Issue:
Die Verwaltungsserveradresse auf Client Security- oder Server Security-Hosts kann nicht geändert werden, da der öffentliche und der private Administratorschlüssel nicht übereinstimmen.
Hosts müssen zwischen zwei Policy Manager-Servern migriert werden, ohne dass eine Neuinstallation der Software-Client-Seite erforderlich ist.
Wie kann die Verwaltungsschlüsseldatei (admin.pub) auf WithSecure Clients ersetzt werden, falls der ursprüngliche Policy Manager-Server nicht mehr verfügbar ist?
Wie kann die Verwaltungsadresse des Policy Manager-Servers auf WithSecure Clients geändert werden, wenn der ursprüngliche Policy Manager-Server nicht mehr verfügbar ist?
Nach dem Upgrade oder der Installation von WithSecure Client Security/Server Security 14.x oder neuer treten Probleme mit der Kommunikation auf. Zu den Symptomen gehören:
- Der Host kann keine Verbindung zum WithSecure Policy Manager Server herstellen
- Der Host ist in der Liste „ Host importieren“ in der WithSecure Policy Manager-Konsole nicht sichtbar.
Resolution:
Stellen Sie zunächst sicher, dass die Adresse des WithSecure Policy Manager-Servers korrekt ist und dass die Host Kommunikationsports (Standard: TCP 80 und 443) empfangsbereit sind.
Testen Sie die Konnektivität zwischen den Clients und Policy Manager:
- Versuchen Sie, über einen Webbrowser von einem der Hosts (http://pms-server.local:80 und https://pm-server.local:443) eine Verbindung zur Adresse des WithSecure Policy Manager-Servers herzustellen. Wenn die Verbindung korrekt eingerichtet ist, erhalten Sie eine entsprechende Meldung vom WithSecure Policy Manager Server. Wenn keine Seite geladen wird, überprüfen Sie, ob die Host Kommunikationsports zum Policy Manager Server in Ihrer Firewall zulässig sind.
- Stellen Sie sicher, dass Sie die IP-Adresse und/oder den Hostnamen des WithSecure Policy Manager-Servers korrekt konfiguriert haben und dass die für Host konfigurierten Ports korrekt sind.
Nachfolgend finden Sie ein Beispiel für eine fehlgeschlagene Verbindung:
I: Verbindung zu wait.pmp-selector.local herstellen
I: Aktualisierungsprüfung fehlgeschlagen, Fehler=210 ( Host konnte nicht aufgelöst werden)
I: Verbindung fehlgeschlagen
W: ServerFinder::Ping: Ping an {Host: 10.10.10.10, http: 82, https: 443} abgebrochen. Es liegen keine gültigen Zertifikate vor
I: UpdatablePmCertVerifier::RenewCertificates: Zertifikate ab 10.10.10.10 erneuern
E: UpdatablePmCertVerifier::RenewCertificates: Zertifikatskörper konnten nicht heruntergeladen werden. AsyncSendRequest fehlgeschlagen: 12002
W: CosmosUpdater::Run: Es haben keine Server geantwortet. Richtlinienmanager nicht verfügbar.
Fehler 12002 bedeutet, dass ERROR_WINHTTP_TIMEOUT > Client Security/Server Security keine Verbindung zum Policy Manager herstellen kann, um diese Liste abzurufen.
Eine vollständige Liste der Microsoft Windows HTTP Services-Fehler finden Sie hier .
Nachfolgend finden Sie ein Beispiel für eine funktionierende Verbindung:
I: UpdatablePmCertVerifier::RenewCertificates: Zertifikate vom 10.11.10.10 erneuern
I: UpdatablePmCertVerifier::RenewCertificates: 2 Zertifikat(e) erfolgreich erneuert; läuft in 86170 Sekunden ab
Wenn Sie bestätigt haben, dass die Kommunikation zwischen dem Client-Computer und dem Policy Manager-Server funktioniert, und Sie sichergestellt haben, dass die Adresse und Ports des Policy Managers richtig konfiguriert sind, stellen Sie sicher, dass Datum und Uhrzeit auf dem Client-Gerät richtig konfiguriert sind.
Wenn Datum und Uhrzeit falsch eingestellt sind, schlägt der Download des Zertifikats vom Policy Manager Server fehl. Datum und Uhrzeit können in einer Offline-Umgebung leicht falsch eingestellt werden, da das Network Time Protocol (NTP) nicht zum Einstellen von Datum und Uhrzeit verwendet werden kann.
