Issue:
公開管理キーと秘密管理キーが一致しないため、Client Security または Server Security ホストで管理サーバー アドレスを変更できません。
ソフトウェアのクライアント側を再インストールすることなく、2 つのポリシー マネージャー サーバー間でホストを移行する必要があります。
元の Policy Manager サーバーが使用できなくなった場合、 WithSecureクライアント上の管理キー ファイル (admin.pub) はどのように置き換えられますか?
元の Policy Manager サーバーが使用できなくなった場合、 WithSecureクライアントの Policy Manager サーバー管理アドレスはどのように変更できますか?
WithSecure Client Security/Server Security 14.x 以降をアップグレードまたはインストールすると、通信の問題が発生します。症状には次のようなものがあります。
- ホストがWithSecureポリシー マネージャー サーバーに接続できません
- ホストは、 WithSecureポリシー マネージャー コンソールの [ホストのインポート] リストに表示されません。
Resolution:
まず、 WithSecureポリシー マネージャー サーバーのアドレスが正しいこと、およびホスト通信ポート (デフォルト: TCP 80 および 443) がリッスンしていることを確認してください。
クライアントと Policy Manager の間の接続をテストします。
- いずれかのホスト (http://pms-server.local:80 および https://pm-server.local:443) から Web ブラウザ経由でWithSecure Policy Manager サーバーのアドレスへの接続を試みます。接続が正しく設定されている場合は、そのことを示す Web ページがWithSecure Policy Manager サーバーから受信されます。ページがロードされていない場合は、ポリシー マネージャー サーバーへのホスト通信ポートがファイアウォールで許可されていることを確認してください。
- WithSecureポリシー マネージャー サーバーのIPアドレスおよび/またはホスト名が正しく構成されていること、およびホストモジュール用に構成されたポートが正しいことを確認してください。
以下は失敗した接続の例です。
I: wait.pmp-selector.local に接続します
I: 更新チェックに失敗しました、エラー=210 (ホストを解決できません)
I: 接続に失敗しました
W: ServerFinder::Ping: {ホスト : 10.10.10.10, http: 82, https: 443} への Ping が中止されました。有効な証明書がありません
I: UpdatablePmCertVerifier::RenewCertificates: 10.10.10.10 からの証明書の更新
E: UpdatablePmCertVerifier::RenewCertificates: 証明書本体のダウンロードに失敗しました。 AsyncSendRequest が失敗しました: 12002
W: CosmosUpdater::Run: サーバーが応答しませんでした。ポリシー マネージャーが使用できません。
エラー 12002 は、ERROR_WINHTTP_TIMEOUT > Client Security/Server Security が Policy Manager に接続してこのリストを取得できないことを意味します。
Microsoft Windows HTTP サービス エラーの完全なリストは、ここから入手できます。
以下は動作する接続の例です。
I: UpdatablePmCertVerifier::RenewCertificates: 10.11.10.10 からの証明書の更新
I: UpdatablePmCertVerifier::RenewCertificates: 2 つの証明書が正常に更新されました。 86170秒で期限切れになります
クライアント コンピュータとポリシー マネージャー サーバーの間で通信が機能することを確認し、ポリシー マネージャーのアドレスとポートが正しく構成されていることを確認した場合は、クライアント デバイスで日付と時刻が正しく構成されていることを確認してください。
日付と時刻が正しく設定されていない場合、ポリシー マネージャー サーバーからの証明書のダウンロードは失敗します。オフライン環境では、日付と時刻の設定にネットワーク タイム プロトコル (NTP) を使用できないため、日付と時刻が誤って設定されやすくなります。
PmpSelectorPlugin.log で次のことをもう一度確認してください。
W: ServerFinder::Ping: Ping が中止されました: 有効な証明書がありません
I: UpdatablePmCertVerifier::RenewCertificates: HTTP プロキシを使用して 192.168.1.100:443 から証明書を更新しています ''
