Issue:
Cet article s'applique aux produits WithSecure suivants : Policy Manager Server, Policy Manager Proxy
Client Security n'a pas pu télécharger les mises à jour de définition à partir de Policy Manager Proxy (PMP) et Policy Manager Server (PMS) avec les erreurs « certificat expiré » et « autorité de certification racine non approuvée ».
Hôte utilisant PMP
2022-02-01 09:32:21.040 [1454.1a68] I : Vérification des mises à jour depuis https://xxxx.xxxxx.xxxxx.de:488/guts2
2022-02-01 09:32:21.040 [1454.1a68] I : Échec de la vérification de la mise à jour, erreur = 221 (certificat expiré)
Hébergeur utilisant directement PMS
2022-01-31 16:32:22.806 [0f54.1300] I : Vérification des mises à jour depuis https://xxxxx.xxxxx.xxx.de:443/guts2
2022-01-31 16:32:22.884 [0f54.1300] I : Échec de la vérification de la mise à jour, erreur = 216 (autorité de certification racine non approuvée)
Le problème est survenu après la mise à jour vers Policy Manager Server 15.30
Resolution:
D'après les données des fichiers Java KeyStore (.jks), les certificats du proxy Policy Manager ont été renouvelés, mais ils n'ont pas été inclus dans les journaux. Le certificat CA a été mis à jour, mais pas les certificats SCEP.
Vous pouvez supprimer les certificats SCEP de fspms-ca.jks pour résoudre le problème.
Pour Policy Manager installé sur un hôte Linux : :
- Arrêter le service WithSecure Policy Manager
- Supprimer le fichier fspms.jks
- Exécutez la commande suivante dans le dossier de données (/var/opt/f-secure/fspms/data/)
- /opt/f-secure/fspms/jre/bin/keytool -delete -alias fspm-ra-encryption -keystore fspms-ca.jks
- /opt/f-secure/fspms/jre/bin/keytool -delete -alias fspm-ra-signing -keystore fspms-ca.jks
- Commencez WithSecure le service Secure Policy Manager
- Sur la machine proxy Policy Manager, exécutez le script fspmp-enroll-tls-certificate depuis /opt/f-secure/fspms/bin/
Pour Policy Manager installé sur un hôte Windows :
- Arrêtez le service WithSecure Policy Manager Server depuis services.msc > F-Secure Policy Manager Server
- Supprimez le fichier fspms.jks dans %ProgramData%\ WithSecure\NS\Policy Manager\Policy Manager Server\data Remarque : effectuez une sauvegarde de ce fichier
- Lancer l'invite de commande en tant administrateur
- Accédez au dossier %ProgramData%\ WithSecure\NS\Policy Manager\Policy Manager Server\data dans l'invite de commande
- Exécutez la commande suivante :
- "C:\Program Files\ WithSecure\Policy Manager\jre\bin\keytool.exe" -delete -alias fspm-ra-encryption -keystore fspms-ca.jks
- "C:\Program Files\ WithSecure\Policy Manager\jre\bin\keytool.exe" -delete -alias fspm-ra-signing -keystore fspms-ca.jks
- Démarrez le service WithSecure Policy Manager Server à partir de services.msc
- Au lancement de la console Policy Manager, vous serez invité à accepter le nouveau certificat. Vous pouvez cliquer sur Accepter pour continuer
- Exécutez le script fspmp-enrol-tls-certificate.bat sur la machine proxy Policy Manager.
- (...\F-Secure\Management Server 5\bin\fspmp-enroll-tls-certificate.bat)
Une fois les étapes ci-dessus terminées, les mises à jour de définition devraient fonctionner comme prévu.
Article no: 000038287
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.