Issue:
Impossible de modifier l'adresse du serveur de gestion sur les hôtes Client Security ou Server Security car les clés d'administration publique et privée ne correspondent pas.
Besoin de migrer des hôtes entre deux serveurs Policy Manager sans avoir à réinstaller le logiciel côté client.
Comment remplacer le fichier de clé de gestion (admin.pub) sur les clients WithSecure au cas où le serveur Policy Manager d'origine n'est plus disponible ?
Comment modifier l'adresse de gestion du serveur Policy Manager sur les clients WithSecure lorsque le serveur Policy Manager d'origine n'est plus disponible ?
Après la mise à niveau ou l'installation de WithSecure Client Security/Server Security 14.x ou plus récent, vous rencontrez des problèmes de communication. Les symptômes comprennent :
- l' hôte ne parvient pas à se connecter au serveur WithSecure Policy Manager
- l' hôte n'est pas visible dans la liste "Importer hôte" dans WithSecure Policy Manager Console.
Resolution:
Pour commencer, assurez-vous que l'adresse du serveur WithSecure Policy Manager est correcte et que les ports de communication de hôte (par défaut : TCP 80 et 443) sont à l'écoute.
Testez la connectivité entre les clients et Policy Manager :
- Essayez de vous connecter à l'adresse du serveur WithSecure Policy Manager via un navigateur Web depuis l'un des hôtes (http://pms-server.local:80 et https://pm-server.local:443). Si la connexion est configurée correctement, vous recevrez une page Web du serveur WithSecure Policy Manager l'indiquant. Si aucune page n'est chargée, vérifiez que les ports de communication hôte vers Policy Manager Server sont autorisés dans votre pare-feu .
- Assurez-vous que vous avez correctement configuré adresse IP et/ou le nom d'hôte du serveur WithSecure Policy Manager et que les ports configurés pour les modules hôte sont corrects.
Voici un exemple d'échec de connexion :
I : Connexion à wait.pmp-selector.local
I : Échec de la vérification de la mise à jour, erreur = 210 (impossible de résoudre hôte)
I : Échec de la connexion
W: ServerFinder::Ping : Ping vers {hôte: 10.10.10.10, http: 82, https: 443} abandonné. Il n'y a pas de certificats valides
I : UpdatablePmCertVerifier : : RenewCertificates : renouvellement des certificats à partir du 10.10.10.10
E : UpdatablePmCertVerifier : : RenewCertificates : Échec du téléchargement des corps de certificat. AsyncSendRequest a échoué : 12002
W : CosmosUpdater :: Run : aucun serveur n'a répondu. Gestionnaire de règles indisponible.
L'erreur 12002 signifie que ERROR_WINHTTP_TIMEOUT > Client Security/Server Security ne peut pas se connecter à Policy Manager pour récupérer cette liste.
Une liste complète des erreurs des services HTTP de Microsoft Windows est disponible ici .
Ci-dessous un exemple de connexion fonctionnelle :
I : UpdatablePmCertVerifier : : RenewCertificates : renouvellement des certificats à partir du 10.11.10.10
I : UpdatablePmCertVerifier::RenewCertificates : 2 certificats renouvelés avec succès ; expire dans 86170 secondes
Si vous avez confirmé que la communication fonctionne entre l'ordinateur client et le serveur Policy Manager et que vous vous êtes assuré que l'adresse et les ports de Policy Manager sont correctement configurés, assurez-vous que la date et l'heure sont correctement configurées sur la machine cliente.
Si la date et l'heure ne sont pas correctement définies, le téléchargement du certificat à partir de Policy Manager Server échouera. La date et l'heure peuvent facilement être définies de manière incorrecte dans un environnement hors ligne, car le protocole NTP (Network Time Protocol) ne peut pas être utilisé pour définir la date et l'heure.