W: UpdatablePmCertVerifier::StoreCertificates: 証明書の更新により新しい証明書が生成されませんでした
上記の例では、クライアントはポリシー マネージャー サーバーから証明書をダウンロードしようとしますが、クライアントの日付と時刻がポリシー マネージャー サーバーと比較して未来であるため、クライアントは利用可能な新しい証明書がないと考えます。
上記の手順をすべて実行した後も問題が解決しない場合は、 WithSecure Client Security/Server Security を備えたホストで次のログを確認できます。 WithSecure Policy Manager Server との接続ステータスが表示されます。 Keyreplacer を使用すると、接続の問題を解決できます。
C:\ProgramData\F-Secure\Log\BusinessSuite\PmpSelectorPlugin.log。
PmpSelectorPlugin.log から、これは問題のあるクライアントの admin.pub がポリシー マネージャー サーバーの admin.prv と一致しないことを示している可能性があります。
2022-03-28 18:20:20.977 [18e8.2b48] *E: UpdatablePmCertVerifier::ParseCertificates: 証明書本体の署名が無効です。エラーは 1
Policy Manager が Client Security 14.00 以降を実行しているクライアントのみを管理している場合は、サポートによって提供されるツールを使用して自分で Keyreplacer を作成できます。このツールには、keyreplacer ファイルの作成方法に関する説明が付属しています。
対応製品- クライアント セキュリティ 14 以降
- サーバーセキュリティ 14 以降
- 電子メールとサーバーのセキュリティ 14 以降
このツールを使用する一般的な使用例を以下に示します。- Policy Manager サーバーにアクセスできないため、新しい Policy Manager 管理キー admin.pub ファイルと新しい Policy Manager サーバーのアドレスをWithSecureクライアントに提供する必要があります。
- ポリシー マネージャー サーバーにアクセスできないため、ポリシー マネージャー サーバーへの新しい変更されたアドレスをWithSecureクライアントに提供する必要があります。
- Policy Manager サーバーにはアクセスできますが、Policy Manager 管理キー admin.pub ファイルが変更されているため、 WithSecureクライアントに提供する必要があります。
ステップ 1: keyreplacer パッケージの作成:
パッケージを作成するには、いくつかの前提条件情報が必要です。
1. 新しい Policy Manager のホスト名または IP アドレス。 IP アドレス、ホスト名、または FQDN (完全修飾ドメイン名) を使用するだけです。例:- ポリシーマネージャーサーバー.acme.com
- 192.168.0.10
- ホスト名.ローカル
2. Policy Manager サーバーがリッスンするホストモジュールの HTTP ポートおよび HTTPS ポート。 Policy Manager のデフォルトのポートは、HTTP の場合はポート 80、HTTPS の場合はポート 443 です。ポリシー マネージャー サーバーでどのポートが使用されているかがわからない場合は、「F-Secure ポリシー マネージャー」プログラム グループにあるアプリケーション「ステータス モニター」を起動してください。
(Linux システムでは、ポート情報は次のログにあります。
/var/opt/f-secure/fspms/logs/fspms-stderrout.log )
3. admin.pub ファイルをエクスポートします。- F-Secure ポリシー マネージャ コンソールにログオンします。
- 上部のメニュー パネルから、[ツール] > [サーバー構成] を選択します。
- 「キー」タブを選択します。 「署名キーのエクスポート」で、「エクスポート」ボタンを選択します。
- 秘密キーのパスフレーズを入力します
ステップ 2 キーリプレイサ JAR ファイルの作成- keyreplacer_2021.zip ファイルについては、 WithSecureサポートにお問い合わせください。
- Keyreplacer_2021.zip を入手したら。これで、keyreplacer ファイルを含む ZIP ファイルを抽出できるようになりました。
- Policy Manager コンソールからエクスポートした admin.pub ファイルを同じフォルダーにコピーします。
- 次のコマンドを実行して、JAR ファイル keyreplacer.jar を作成します。
