Cuando usted está planeando instalar todos los módulos que IBM / Tivoli Endpoint Manager incluyen, es probable que pronto se reconoce que hay algunos desafíos relacionados con el uso de certificados SSL en el punto final de IBM Manger (BigFix). La documentación de IBM es exhaustiva, pero tan pronto se descubra que sus condiciones es un poco diferente de la documentación, se obtiene inmediatamente una sensación de estar parado en la única piedra seca i el río sin ninguna idea de dónde para saltar a la siguiente piedra. Su mi experiencia que necesita mucha paciencia cuando se trabaja con certificados SSL porque la información en los archivos de registro es muy limitado y hay pocas posibilidades de depurar cuál es realmente va mal - Los certificados no funciona y sin ninguna explicación. En otras palabras, es como la búsqueda de la aguja en el pajar para conseguir que funcione. Por lo tanto, he creado este artículo para compartir mis experiencias en las que he conseguido encontrar las pocas órdenes secretas para crear todos los certificados de la leuna vez. Si hacer esta pieza de trabajo antes de comenzar la instalación, sus certificados estarán listos para la producción cuando se hace rodar a cabo la instalación.
1. Instalar OpenSSL para Windows En primer lugar, en proceso de trabajar con certificados es necesario instalar las herramientas más versátiles SSL, OpenSSL, que se puede descargar aquí: NB! Al intentar ejecutar Open SSL en Windows 7 se obtiene el siguiente error: [Aviso] ADVERTENCIA: no puede abrir los archivos config: /usr/local/ssl/openssl.cnf[/notice] La solución de este problema es ejecutar el siguiente comando: set OPENSSL_CONF = C: \ archivos de programa \ OpenSSL \ bin \ openssl.cfg no se olvide de ejecutar símbolo del sistema en modo de administrador! Más información acerca de OpenSSL se puede encontrar en los siguientes sitios: 2: Generar una nueva clave privada y el certificado de solicitud de firma Primero de todo lo necesario para crear una solicitud de firma de certificado (CSR), que tendrá en el proceso de solicitar un certificado a una autoridad de certificación. Aquí está un ejemplo de un archivo de configuración que puede ser editado en el Bloc de notas. Guarde el archivo en una carpeta secundaria que se podría llamar "Configuración" [REQ] default_bits = 2048 = default_keyfile private.keydistinguished_name = req_distinguished_name atributos = req_attributes req_extensions = v3_req símbolo = no output_password = BigFix [req_distinguished_name] C = US ST = California L = O = Emeryville BigFix OU = Desarrollo CN = Común emailAddress = admin@bigfix.com [req_attributes] = challengePassword BigFix [ v3_req] basicConstraints = CA: TRUE = keyUsage keyEncipherment, keyAgreement extendedKeyUsage = serverauth, clientAuth, sellado de tiempo si usted está planeando para solicitar una SAN en certificados, añadir estas líneas directamente debajo de la última: subjectAltName = @alt_names [alt_names] = DNS.1 www.bigfix.com DNS.2 = subdomain1.com DNS.3 = subdomain2.bigfix.com DNS.4 = subdomain3.bigfix.com DNS.5 = subdomain4.bigfix.com Vuelva a colocar la información en el marco [req_distinguished_name] con lo que es correcto para tu negocio. "Común" debe haber un cambio en el dominio público completo, (FQDN), el nombre del servidor donde se va a instalar IBM Endpoint Manager. Al solicitarSAN-certificados, el CN = común debe ser el mismo que el primero en la lista de nombres alternativos. Guardar el archivo como config.conf en una subcarpeta denominada "configuración" en la carpeta principal llamada "Certificados". Después de eso, crear una nueva carpeta como una subcarpeta a "Certificados", que se llama "RSE". Entonces es el momento de ejecutar el siguiente comando siguiente comando en el Open SSL para crear el archivo CSR-: openssl req -config -nuevo "C: \ Certificados \ configuration \ config.conf"> "C: \ Certificados \ RSE \ cert.csr "al incluir la ruta en la línea de comandos, el archivo CSR se guarda automáticamente en la carpeta de