Vérifiez à nouveau le fichier PmpSelectorPlugin.log pour les éléments suivants :
W: ServerFinder::Ping : Ping abandonné : il n'y a pas de certificats valides
I : UpdatablePmCertVerifier::RenewCertificates : Renouvellement des certificats à partir de 192.168.1.100:443 avec le proxy HTTP ''
W : UpdatablePmCertVerifier : : StoreCertificates : le renouvellement des certificats n'a généré aucun nouveau certificat
Dans l'exemple ci-dessus, le client essaie de télécharger le certificat à partir du serveur Policy Manager, mais comme la date et l'heure du client sont dans le futur par rapport au serveur Policy Manager, le client pense qu'aucun nouveau certificat n'est disponible.
Si le problème persiste après avoir effectué toutes les étapes ci-dessus, vous pouvez consulter le journal suivant sur l' hôte avec WithSecure Client Security/Server Security. Il affiche l'état de la connexion avec le serveur WithSecure Policy Manager. Vous pouvez utiliser le Keyreplacer pour résoudre les problèmes de connexion.
C:\ProgramData\F-Secure\Log\BusinessSuite\PmpSelectorPlugin.log.
À partir de PmpSelectorPlugin.log, cela peut indiquer que le fichier admin.pub sur le client problématique ne correspond pas au fichier admin.prv sur le serveur Policy Manager :
2022-03-28 18:20:20.977 [18e8.2b48] *E : UpdatablePmCertVerifier ::ParseCertificates : signature des organismes de certificat invalide. L'erreur est 1
Si votre Policy Manager gère UNIQUEMENT les clients exécutant Client Security 14.00 ou une version plus récente , vous pouvez créer vous-même un Keyreplacer avec un outil qui peut vous être fourni par le support. L'outil est livré avec des instructions sur la façon de créer le fichier keyreplacer.
Produits pris en charge- Client Security 14 et plus récent
- Server Security 14 et plus récent
- Email and Server Security 14 et plus récent
Certains cas d'utilisation courants pour l'utilisation de cet outil sont répertoriés ci-dessous- Le serveur Policy Manager n'est pas accessible et un nouveau fichier admin.pub de clé de gestion Policy Manager et l'adresse du nouveau serveur Policy Manager doivent être fournis au client WithSecure .
- Le serveur Policy Manager n'est pas accessible et une nouvelle adresse modifiée vers le serveur Policy Manager doit être fournie au client WithSecure .
- Le serveur Policy Manager est accessible mais le fichier admin.pub de la clé de gestion Policy Manager a changé et doit être fourni au client WithSecure .
Étape 1 : Création du package de remplacement de clé :
Pour créer le package, vous avez besoin de quelques informations préalables-
1. Le nouveau nom d'hôte ou adresse IP de Policy Manager. Utilisez simplement l'adresse IP et/ou le nom d'hôte ou FQDN (nom de domaine complet). Exemples:- policy-manager-server.acme.com
- 192.168.0.10
- nom_hôte.local
2. Les ports HTTP et HTTPS du module hôte écoutés par le serveur Policy Manager. Les ports par défaut pour Policy Manager sont le port 80 pour HTTP et 443 pour HTTPS. Si vous n'êtes pas sûr des ports utilisés par Policy Manager Server, lancez l'application "Moniteur d'état" disponible dans le groupe de programmes "F-Secure Policy Manager".
(Sur les systèmes Linux, les informations de port peuvent être trouvées dans le journal suivant :
/var/opt/f-secure/fspms/logs/fspms-stderrout.log )
3. Exportez le fichier admin.pub :- Connectez-vous à votre console F-Secure Policy Manager.
- Dans le panneau de menu supérieur, sélectionnez Outils > Configuration du serveur
- Sélectionnez l'onglet Clés. Sous "Exporter les clés de signature", sélectionnez le bouton Exporter
- Saisissez la phrase secrète de la clé privée
Étape 2 Création du fichier JAR de remplacement de clé- Contactez le support WithSecure pour le fichier keyreplacer_2021.zip
- Une fois que vous avez le Keyreplacer_2021.zip. vous pouvez maintenant extraire le fichier ZIP contenant les fichiers de remplacement de clé.
