Il contenuto di questo articolo è disponibile anche come video sul
Canale YouTube McAfee Enterprise.
Flusso di lavoro del processo di migrazione dei certificati:
Rigenerazione del certificato
- I certificati di root e intermedi basati su SHA-2 vengono rigenerati sul server ePO per tutti i prodotti gestiti che utilizzano MFS ROOT_CA per la comunicazione TLS/SSL. I certificati vengono inseriti in un percorso temporaneo sul server ePO.
- Quando viene rigenerata una nuova Sitelist. XML, viene creato un pacchetto di agent. Durante questa fase, ePO distribuisce Sitelist. XML e verifica lo stato di avanzamento della distribuzione dei certificati.
Attivazione del certificato
- Il server ePO esegue un backup del certificato originale e sposta i certificati appena generati nella cartella temporanea nella cartella keystore attiva.
Fine o Annulla migrazione
- Sulla selezione di Termina migrazione, viene eliminato il vecchio certificato (originale) di cui è stato eseguito il backup. I nuovi certificati vengono quindi impostati su attivo.
- Sulla selezione di Annulla migrazione, il vecchio certificato (originale) di cui è stato eseguito il backup viene spostato nuovamente nella cartella keystore. Quindi vengono attivati.
- Poiché il processo di attivazione del certificato non è attivato, ripristina l'interfaccia utente in modo che venga visualizzato come SHA1WithRSA. Il nuovo certificato della cartella Temp viene eliminato e ripristina i vecchi certificati SHA-1.
Passaggi dettagliati (azioni intraprese nella pagina certificato Manager nella console ePO):
Fare clic su Rigenera certificato
- Per impostazione predefinita, con SHA-1, l'elenco dei siti MA contiene due insiemi di informazioni sul certificato. Mentre quando si fa clic su Rigenerazione del certificato, dispone di quattro set di informazioni sul certificato per SHA-2.
- Inoltre, crea la cartella keystoreTemp in (ePO\server). Contiene i seguenti quattro file:
- AgentHandler. keystore
- CA. keystore
- ClientAuth. keystore
- Server. keystore
- È possibile verificare il registro di verifica con lo stesso Time Stamp Action Rigenerazione completata, se ha esito positivo.
- È possibile esaminare il Sitelist.xml file con l'indicatore di data e ora modificato per verificare che corrisponda a keystoreTemp e le voci del registro di verifica.
- È possibile notare che sono state aggiunte altre due voci al EPOServerCerts e EPOServerCertsBackup. Che dispone di due voci precedenti e viene utilizzato durante il clic su Annulla migrazione per consentire di ripristinare SHA-1.
- Algoritmo hash SHA1withRSA stabilisce che il processo di migrazione dei certificati non è terminato per la conversione da SHA-1 a SHA-2.
- I certificati provenienti dal sito sono ricevuti nel sistema client e aggiornano il CABUNDLE.cer file. Quando si attiva un trigger ASCI, il sito Web aggiornato viene scaricato con i certificati SHA-2 nel sistema client.
- Al termine, l'indicatore percentuale completato cambia per il certificato Manager nella console ePO. Statistiche it il certificato è stato ricevuto presso il client, indicando che si è pronti a fare clic su Attivazione.
Fare clic su Attiva certificato
- Fare clic solo su Attivare Quando lo stato è 100%. Un 100% indica che tutti i client hanno ricevuto il nuovo SHA-2 tramite ASCI.
- Se si fa clic su Activate & Progress Quando Mostra meno del 100%, i client non ricevono il certificato SHA-2. Di conseguenza, i client non riescono a contattare il server ePO.
- Facendo clic su Attivare modifica il KeystoreTemp A KeystoreBackupe consente di spostare tutti i dati dalla cartella keystore alla cartella di backup.
- Per verificare che l'attivazione sia stata completata, visualizzare il registro di verifica per lo stesso contrassegno di ora. O guardare la data del nome della cartella, KeystoreBackup è stato modificato.
Fare clic su "termina migrazione"
- Questo punto in cui viene eliminato quanto segue è cruciale perché è stato migrato a SHA-2:
- Il contenuto del backup da server\KeystoreBackup cartella
- Contenuto del EPOServercertificatesBackup tavolo.
- Verificare sul sistema client che le modifiche sono state applicate dalla rigenerazione del certificato ePO. Actis:
- Nel sistema client, consultare il cabundle.cer ora file modificato. Questa volta è che ASCI riceve le nuove informazioni aggiornate sul certificato di elenco dei siti e aggiorna il cabundle.cer file.
- Verificare che il file venga aggiornato con SHA-2 informazioni prima di fare clic su attivazione nella console ePO. Utilizzare questo metodo se si desidera confermare manualmente, piuttosto che affidarsi al conteggio percentuale dalla pagina Manager certificato.
- Modificare il cabundle.cer file tramite un editor di testo. Ad esempio, Apri con Notepad o Notepad++ per consultare due set di certificati: uno per SHA-1 e quattro set di certificati per SHA-2.
Quanto sopra conferma che il client ha ricevuto i certificati per SHA-2. Facendo clic su Termina migrazione in ePO, il sistema viene modificato in SHA-2e consente a ePO di connettersi al client correttamente.
- Verificare le informazioni sul certificato nel cabundle.cer il file è lo stesso in base a Sitelist. XML sul server ePO.
- Utilizzare la query seguente per tenere traccia dei sistemi che utilizzano il certificato SHA-2, dopo la migrazione del certificato Visualizza risultati non corretti in base al fuso orario:
SELECT * FROM OrionCertStateManager WHERE ProductID = 'agentHandler.keystore'
- Utilizzare i seguenti script SQL per verificare lo stato della migrazione del certificato:
- Query SQL per visualizzare lo stato del processo di migrazione. Ad esempio: rigenerate, attivate, completate la migrazione.
Select * from OrionCertStateManager
- Query SQL per visualizzare i certificati per ePO SHA-1 e SHA-2:
Select * from EPOServerCerts
- Query SQL per visualizzare i certificati di backup, dopo aver fatto clic sull'opzione Rigenera prima di terminare la migrazione:
Select * from EPOServerCertsbackup
