Issue:
Det går inte att ändra Management Server Address på Client Security- eller Server Security-värdar eftersom de offentliga och privata administratörsnycklarna inte matchar.
Behöver migrera värdar mellan två Policy Manager-servrar utan att behöva göra en ominstallation av programvarans klientsida.
Hur kan hanteringsnyckelfilen (admin.pub) på WithSecure -klienter ersättas om den ursprungliga Policy Manager-servern inte längre är tillgänglig?
Hur kan Policy Manager Server-hanteringsadressen på WithSecure klienter ändras när den ursprungliga Policy Manager-servern inte längre är tillgänglig?
Efter att ha uppgraderat eller installerat WithSecure Client Security/Server Security 14.x eller senare, stöter du på problem med kommunikationen. Symtom inkluderar:
- värd kan inte ansluta till WithSecure Policy Manager Server
- värd är inte synlig på listan "Importera värd" i WithSecure Policy Manager Console.
Resolution:
Till att börja med, se till att WithSecure Policy Manager Server-adressen är korrekt och att värd (standard: TCP 80 och 443) lyssnar.
Testa anslutningen mellan klienterna och Policy Manager:
- Försök att ansluta till WithSecure Policy Manager-serverns adress via en webbläsare från en av värdarna (http://pms-server.local:80 och https://pm-server.local:443). Om anslutningen är korrekt inställd kommer du att få en webbsida från WithSecure Policy Manager Server som indikerar det. Om det inte finns någon sida laddad, kontrollera att värd till Policy Manager-servern är tillåtna i din brandvägg.
- Se till att du har konfigurerat WithSecure Policy Manager Server- IP-adress och/eller värdnamnet korrekt och att portarna som konfigurerats för värd är korrekta.
Nedan är ett exempel på en misslyckad anslutning:
I: Ansluter till wait.pmp-selector.local
I: Uppdateringskontrollen misslyckades, error=210 (det går inte att lösa värd)
I: Anslutning misslyckades
W: ServerFinder::Ping: Ping till {värd: 10.10.10.10, http: 82, https: 443} avbröts. Det finns inga giltiga certifikat
I: UpdateablePmCertVerifier::RenewCertificates: Förnyar certifikat från 10.10.10.10
E: UpdatablePmCertVerifier::RenewCertificates: Det gick inte att ladda ner certifikatenheter. AsyncSendRequest misslyckades: 12002
W: CosmosUpdater::Kör: Inga servrar svarade. Policyhanteraren är inte tillgänglig.
Fel 12002 betyder att ERROR_WINHTTP_TIMEOUT > Client Security/Server Security inte kan ansluta till Policy Manager för att hämta den här listan.
En komplett lista över Microsoft Windows HTTP Services-fel finns här .
Nedan är ett exempel på en fungerande anslutning:
I: UpdateablePmCertVerifier::RenewCertificates: Förnyar certifikat från 10.11.10.10
I: UpdatablePmCertVerifier::RenewCertificates: 2 certifikat har förnyats framgångsrikt; går ut om 86170 sekunder
Om du har bekräftat att kommunikationen fungerar mellan klientdatorn och Policy Manager-servern och du har sett till att Policy Manager-adressen och portarna är korrekt konfigurerade, se till att datum och tid är korrekt konfigurerade på klientenheten.
Om datum och tid är felaktigt inställda kommer nedladdningen av certifikatet från Policy Manager-servern att misslyckas. Datum och tid kan lätt ställas in felaktigt i en offlinemiljö, eftersom Network Time Protocol (NTP) inte kan användas för att ställa in datum och tid.
Kontrollera PmpSelectorPlugin.log igen för följande:
W: ServerFinder::Ping: Ping avbröts: det finns inga giltiga certifikat
I: UpdatablePmCertVerifier::RenewCertificates: Förnyar certifikat från 192.168.1.100:443 med HTTP-proxy ''
W: UpdatablePmCertVerifier::StoreCertificates: Certifikatförnyelse gav inga nya certifikat
I exemplet ovan försöker klienten ladda ner certifikatet från Policy Manager Server, men eftersom klientens datum och tid ligger i framtiden jämfört med Policy Manager Server, tror klienten att inget nytt certifikat är tillgängligt.
Om problemet kvarstår efter att ha utfört alla ovanstående steg kan du titta på följande logg på värd med WithSecure Client Security/Server Security. Den visar anslutningsstatusen med WithSecure Policy Manager Server. Du kan använda Keyreplacer för att lösa anslutningsproblemen.
C:\ProgramData\F-Secure\Log\BusinessSuite\PmpSelectorPlugin.log.
Från PmpSelectorPlugin.log kan detta indikera att admin.pub på den problematiska klienten inte matchar admin.prv på Policy Manager Server:
2022-03-28 18:20:20.977 [18e8.2b48] *E: UpdatablePmCertVerifier::ParseCertificates: Certifikatorgans signatur ogiltig. Felet är 1
Om din policyhanterare ENDAST hanterar klienter som kör Client Security 14.00 eller senare kan du skapa en nyckelersättare själv med ett verktyg som kan tillhandahållas av supporten. Verktyget kommer med instruktioner om hur man skapar nyckelersättningsfilen.
Produkter som stöds- Client Security 14 och nyare
- Server Security 14 och nyare
- E-post- och serversäkerhet 14 och senare
Några vanliga användningsfall för att använda detta verktyg listas nedan- Policy Manager-servern är inte tillgänglig och en ny Policy Manager-hanteringsnyckel admin.pub-fil och adressen till den nya Policy Manager-servern måste tillhandahållas WithSecure -klienten.