iuupd.exe --create-keyreplacer-package -o keyreplacer.jar --pm-host "10.132.4.214" --pm-port-http 80 --pm-port-https 443 -i admin.pub
注:コマンドは 1 つの単一コマンドとして指定する必要があります。この例では、ポリシー マネージャー サーバーの IP アドレスは 10.132.4.214 で、HTTP ポートと HTTPS ポートはそれぞれ 80 と 443 です。独自の構成を反映するようにこれらの値を調整します。ステップ 3: Key Replacer 修正を展開する手順
前に作成した keyreplacer.jar パッケージをインストールするには、2 つのインストール オプションを使用できます。
a) ポリシーベースまたはポリシーマネージャーを使用したプッシュインストール
b) ポリシー マネージャー コンソールからエクスポートされた MSI ファイルを使用したローカル インストール。注: ポリシーベースのインストールは、管理キー admin.pub が変更されていない場合にのみ機能するため、ポリシー マネージャー サーバーのアドレスを変更する場合にのみ使用できます。
a) keyreplacer パッケージのインストール - ポリシーベースのインストール
- ポリシー マネージャー サーバーで、keyreplacer_2021.zip ファイル内に含まれるレジストリ ファイルAllow_unsigned_jars_on_PM.regファイルをインポートします。ファイルをインポートするには、ファイルを右クリックし、「結合」オプションを選択します。これにより、変更されたレジストリがインポートされ、未署名のパッケージをポリシー マネージャー サーバーにインポートできるようになります。
- 以前の設定を有効にするには、コマンド プロンプトを使用してポリシー マネージャー サーバーを再起動します。
- [ツール] > [インストール パッケージ] を使用して、ファイル keyreplacer.jar をポリシー マネージャー コンソールにインポートします。プロンプトが表示されたら、 「F-Secure によって署名されていません」という警告メッセージに対して「はい」を選択します。
- ターゲット マシンへのプッシュ インストールまたはポリシー ベースのインストールを実行します。
- あるいは、[ツール] > [インストール パッケージ] を使用して、以前にインポートした keyreplacer.jar を MSI ファイルにエクスポートすることもできます。このオプションは、パッケージをローカルにインストールする場合に推奨されます。
Linux でも同様に機能しますが、レジストリの代わりに設定ファイル/etc/opt/f-secure/fspms/fspms.confを使用する必要があります。パラメーター追加_java_argsを含む新しい行を作成し、その値に Java システム プロパティを次の形式で引用符で囲んで指定します: -DpropertyName=value。スペースを区切り文字として使用して、複数のプロパティを指定できます。プロパティ名と値は大文字と小文字が区別されます。
例: Additional_java_args=-DallowUnsignedWithRiwsAndMibs=true -Dh2ConsoleEnabled=true -DmaxSynchronousPackageRetrievalRequests=100
- ポリシー マネージャー サーバー サービスを開始し、ポリシー マネージャー コンソールを開きます。
- 「インストール」タブに移動し、「インストールパッケージ」をクリックします。
- [インポート] をクリックして、「 KeyReplacer_unsigned.jar 」ファイルをインストール パッケージとしてポリシー マネージャー コンソールにインポートします。
- たとえばポリシーベースのインストールを使用して、KeyReplacer ファイルをすべてのクライアントに展開します。
導入が完了したら、[インストール] タブに移動し、[新しいホストのインポート] をクリックして、ポリシー マネージャー コンソールにホストをインポートします。
b) keyreplacer パッケージのインストール - ローカルインストール
Policy Manager で [ツール] > [インストール パッケージ] を使用して、以前にインポートした keyreplacer.jar を MSI ファイルにエクスポートし、Policy Manager コンソールを使用してエクスポートされた MSI パッケージを起動できます。これは、前のセクション「keyreplacer パッケージのインストール - ポリシー ベースのインストール」で作成されました。このオプションは、パッケージをローカルにインストールする場合に推奨されます。
Article no: 000003212
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.