la derecha a la vez. Cuando haya terminado, es hora de cargar el archivo CER a su proveedor de certificados SSL. La primera vez que cargue el CSR-archivo, el proveedor generará un nuevo certificado para usted. Cuando se crea certificada, descargar el nuevo certificado de sitio, el certificado intermedio y o certificado raíz a una subcarpeta de la carpeta de certificados, que se llama "CRT". Si es el segundo o tercervez que se genera el certificado, debe utilizar la función de re-clave por su proveedor para obtener un nuevo certificado. Si tu vas a reintroducir un certificado, asegúrese de no descargar el certificado de edad, ya que se nos revocado muy pronto y que está en problemas. ¡NÓTESE BIEN! Incluso si el cifrado sería mejor con default_bits = 4096, IBM Software Uso de Análisis y Seguridad de IBM y el cumplimiento no es compatible con 2048 bits, incluso que es el estándar de FIPS. Para más información: 3: Generar una nueva clave privada Cuando el Open SSL crear el archivo de CRS, se crea también el archivo de clave privada "clave privada y automáticamente se almacena en la misma carpeta que la ejecución de comandos Open SSL. Mueva el "private.key" a una subcarpeta en la carpeta de "Certificados" las que llama "clave". Observación de que usamos default_keyfile = private.key, no keyfile.pem como lo hacen en el ejemplo de la creación de un archivo de configuración en el artículo de IBM "Configuración de SSL en informes Web de Tivoli Endpoint Manager". Esto es esencial en el proceso ulterior dela creación de los certificados más tarde. No es necesario hacer las siguientes comandos para obtener los certificados de derecho, pero en caso de que los necesite, se tarda unos pocos segundos para ejecutar los comandos. Crear una nueva subcarpeta debajo de la tecla subcarpeta que llaman "nopwdkey". Entonces es tiempo de eliminar la contraseña de la clave privada (keyfile.key) y generar una nueva clave privada (nopwdkey.pem) usando el siguiente comando: openssl rsa -in C: \ Certificados tecla \ \ private.key salida privado C: \ Certificados tecla \ \ nopwdkey.key ejecutar el mismo comando de nuevo, pero cambiar el tipo de archivo a PEM: openssl rsa -in C: \ Certificados tecla \ \ private.key -text> C: \ Certificados tecla \ \ nopwdkey.pem 4 . Crear certificado PFX para ser utilizado en el servidor Windows 2008 R2
Para asegurar su conexión al escritorio remoto, (RDP), necesitará un certificado en el PFX-formato. Ejecute el comando siguiente para crear un certificado PFX, (después de haber creado una nueva carpeta secundaria a las que llama Certificados pfj:
openssl pkcs12 -export salida privado C: \ Certificados \ pfj \ yourservercertificate.pfx -inkey C: \ Certificados tecla \ \ private.key -en C: \ Certificados \ CRT \ yourservercertificate.crt -certfile C: \ Certificados \ CRT \ yourcertificateprovider .CRT cargue el certificado en el servidor Windows 2008 R2 y añadir instalar el certificado SSL de servicios de escritorio remoto: Abra la consola de administración de certificados, (+ cuenta de equipo informático local), para importar el certificado en el almacén personal importar su proveedor certificado certificado intermedio de la Certificación Intermedio Abrir "Configuración de host de sesión de escritorio remoto" de "Herramientas administrativas" doble clic en la conexión RDP relevante en la sección de conexiones en la ficha general, verá la información y las opciones de seguridad, junto con un botón "Seleccionar" para permitir la selección de su certificado SSL. Haga clic en "Seleccionar" Ahora seleccione el certificado SSL recién importado y haga clic en "Aceptar" Haga clic en "OK" una vez más para cerrar y aceptar los cambios en la conexión TCPLa ventana de propiedades
¡NÓTESE BIEN! Si algo va mal y o su certificado ha sido revocado por alguna razón, es probable que no se ha podido iniciar sesión en su escritorio remoto si el nivel de seguridad está establecido en alto en el servidor Windows 2008 R2 - perdido en el espacio, en otras palabras ...
