Issue:
この記事は、以下のWithSecure製品に適用されます: Policy Manager Server、Policy Manager Proxy
Client Security は、「証明書の有効期限が切れています」および「信頼されていないルート CA」エラーにより、Policy Manager Proxy (PMP) および Policy Manager Server (PMS) から定義の更新をダウンロードできませんでした。
PMPを使用するホスト
2022-02-01 09:32:21.040 [1454.1a68] I: https://xxxx.xxxxx.xxxxx.de:488/guts2からの更新を確認しています
2022-02-01 09:32:21.040 [1454.1a68] I: 更新チェックに失敗しました、エラー=221 (証明書の有効期限が切れています)
PMSを直接使用するホスト
2022-01-31 16:32:22.806 [0f54.1300] I: https://xxxxx.xxxxx.xxx.de:443/guts2からの更新を確認しています
2022-01-31 16:32:22.884 [0f54.1300] I: 更新チェックに失敗しました。エラー=216 (信頼されていないルート CA)
この問題は、Policy Manager Server 15.30 にアップデートした後に発生しました。
Resolution:
Java KeyStore (.jks) ファイルのデータに基づいて、Policy Manager Proxy の証明書が更新されましたが、ログには含まれませんでした。CA 証明書は更新されましたが、SCEP 証明書は更新されませんでした。
この問題を解決するには、fspms-ca.jks から SCEP 証明書を削除します。
Linuxホストにインストールされたポリシー マネージャーの場合:
- WithSecure Policy Managerサービスを停止する
- fspms.jksファイルを削除します
- データフォルダ(/var/opt/f-secure/fspms/data/)の下にある次のコマンドフォルダを実行します。
- /opt/f-secure/fspms/jre/bin/keytool -delete -alias fspm-ra-encryption -keystore fspms-ca.jks
- /opt/f-secure/fspms/jre/bin/keytool -delete -alias fspm-ra-signing -keystore fspms-ca.jks
- WithSecure Policy Managerサービスを開始する
- ポリシーマネージャプロキシマシンで、/opt/f-secure/fspms/bin/からfspmp-enroll-tls-certificateスクリプトを実行します。
Windowsホストにインストールされたポリシー マネージャーの場合:
- services.msc > F-Secure Policy Manager ServerからWithSecure Policy Manager Serverサービスを停止します。
- %ProgramData%\ WithSecure\NS\Policy Manager\Policy Manager Server\data にある fspms.jks を削除します。注: このファイルのバックアップを作成してください。
- 管理者としてコマンドプロンプトを起動する
- コマンドプロンプトで%ProgramData%\ WithSecure\NS\Policy Manager\Policy Manager Server\dataフォルダに移動します。
- 次のコマンドを実行します。
- 「C:\Program Files\ WithSecure\Policy Manager\jre\bin\keytool.exe」 - 削除 -alias fspm-ra-encryption -keystore fspms-ca.jks
- 「C:\Program Files\ WithSecure\Policy Manager\jre\bin\keytool.exe」 - 削除 - エイリアス fspm-ra-signing -keystore fspms-ca.jks
- services.mscからWithSecure Policy Manager Serverサービスを開始します。
- ポリシーマネージャコンソールを起動すると、新しい証明書を受け入れるように求められます。 [同意する]をクリックして続行できます。
- Policy Manager Proxy マシンで fspmp-enrol-tls-certificate.bat スクリプトを実行します。
- (...\F-Secure\Management Server 5\bin\fspmp-enroll-tls-certificate.bat)
上記の手順が完了すると、定義の更新は期待どおりに機能するはずです。
Article no: 000038287
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.