Issue:
Management Server -osoitetta ei voi muuttaa Client Security- tai Server Security -isännissä, koska julkinen ja yksityinen järjestelmänvalvojan avaimet eivät täsmää.
Isännät on siirrettävä kahden Policy Manager -palvelimen välillä tarvitsematta asentaa ohjelmistoasiakaspuolta uudelleen.
Miten WithSecure asiakkaiden hallintaavaintiedosto (admin.pub) voidaan korvata, jos alkuperäinen Policy Manager -palvelin ei ole enää saatavilla?
Miten Policy Manager -palvelimen hallintaosoitetta voidaan muuttaa WithSecure asiakkaissa, kun alkuperäinen Policy Manager -palvelin ei ole enää käytettävissä?
Kun olet päivittänyt tai asentanut WithSecure Client Security/Server Security 14.x tai uudemman version, kohtaat viestintäongelmia. Oireita ovat:
- isäntäkone ei pysty muodostamaan yhteyttä WithSecure Policy Manager Serveriin
- isäntäkone ei näy WithSecure Policy Manager -konsolin "Import isäntäkone " -luettelossa.
Resolution:
Varmista aluksi, että WithSecure Policy Manager Server -osoite on oikea ja että isäntäkone (oletus: TCP 80 ja 443) kuuntelevat.
Testaa asiakkaiden ja Policy Managerin välistä yhteyttä:
- Yritä muodostaa yhteys WithSecure Policy Manager Server -palvelimen osoitteeseen verkkoselaimen kautta jostakin isännistä (http://pms-server.local:80 ja https://pm-server.local:443). Jos yhteys on muodostettu oikein, saat WWW-sivun WithSecure Policy Manager -palvelimelta, joka ilmoittaa siitä. Jos sivua ei ole ladattu, tarkista, että Policy Manager -palvelimen isäntäkone ovat sallittuja palomuuri.
- Varmista, että olet määrittänyt WithSecure Policy Manager Serverin IP-osoite ja/tai isäntänimen oikein ja että isäntäkone määritetyt portit ovat oikein.
Alla on esimerkki epäonnistuneesta yhteydestä:
I: Yhdistetään osoitteeseen wait.pmp-selector.local
I: Päivitystarkistus epäonnistui, error=210 ( isäntäkone ei voi ratkaista)
I: Yhteys epäonnistui
W: ServerFinder::Ping: Ping to {isäntäkone: 10.10.10.10, http: 82, https: 443} keskeytetty. Kelvollisia varmenteita ei ole
I: PäivitettäväPmCertVerifier::RenewCertificates: Varmenteiden uusiminen 10.10.10.10 alkaen
E: UpdatablePmCertVerifier::RenewCertificates: Varmennerunkojen lataaminen epäonnistui. AsyncSendRequest epäonnistui: 12002
W: CosmosUpdater::Suorita: Palvelimet eivät vastanneet. Käytäntöjen hallinta ei ole käytettävissä.
Virhe 12002 tarkoittaa, että ERROR_WINHTTP_TIMEOUT > Client Security/Server Security ei voi muodostaa yhteyttä Policy Manageriin tämän luettelon hakemiseksi.
Täydellinen luettelo Microsoft Windows HTTP Services -virheistä on saatavilla täältä .
Alla on esimerkki toimivasta liitännästä:
I: PäivitettäväPmCertVerifier::RenewCertificates: Varmenteiden uusiminen 10.11.10.10 alkaen
I: UpdatablePmCertVerifier::RenewCertificates: 2 varmenne(tta) uusittu onnistuneesti; vanhenee 86170 sekunnissa
Jos olet vahvistanut yhteyden toimivan asiakastietokoneen ja Policy Manager -palvelimen välillä ja olet varmistanut, että Policy Manager -osoite ja portit on määritetty oikein, varmista, että päivämäärä ja aika on määritetty oikein asiakaslaitteessa.
Jos päivämäärä ja aika on asetettu väärin, varmenteen lataus Policy Manager -palvelimesta epäonnistuu. Päivämäärä ja aika voidaan asettaa helposti väärin offline-ympäristössä, koska Network Time Protocol (NTP) -protokollaa ei voi käyttää päivämäärän ja ajan asettamiseen.