Überprüfen Sie PmpSelectorPlugin.log erneut auf Folgendes:
W: ServerFinder::Ping: Ping abgebrochen: Es sind keine gültigen Zertifikate vorhanden
I: UpdatablePmCertVerifier::RenewCertificates: Zertifikate von 192.168.1.100:443 mit HTTP-Proxy erneuern ''
W: UpdatablePmCertVerifier::StoreCertificates: Die Erneuerung der Zertifikate ergab keine neuen Zertifikate
Im obigen Beispiel versucht der Client, das Zertifikat vom Policy Manager Server herunterzuladen, aber da Datum und Uhrzeit des Clients im Vergleich zum Policy Manager Server in der Zukunft liegen, geht der Client davon aus, dass kein neues Zertifikat verfügbar ist.
Wenn das Problem weiterhin besteht, nachdem alle oben genannten Schritte ausgeführt wurden, können Sie sich das folgende Protokoll auf dem Host mit WithSecure Client Security/Server Security ansehen. Es zeigt den Verbindungsstatus mit dem WithSecure Policy Manager Server an. Sie können den Keyreplacer verwenden, um die Verbindungsprobleme zu lösen.
C:\ProgramData\F-Secure\Log\BusinessSuite\PmpSelectorPlugin.log.
Aus PmpSelectorPlugin.log geht möglicherweise hervor, dass die Datei „admin.pub“ auf dem problematischen Client nicht mit der Datei „admin.prv“ auf dem Policy Manager-Server übereinstimmt:
28.03.2022 18:20:20.977 [18e8.2b48] *E: UpdatablePmCertVerifier::ParseCertificates: Signatur des Zertifikatskörpers ungültig. Fehler ist 1
Wenn Ihr Policy Manager NUR Clients verwaltet, auf denen Client Security 14.00 oder neuer ausgeführt wird, können Sie mit einem Tool, das Ihnen vom Support zur Verfügung gestellt wird, selbst einen Keyreplacer erstellen. Dem Tool liegt eine Anleitung zum Erstellen der Keyreplacer-Datei bei.
Unterstützte Produkte- Client Security 14 und neuer
- Server Security 14 und neuer
- E-Mail- und Serversicherheit 14 und neuer
Einige häufige Anwendungsfälle für die Verwendung dieses Tools sind unten aufgeführt- Auf den Policy Manager-Server kann nicht zugegriffen werden und dem WithSecure Client müssen eine neue Policy Manager-Verwaltungsschlüsseldatei admin.pub und die Adresse des neuen Policy Manager-Servers bereitgestellt werden.
- Auf den Policy Manager-Server kann nicht zugegriffen werden und dem WithSecure Client muss eine neue, geänderte Adresse für den Policy Manager-Server bereitgestellt werden.
- Der Policy Manager-Server ist zugänglich, aber die Datei „admin.pub“ des Policy Manager-Verwaltungsschlüssels hat sich geändert und muss dem WithSecure Client bereitgestellt werden.
Schritt 1: Erstellen des Keyreplacer-Pakets:
Um das Paket zu erstellen, benötigen Sie einige erforderliche Informationen:
1. Der neue Policy Manager-Hostname oder die neue IP-Adresse. Verwenden Sie einfach die IP-Adresse und/oder den Hostnamen oder FQDN (vollqualifizierter Domänenname). Beispiele:- Policy-Manager-Server.acme.com
- 192.168.0.10
- hostname.local
2. Die HTTP- und HTTPS-Ports des Host , auf die der Policy Manager-Server lauscht. Die Standardports für Policy Manager sind Port 80 für HTTP und 443 für HTTPS. Wenn Sie nicht sicher sind, welche Ports vom Policy Manager Server verwendet werden, starten Sie die Anwendung „Statusmonitor“, die in der Programmgruppe „F-Secure Policy Manager“ verfügbar ist.
(Auf Linux-Systemen finden Sie die Portinformationen im folgenden Protokoll:
/var/opt/f-secure/fspms/logs/fspms-stderrout.log )
3. Exportieren Sie die Datei admin.pub:- Melden Sie sich bei Ihrer F-Secure Policy Manager-Konsole an.
- Wählen Sie im oberen Menübereich Extras > Serverkonfiguration aus
- Wählen Sie die Registerkarte Schlüssel. Wählen Sie unter „Signaturschlüssel exportieren“ die Schaltfläche „Exportieren“ aus
- Geben Sie die Passphrase des privaten Schlüssels ein
Schritt 2: Erstellen der Keyreplacer-JAR-Datei- Kontaktieren Sie den WithSecure Support für die Datei keyreplacer_2021.zip
- Sobald Sie Keyreplacer_2021.zip haben. Sie können jetzt die ZIP-Datei extrahieren, die die Keyreplacer-Dateien enthält.
- Kopieren Sie die aus der Policy Manager Console exportierte Datei admin.pub in denselben Ordner.