Fuente:
5. Crear PEM certificado para su uso con IBM Web Reports Enpoint Administrador
Si usted ha hecho todo bien hasta ahora, es muy fácil de crear el certificado PEM en un formato que el IBM Endpoint Manager esperar. En primer lugar, crear una nueva subcarpeta denominada "PEM" debajo de la carpeta raíz "Certificados", a continuación, ejecute el comando:
openssl pkcs12 -en C: \ Certificados \ pfj \ yourservercertificate.pfx salida privado C: \ Certificados \ pem \ yourservercertificate.pem -nodes
Abrir el certificado de nueva creación - Franja de formularios de todos, pero el su certificado y la clave privada; Asegúrese de incluir los "BEGIN ... END" y "..." cabeceras de bloque estrofa. ¡NÓTESE BIEN! No utilice Bloc de notas para editar el archivo - Recomiendo el uso de WordPad en la configuración de envoltura se establecen en "Ajuste automático de línea" - Si no reciben el formato correcto, se obtiene un mensaje críptico de IEM WebReports registro que dice: no PemReadX509
Ejemplo: --Begin CERTIFICATE-- MIICYjCCAcugAwIBAgIJANiRLK2nbg9oMA0GCSqGSIb3DQEBBQUAMEoxCzAJBgNV BAYTAlVTMRMwEQYDVQQIDApDYWxpZm9ybmlhMRMwEQYDVQQHDApFbWVyeXZpbGxl MREwDwYDVQQDDAhIRUlNREFMTDAeFw0xMjAzMTUwMjA5MzdaFw0xMzAzMTUwMjA5 MzdaMEoxCzAJBgNVBAYTAlVTMRMwEQYDVQQIDApDYWxpZm9ybmlhMRMwEQYDVQQH DApFbWVyeXZpbGxlMREwDwYDVQQDDAhIRUlNREFMTDCBnzANBgkqhkiG9w0BAQEF AAOBjQAwgYkCgYEA5h5aCcN5Up5rNYn7a88dKAehe7CbKDtPF6jdrn52yShJc97f mceJeIsnkVmBVRoIBevxFnNIKxMzzR52c0NKK2gU0ax2k6TWD8yVOHHFepBgcCyF JD9y9g5u444 7S5vsXRpmAx7z3HYHHh9Jjiv7zLoN46Mu 7KpnZnJgFX0QcCAwEA AaNQME4wHQYDVR0OBBYEFHJXtkgif6mZzQBcrp7U7yptf / WzMB8GA1UdIwQYMBaA FHJXtkgif6mZzQBcrp7U7yptf / WzMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcNAQEF BQADgYEARkkc8GmyFtuXsWmjvkUJvRkGJYiQ7LsO5Qg67ONcMr / beJDXsOR3w3lD cDqCglnQuswNySrcAGDPctDJwE2cZbcvpVdNlUd1UdXnbzHAjg / buh6Uy5OYYc0y NtbcKlPpgxvBp6cGua7K01bMeb379vXLNr1EcQG9KmlkHYqqJpU = --end CERTIFICATE-- --Begin PRIVADO KEY-- MIICeAIBADANBgkqhkiG9w0BAQEFAASCAmIwggJeAgEAAoGBAOYeWgnDeVKeazWJ+ 2vPHSgHoXuwmyg7Txeo3a5 dskoSXPe35nHiXiLJ5FZgVUaCAXr8RZzSCsTM80e dnNDSitoFNGsdpOk1g / MlThxxXqQYHAshSQ / cvYObuOOPu0ub7F0aZgMe89x2Bx4 fSY4r 8y6DeOjLvuyqZ2ZyYBV9EHAgMBAAECgYEAh2Jh / I6JaUcUsgn85l SusNK iTfNAO1ryfKqgYeboRtXo5kDGjkfstDDtargAU5wW / OFAn1OfzEr78i1TXjQP / 2h 1ntvOobYeEsRFBlVdoC361GHKoSWMMbrymx75XIRmdW3cIHOSlpHfr2RA9WZfA2R tn8gtITQNKed0uFyBskCQQD6IeYaxWegfoJwpcAmlTlYfyKXdSL9 / DGSG uhAIhU pUWPwsH / uHR8 / 61wQ9coH1NEy2bVRT0qha1s9CvHA0OFAkEA64RD4t5oQcA Q / 2o TtfYD3MB0NQJVL2KwJaW9hr4 osMQWJSSXTQuymMcd3tLJaS3eg0DVIsg0pO0GYx bVKKGwJANF9IqK5QhkA225M46lswSKFGAuRZ0UgutlSaP3m3EdIRAIrMx9g9O7bk / 66UrCfy7WKRQ3Jd3jtjFn8Bc4fxaQJBALCVoRjPTThPXeA4piNHbvZWcrwS31Qs MYao4lNwcdHYw72abLwq2 / 4Y7vbJQPU3iLLdUXnTbRCbfHCAzvp68pUCQQDX7iVR Wjd9qVlgtR / 6wxAQjSHSmlCyTfHA0ncVNzjEjZzA3FiCNq gHFkBc6Kr4FxfNWCm aoyVGYxl1LT VHJA --end KEY-- PRIVADO