Tarkista PmpSelectorPlugin.log uudelleen seuraavien tietojen varalta:
W: ServerFinder::Ping: Ping keskeytetty: kelvollisia varmenteita ei ole
I: UpdatablePmCertVerifier::RenewCertificates: Varmenteiden uusiminen osoitteesta 192.168.1.100:443 HTTP-välityspalvelimella ''
W: PäivitettäväPmCertVerifier::StoreCertificates: Varmenteiden uusiminen ei tuottanut uusia varmenteita
Yllä olevassa esimerkissä asiakas yrittää ladata varmenteen Policy Manager -palvelimelta, mutta koska asiakkaan päivämäärä ja kellonaika ovat tulevaisuudessa verrattuna Policy Manager Serveriin, asiakas uskoo, ettei uutta varmennetta ole saatavilla.
Jos ongelma jatkuu kaikkien yllä olevien vaiheiden suorittamisen jälkeen, voit katsoa seuraavaa lokia isäntäkone WithSecure Client Securityn/Server Securityn avulla. Se näyttää yhteyden tilan WithSecure Policy Manager Serveriin. Voit käyttää Keyreplaceria ratkaistaksesi yhteysongelmat.
C:\ProgramData\F-Secure\Log\BusinessSuite\PmpSelectorPlugin.log.
PmpSelectorPlugin.log-tiedostosta tämä voi tarkoittaa, että ongelmallisen asiakkaan admin.pub ei vastaa Policy Manager -palvelimen admin.prv-tiedostoa:
2022-03-28 18:20:20.977 [18e8.2b48] *E: PäivitettäväPmCertVerifier::ParseCertificates: Varmenneelinten allekirjoitus virheellinen. Virhe on 1
Jos käytäntöpäällikkösi hallitsee VAIN asiakkaita, joissa on Client Security 14.00 tai uudempi , voit luoda Keyreplacerin itse työkalulla, jonka voit tarjota tuen kautta. Työkalun mukana tulee ohjeet avaimenvaihtotiedoston luomiseen.
Tuetut tuotteet- Client Security 14 ja uudemmat
- Server Security 14 ja uudemmat
- Sähköposti ja palvelinsuojaus 14 ja uudemmat
Alla on lueteltu joitakin tämän työkalun yleisiä käyttötapauksia- Policy Manager -palvelin ei ole käytettävissä, ja uusi Policy Manager -hallintaavaimen admin.pub-tiedosto ja uuden Policy Manager -palvelimen osoite on annettava WithSecure asiakkaalle.
- Policy Manager -palvelin ei ole käytettävissä, ja uusi, muutettu Policy Manager -palvelimen osoite on annettava WithSecure -asiakkaalle.
- Policy Manager -palvelin on käytettävissä, mutta Policy Manager -hallintaavaimen admin.pub-tiedosto on muuttunut ja se on toimitettava WithSecure -asiakkaalle.
Vaihe 1: Avaimenvaihtopaketin luominen:
Paketin luomiseksi tarvitset joitain ennakkotietoja -
1. Uusi Policy Managerin isäntänimi tai IP-osoite. Käytä vain IP-osoitetta ja/tai isäntänimeä tai FQDN:ää (täysin hyväksytty toimialueen nimi). Esimerkkejä:- policy-manager-server.acme.com
- 192.168.0.10
- isäntänimi.paikallinen
2. isäntäkone HTTP- ja HTTPS-portit, joita Policy Manager -palvelin kuuntelee. Policy Managerin oletusportit ovat portti 80 HTTP:lle ja 443 HTTPS:lle. Jos et ole varma, mitä portteja Policy Manager Server käyttää, käynnistä "F-Secure Policy Manager" -ohjelmaryhmässä oleva "Status monitor" -sovellus.
(Linux-järjestelmissä porttitiedot löytyvät seuraavasta lokista:
/var/opt/f-secure/fspms/logs/fspms-stderrout.log )
3. Vie admin.pub-tiedosto:- Kirjaudu F-Secure Policy Manager -konsoliin.
- Valitse ylävalikkopaneelista Työkalut > Palvelimen määritykset
- Valitse Avaimet-välilehti. Valitse Vie allekirjoitusavaimet -kohdasta Vie-painike
- Anna yksityisen tunnuslause
Vaihe 2 Avaimenvaihto-JAR-tiedoston luominen- Ota yhteyttä WithSecure tukeen keyreplacer_2021.zip-tiedoston saamiseksi
- Kun sinulla on Keyreplacer_2021.zip. voit nyt purkaa ZIP-tiedoston, joka sisältää avaimenvaihtotiedostot.
- Kopioi Policy Manager Consolesta viety admin.pub-tiedosto samaan kansioon.
