos entradas antiguas y que se utilizan al hacer clic en Cancelar migración para ayudar a revertir a SHA-1.
- Algoritmo hash SHA1withRSA indica que el proceso de migración de certificados no termina en la conversión de SHA-1 a SHA-2.
- Los certificados de la lista sitelist se reciben en el sistema cliente y actualizan la CABUNDLE.cer File. Cuando se activa un ASCI, descarga el archivo sitelist con los certificados SHA-2 actualizados en el sistema cliente.
- Cuando finaliza, el indicador de porcentaje completado cambia para el certificado Manager en la consola de ePO. Indica que el certificado se ha recibido en el cliente, lo que indica que está listo para hacer clic Was.
Haciendo clic en ' activar certificado '
- Haga clic en Activaciónautomática Cuando el estado es 100%. Un 100% indica que todos los clientes han recibido la nueva SHA-2 a través del ASCI.
- Si hace clic en Activate & Progress Cuando muestra menos del 100%, los clientes no reciben el certificado SHA-2. Como resultado, los clientes no pueden contactar con el servidor de ePO.
- Haga Activaciónautomática cambia el KeystoreTemp Para KeystoreBackupy mueve todos los datos de la carpeta del almacén de claves a la carpeta de copia de seguridad.
- Para ver que la activación ha finalizado, consulte el registro de auditoría para la misma marca de tiempo. O bien, fíjese en la fecha del nombre de la carpeta, KeystoreBackup se ha modificado.
Haciendo clic en ' finalizar migración '
- Este punto en el que se elimina lo siguiente es crucial, ya que se ha migrado a SHA-2:
- El contenido de la copia de seguridad del server\KeystoreBackup directorio
- Contenido de la EPOServercertificatesBackup cuadro.
- Verifique en el sistema cliente que los cambios se hayan aplicado desde la regeneración del certificado de ePO. acciones:
- En el sistema cliente, consulte el cabundle.cer hora de modificación del archivo. Esta vez es que el ASCI recibe la nueva información actualizada del certificado de lista de sitios y actualiza la cabundle.cer File.
- Compruebe que el archivo se ha actualizado con SHA-2 información antes de hacer clic en activación en la consola de ePO. Utilice este método si desea confirmar manualmente, en lugar de confiar en el recuento de porcentaje de la página de Manager de certificados.
- Editar la cabundle.cer archivo a través de un editor de texto. Por ejemplo, abrir con Notepad bien Notepad++ para ver dos conjuntos de certificados: uno para SHA-1 y cuatro conjuntos de certificados para SHA-2.
La sección anterior confirma que el cliente ha recibido los certificados de SHA-2. Haciendo clic en Finalizar migración en ePO, cambia el sistema a SHA-2y permite que ePO se conecte al cliente correctamente.
- Verifique la información del certificado en la cabundle.cer el archivo es el mismo de acuerdo con Sitelist. XML en el servidor de ePO.
- Utilice la siguiente consulta para rastrear sistemas mediante el certificado SHA-2, tras la migración de certificados muestra resultados incorrectos en función de la zona horaria:
SELECT * FROM OrionCertStateManager WHERE ProductID = 'agentHandler.keystore'
- Utilice los siguientes scripts de SQL para verificar el estado de la migración de certificados:
- Consulta SQL para mostrar el estado del proceso de migración. Por ejemplo: regenerar, activar y finalizar la migración.
Select * from OrionCertStateManager
- Consulta SQL para mostrar los certificados de los elementos de ePO SHA-1 y SHA-2:
Select * from EPOServerCerts
- Consulta SQL para mostrar los certificados de copia de seguridad tras hacer clic en la opción regenerar antes de finalizar la migración:
Select * from EPOServerCertsbackup