- Copiez le fichier admin.pub exporté depuis Policy Manager Console dans le même dossier.
- Exécutez la commande suivante pour créer le fichier JAR keyreplacer.jar.
iuupd.exe --create-keyreplacer-package -o keyreplacer.jar --pm-host "10.132.4.214" --pm-port-http 80 --pm-port-https 443 -i admin.pub
Remarque : les commandes doivent être fournies sous la forme d'une seule et même commande. Dans l'exemple, l'adresse IP du serveur Policy Manager est 10.132.4.214 et les ports HTTP et HTTPS sont respectivement 80 et 443. Ajustez ces valeurs pour refléter votre propre configuration. Étape 3 : Instruction pour déployer le correctif Key Replacer
Pour installer le package keyreplacer.jar créé précédemment, deux options d'installation sont disponibles.
a) installation basée sur une politique ou poussée à l'aide de Policy Manager
b) installation locale à l'aide du fichier MSI exporté depuis Policy Manager Console. Remarque : l'installation basée sur des stratégies ne fonctionnera que si la clé de gestion admin.pub n'a pas été modifiée et ne peut donc être utilisée que pour modifier l'adresse du serveur Policy Manager.
a) Installation du package keyreplacer - installation basée sur une stratégie
- Sur le serveur Policy Manager, importez le fichier de registre Allow_unsigned_jars_on_PM.reg inclus dans le fichier keyreplacer_2021.zip. Pour importer le fichier, faites un clic droit sur le fichier et sélectionnez l'option "Fusionner". Cela importe le registre modifié et permet l'importation de packages non signés vers Policy Manager Server
- Pour activer le paramètre précédent, redémarrez Policy Manager Server à l'aide d'une invite de commande :
- arrêt net fsm
- fsm de démarrage net
- Importez le fichier keyreplacer.jar dans la console Policy Manager en utilisant Outils > Packages d'installation. Lorsque vous y êtes invité, sélectionnez « Oui » pour le message d'avertissement « non signé par F-Secure ».
- Effectuez une installation push ou basée sur une stratégie sur une machine cible.
- Alternativement, vous pouvez également exporter le keyreplacer.jar précédemment importé vers un fichier MSI en utilisant Outils > Packages d'installation. Cette option est recommandée pour une installation locale du package.
La même chose fonctionne pour Linux, mais vous devez utiliser le fichier de configuration /etc/opt/f-secure/fspms/fspms.conf au lieu du registre. Créez une nouvelle ligne avec le paramètre additional_java_args et spécifiez les propriétés du système Java dans sa valeur entre guillemets au format suivant : -DpropertyName=value. Plusieurs propriétés peuvent être spécifiées en utilisant l'espace comme délimiteur. Les noms et les valeurs des propriétés sont sensibles à la casse.
Exemple : additional_java_args=-DallowUnsignedWithRiwsAndMibs=true -Dh2ConsoleEnabled=true -DmaxSynchronousPackageRetrievalRequests=100
- Démarrez le service Policy Manager Server et ouvrez la console Policy Manager
- Allez dans l'onglet Installation et cliquez sur Packages d'installation
- Cliquez sur Importer pour importer le fichier « KeyReplacer_unsigned.jar » dans la console Policy Manager en tant que package d'installation.
- Déployer le fichier KeyReplacer sur tous les clients, par exemple à l'aide d'une installation basée sur des règles
Une fois le déploiement terminé, importez les hôtes dans la console Policy Manager en allant dans l'onglet Installation et en cliquant sur « Importer de nouveaux hôtes ».
b) Installation du package keyreplacer - installation locale
Vous pouvez exporter le fichier keyreplacer.jar précédemment importé vers un fichier MSI à l'aide de Outils > Packages d'installation dans votre Policy Manager et lancer le package MSI exporté à l'aide de Policy Manager Console. Cela a été créé dans la section précédente "Installation du package keyreplacer - installation basée sur une politique". Cette option est recommandée pour une installation locale du package.
Article no: 000003212
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.