- Suorita seuraava komento luodaksesi JAR-tiedoston keyreplacer.jar.
iuupd.exe --create-keyreplacer-package -o keyreplacer.jar --pm-host "10.132.4.214" --pm-port-http 80 --pm-port-https 443 -i admin.pub
Huomautus: komennot tulee antaa yhtenä komentona. Esimerkissä Policy Manager -palvelimen IP-osoite on 10.132.4.214 ja HTTP- ja HTTPS-portit ovat 80 ja 443. Säädä näitä arvoja vastaamaan omaa kokoonpanoasi. Vaihe 3: Ohjeet Key Replacer -korjauksen käyttöönottoon
Aiemmin luodun paketin keyreplacer.jar asentamiseksi on käytettävissä kaksi asennusvaihtoehtoa.
a) käytäntöön perustuva tai push-asennus Policy Managerin avulla
b) paikallinen asennus käyttämällä MSI-tiedostoa, joka on viety Policy Manager Consolesta. Huomautus: Käytäntöpohjainen asennus toimii vain, jos hallintaavainta admin.pub ei ole muutettu, ja siksi sitä voidaan käyttää vain Policy Manager Server -osoitteen muuttamiseen.
a) Keyreplacer-paketin asentaminen - käytäntöön perustuva asennus
- Tuo Policy Manager -palvelimella rekisteritiedosto Allow_unsigned_jars_on_PM.reg , joka sisältyy keyreplacer_2021.zip-tiedostoon. Tuo tiedosto napsauttamalla tiedostoa hiiren kakkospainikkeella ja valitsemalla "Yhdistä". Tämä tuo muutetun rekisterin ja mahdollistaa allekirjoittamattomien pakettien tuomisen Policy Manager Serveriin
- Voit aktivoida edellisen asetuksen käynnistämällä Policy Manager -palvelimen uudelleen komentokehotteen avulla:
- net stop fsms
- net start fsms
- Tuo tiedosto keyreplacer.jar Policy Manager -konsoliin valitsemalla Työkalut > Asennuspaketit. Valitse pyydettäessä " Kyllä" varoitusviestiin "ei allekirjoittanut F-Secure ".
- Suorita push- tai käytäntöpohjainen asennus kohdekoneeseen.
- Vaihtoehtoisesti voit myös viedä aiemmin tuodun keyreplacer.jar-tiedoston MSI-tiedostoon valitsemalla Työkalut > Asennuspaketit. Tätä vaihtoehtoa suositellaan paketin paikalliseen asennukseen.
Sama toimii Linuxissa, mutta sinun on käytettävä konfiguraatiotiedostoa /etc/opt/f-secure/fspms/fspms.conf rekisterin sijaan. Luo uusi rivi parametrilla Additional_java_args ja määritä Java-järjestelmän ominaisuudet sen arvossa lainausmerkeissä seuraavassa muodossa: -DpropertyName=value. Useita ominaisuuksia voidaan määrittää käyttämällä välilyöntiä erottimena. Ominaisuuksien nimet ja arvot erottuvat kirjainkoolla.
Esimerkki: Additional_java_args=-DallowUnsignedWithRiwsAndMibs=true -Dh2ConsoleEnabled=true -DmaxSynchronousPackageRetrievalRequests=100
- Käynnistä Policy Manager Server -palvelu ja avaa Policy Manager -konsoli
- Siirry Asennus-välilehteen ja napsauta Asennuspaketit
- Napsauta Tuo tuodaksesi KeyReplacer_unsigned.jar -tiedoston Policy Manager -konsoliin asennuspaketina
- Ota KeyReplacer-tiedosto käyttöön kaikille asiakkaille, esimerkiksi käyttämällä käytäntöpohjaista asennusta
Kun käyttöönotto on valmis, tuo isännät Policy Manager -konsoliin siirtymällä Asennus-välilehdelle ja napsauttamalla " Tuo uudet isännät ".
b) Avaimenvaihtopaketin asennus - paikallinen asennus
Voit viedä aiemmin tuodun keyreplacer.jar-tiedoston MSI-tiedostoon valitsemalla Policy Managerin Työkalut > Asennuspaketit ja käynnistää Policy Manager Consolen avulla vietyn MSI-paketin. Tämä luotiin edellisessä osiossa "Avainreplacer-paketin asennus - käytäntöpohjainen asennus". Tätä vaihtoehtoa suositellaan paketin paikalliseen asennukseen.
Article no: 000003212
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.