Almacenar el certificado como yourservercertificate.pem en la carpeta "PEM" .Upload el certificado al servidor y hacer los cambios en el registro como se recomiendan de IBM:
Para activar HTTPS, establezca los siguientes ajustes del cliente (en Windows, éstos se almacenan en el registro bajo la clave HKLM / Software / BigFix / enterpriseclient / Configuración / Cliente, (el servidor Web es de 32 bits. Por lo tanto, las claves de registro están por debajo HKLM / Software / Wow6432Node / BigFix / enterpriseclient / Configuración / cliente en una máquina de 64 bits), el nombre del ajuste es el nombre de una llave que contiene un valor de cadena denominado "valor"):
A. WebReports_HTTPServer_UseSSLFlag - Se establece en "1" para activar HTTPS. B._WebReports_HTTPServer_PortNumber - Se establece en "443". C._WebReports_HTTPServer_SSLCertificateFilePath
¡NÓTESE BIEN! Observen que el sslCertificateFilePath también debe incluir el nombre de archivo del certificado en el que hacen posible para llamar a su certificado de lo que quiera.
Compruebe que puede iniciar sesión en los WebReports: www.yourserver.com:52312/webreports
Si TI no funciona, es posible habilitar un archivo de registro donde es posible depurar la instalación de los informes del Web. El nombre del archivo de registro se almacena en el registro. Para especificar la ubicación del archivo:
Ejecutar Regedit y encontrar la clave HKLM \ Software \ BigFix tecla \ EnterpriseServer \ BESReports (en una máquina de 64 bits, puede que tenga que bajar a la Wow6432Node). Verá algunas variables y nombres de rutas utilizadas por Web Reports. Es necesario agregar dos valores para esta clave: una para el indicador de registro, y uno para el nombre de archivo. Crear un nuevo valor DWORD denominado inicio de sesión y lo ponen a 1 para activar el registro. Crear un nuevo valor de cadena denominado LogPath y configurarlo para que el nombre de vía completo del archivo de registro, por ejemplo, "C: \ ruta completa \ logfile.txt".
La próxima vez que inicie Web Reports, un registro de la sesión se guarda en el archivo especificado.