- Führen Sie den folgenden Befehl aus, um die JAR-Datei keyreplacer.jar zu erstellen.
iuupd.exe --create-keyreplacer-package -o keyreplacer.jar --pm-host "10.132.4.214" --pm-port-http 80 --pm-port-https 443 -i admin.pub
Hinweis: Die Befehle sollten als ein einziger Befehl bereitgestellt werden. Im Beispiel lautet die IP-Adresse des Policy Manager-Servers 10.132.4.214 und die HTTP- und HTTPS-Ports sind 80 bzw. 443. Passen Sie diese Werte an Ihre eigene Konfiguration an. Schritt 3: Anleitung zum Bereitstellen des Key-Replacer-Fixes
Um das zuvor erstellte Paket keyreplacer.jar zu installieren, stehen zwei Installationsoptionen zur Verfügung.
a) richtlinienbasierte oder Push-Installation mit Policy Manager
b) Lokale Installation mithilfe einer aus der Policy Manager-Konsole exportierten MSI-Datei. Hinweis: Die richtlinienbasierte Installation funktioniert nur, wenn der Verwaltungsschlüssel admin.pub nicht geändert wurde und kann daher nur zum Ändern der Policy Manager-Serveradresse verwendet werden.
a) Installation des Keyreplacer-Pakets – richtlinienbasierte Installation
- Importieren Sie auf dem Policy Manager-Server die Registrierungsdatei „Allow_unsigned_jars_on_PM.reg “, die in der Datei „keyreplacer_2021.zip“ enthalten ist. Um die Datei zu importieren, klicken Sie mit der rechten Maustaste auf die Datei und wählen Sie die Option „Zusammenführen“. Dadurch wird die geänderte Registrierung importiert und der Import nicht signierter Pakete in Policy Manager Server ermöglicht
- Um die vorherige Einstellung zu aktivieren, starten Sie den Policy Manager Server über eine Eingabeaufforderung neu:
- net stop fsms
- net start fsms
- Importieren Sie die Datei keyreplacer.jar über Extras > Installationspakete in die Policy Manager-Konsole. Wenn Sie dazu aufgefordert werden, wählen Sie „ Ja“ für die Warnmeldung „Nicht von F-Secure signiert “.
- Führen Sie eine Push- oder richtlinienbasierte Installation auf einem Zielcomputer durch.
- Alternativ können Sie auch die zuvor importierte keyreplacer.jar über Extras > Installationspakete in eine MSI-Datei exportieren. Diese Option wird für eine lokale Installation des Pakets empfohlen.
Dasselbe funktioniert auch für Linux, Sie müssen jedoch die Konfigurationsdatei /etc/opt/f-secure/fspms/fspms.conf anstelle der Registrierung verwenden. Erstellen Sie eine neue Zeile mit dem Parameter „additional_java_args“ und geben Sie in ihrem Wert Java-Systemeigenschaften in Anführungszeichen im folgenden Format an: -DpropertyName=Wert. Mehrere Eigenschaften können mit Leerzeichen als Trennzeichen angegeben werden. Bei Eigenschaftsnamen und -werten wird die Groß-/Kleinschreibung beachtet.
Beispiel: Additional_java_args=-DallowUnsignedWithRiwsAndMibs=true -Dh2ConsoleEnabled=true -DmaxSynchronousPackageRetrievalRequests=100
- Starten Sie den Policy Manager Server-Dienst und öffnen Sie die Policy Manager-Konsole
- Gehen Sie zur Registerkarte „Installation“ und klicken Sie auf „Installationspakete“.
- Klicken Sie auf „Importieren“, um die Datei „ KeyReplacer_unsigned.jar “ als Installationspaket in die Policy Manager-Konsole zu importieren
- Stellen Sie die KeyReplacer-Datei auf allen Clients bereit, beispielsweise mithilfe einer richtlinienbasierten Installation
Nachdem die Bereitstellung abgeschlossen ist, importieren Sie die Hosts in der Policy Manager-Konsole, indem Sie zur Registerkarte „Installation“ gehen und auf „ Neue Hosts importieren “ klicken.
b) Installation des Keyreplacer-Pakets – lokale Installation
Sie können die zuvor importierte Datei „keyreplacer.jar“ über „Extras > Installationspakete“ in Ihrem Policy Manager in eine MSI-Datei exportieren und das exportierte MSI-Paket über die Policy Manager-Konsole starten. Dies wurde im vorherigen Abschnitt „Installieren des Keyreplacer-Pakets – richtlinienbasierte Installation“ erstellt. Diese Option wird für eine lokale Installation des Pakets empfohlen.
Article no: 000003212
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.