- Policy Manager-servern är inte tillgänglig och en ny, ändrad adress till en Policy Manager-server måste tillhandahållas WithSecure klienten.
- Policy Manager-servern är tillgänglig men administrationsnyckeln för Policy Manager admin.pub har ändrats och måste tillhandahållas WithSecure klienten.
Steg-1: Skapa nyckelersättningspaketet:
För att skapa paketet behöver du lite förutsättningsinformation-
1. Det nya Policy Manager-värdnamnet eller IP-adressen. Använd helt enkelt IP-adressen och eller värdnamnet eller FQDN (fullt kvalificerat domännamn). Exempel:- policy-manager-server.acme.com
- 192.168.0.10
- hostname.local
2. värd HTTP- och HTTPS-portar som Policy Manager-servern lyssnar på. Standardportarna för Policy Manager är port 80 för HTTP och 443 för HTTPS. Om du inte är säker på vilka portar som används av Policy Manager Server, starta programmet "Status monitor" som är tillgängligt i programgruppen "F-Secure Policy Manager".
(På Linux-system kan portinformationen hittas i följande logg:
/var/opt/f-secure/fspms/logs/fspms-stderrout.log )
3. Exportera filen admin.pub:- Logga in på din F-Secure Policy Manager-konsol.
- Från toppmenyn väljer du Verktyg > Serverkonfiguration
- Välj fliken Nycklar. Under "Exportera signeringsnycklar" väljer du knappen Exportera
- Ange lösenfras för den privata nyckeln
Steg-2 Skapa JAR-filen för nyckelersättning- Kontakta WithSecure Support för filen keyreplacer_2021.zip
- När du har Keyreplacer_2021.zip. du kan nu extrahera ZIP-filen som innehåller nyckelersättningsfilerna.
- Kopiera filen admin.pub som exporteras från Policy Manager Console till samma mapp.
- Kör följande kommando för att skapa JAR-filen keyreplacer.jar.
iuupd.exe --create-keyreplacer-package -o keyreplacer.jar --pm-host "10.132.4.214" --pm-port-http 80 --pm-port-https 443 -i admin.pub
Obs: kommandona ska tillhandahållas som ett enda kommando. I exemplet är Policy Manager Server IP-adress 10.132.4.214 och HTTP- och HTTPS-portarna är 80 respektive 443. Justera dessa värden för att återspegla din egen konfiguration. Steg-3: Instruktion för att distribuera Key Replacer-fixen
För att installera paketet keyreplacer.jar skapat tidigare finns två installationsalternativ tillgängliga.
a) policybaserad eller push-installation med Policy Manager
b) lokal installation med hjälp av MSI-fil exporterad från Policy Manager Console. Obs: policybaserad installation fungerar endast om hanteringsnyckeln admin.pub inte har ändrats och därför endast kan användas för att ändra policyhanterarens serveradress.
a) Installera nyckelersättningspaketet - policybaserad installation
- På Policy Manager-servern importerar du registerfilen Allow_unsigned_jars_on_PM.reg som ingår i filen keyreplacer_2021.zip. För att importera filen, högerklicka på filen och välj alternativet "Sammanfoga". Detta importerar det ändrade registret och möjliggör import av osignerade paket till Policy Manager Server
- För att aktivera tidigare inställning, starta om Policy Manager Server med hjälp av en kommandotolk:
- nätstopp fsms
- nätstart fsms
- Importera filen keyreplacer.jar till Policy Manager-konsolen med hjälp av Verktyg > Installationspaket. När du uppmanas, välj " Ja" till varningsmeddelandet "ej signerat av F-Secure ".
- Utför en push- eller policybaserad installation på en måldator.
- Alternativt kan du också exportera den tidigare importerade keyreplacer.jar till en MSI-fil med hjälp av Verktyg > Installationspaket. Det här alternativet rekommenderas för en lokal installation av paketet.
Detsamma fungerar för Linux, men du måste använda konfigurationsfilen /etc/opt/f-secure/fspms/fspms.conf istället för registret. Skapa en ny rad med parameter additional_java_args och ange Java-systemegenskaper i dess värde inom citattecken i följande format: -DpropertyName=value. Flera egenskaper kan anges med mellanslag som avgränsare. Egendomens namn och värden är skiftlägeskänsliga.
Exempel: additional_java_args=-DallowUnsignedWithRiwsAndMibs=true -Dh2ConsoleEnabled=true -DmaxSynchronousPackageRetrievalRequests=100
- Starta tjänsten Policy Manager Server och öppna Policy Manager-konsolen
- Gå till fliken Installation och klicka på Installationspaket
- Klicka på Importera för att importera filen " KeyReplacer_unsigned.jar " till Policy Manager-konsolen som ett installationspaket
- Distribuera KeyReplacer-filen till alla klienter, till exempel med en policybaserad installation
När distributionen är klar importerar du värdarna i Policy Manager-konsolen genom att gå till fliken Installation och klicka på " Importera nya värdar " .
b) Installation av nyckelersättningspaketet - lokal installation
Du kan exportera den tidigare importerade keyreplacer.jar till en MSI-fil med Verktyg > Installationspaket i din Policy Manager och starta MSI-paketet som exporterats med Policy Manager Console. Detta skapades i föregående avsnitt "Installera nyckelersättningspaketet - policybaserad installation". Det här alternativet rekommenderas för en lokal installation av paketet.
Article no: 000003212
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.