Fuente:
6. Crear certificado PEM para el uso de software de análisis IEM (SUA)
El mismo certificado PEM que ha creado para los Web Reports también podría ser utilizado para el análisis de uso de software IEM.
Yourservercertificate.pem copiar de la carpeta de los certificados de informes web a la carpeta \ BigFix Enterprise \ DSS \ rails \ apache \ conf Subir y yourcertificateprovider.crt a la carpeta \ BigFix Enterprise \ \ DSS rieles \ apache \ conf en el servidor Cambiar el nombre de su certificado de yourservercartficate.pem a cert.pem volver a generar el archivo de configuración de Apache ejecutando el siguiente script de carriles: Desde un símbolo del sistema cd para BigFix Enterprise \ DSS \ rails \ lib \ y ejecute text_sub.rb. Si se le pregunta por Windows para el programa que se utilizará para ejecutar la secuencia de comandos, busque y seleccione \ BigFix Enterprise \ DSS \ ruby \ bin \ ruby.exe - Debe ejecutar el script como el mismo usuario que aloja los servicios DSS (uso comando '' runas de las ventanas si ese usuario no puede conectarse). Iniciar el servicio BigFixDSSApache.
Compruebe que puede iniciar sesión en la aplicación.
Fuente:
7. Habilitar certificado SSL para IEM Seguridad y Cumplimiento (SCA)
La seguridad y el cumplimiento guía dice "Si proporciona una clave privada y el certificado preexistente, deben ser codificados por PEM. Si su clave privada está protegida con una contraseña, deberá introducirla en el campo de la contraseña de clave privada "Ok - hacer de la siguiente manera.:
Crear una nueva subcarpeta en la carpeta de PEM por debajo de los certificados raíz que se llama Open SCA el certificado PEM que ha creado para los informes Web en WordPad Eliminar la clave privada, pero asegúrese de incluir el bloque "BEGIN ..." y "FIN ..." encabezados estrofa del almacén de certificados del nuevo certificado PEM como yourservercertificate.pem en la subcarpeta "SCA" Abrir la página web "Seguridad de IBM y el cumplimiento" y vaya a "configuración del servidor", seleccione "Importar una clave privada y el certificado codificado PEM" bajo "certificado" cargar el certificado PEM cree de nuevo para SCA Sube el "private.key" de la "llave" sub carpeta que creó durante el proceso de creación de la "Solicitud de firma de certificado", "CRS" Usar la contraseña de clave privada que se entrar en el archivo de configuración para la RSE Si el servidor acepta el certificado, la clave privada y la contraseña, reinicie el servidor
Verificar que las obras de certificados de iniciar sesión en la seguridad y el informe de cumplimiento
Fuente:
8. Habilitar SSL para el servidor LDAP
Para obtener un soporte certificados SSL para el servidor de directorio de Apache para ser usado en conjunción con el servidor de IEM / BigFix, el siguiente comando podría ser usado para convertir el certificado en un certificado JKS con formato
Crear una nueva carpeta secundaria de "Certificados" llamados "p12" Ejecutar el siguiente comando openssl OpenSSL pkcs12 -export -en mypemfile.pem salida privado mykeystore.p12 -name "MyCert" Crear una nueva carpeta secundaria a "Certificados" llamados "JKS" ejecute el siguiente comando desde C: \ archivos de programa \ Java \ jre7 \ bin herramienta de claves -importkeystore -srckeystore mykeystore.p12 -destkeystore clientcert.jks -srcstoretype pkcs12 -deststoretype JKS Sube el archivo de los nuevos jks a su servidor LDAP Apache
Fuente:
9. IBM Endpoint Manager para el control remoto
Para instalar un certificado en IBM Endpoint Manager para el control remoto se puede utilizar ya sea una P12 existente o almacén de claves JKS, o importar un certificado existente en el almacén de claves existente. Además se requiere un certificado para cada agente que se añade a la IBM Endpoint Manager para la infraestructura de control remoto.
Volveremos con más información acerca de cómo configurar los certificados necesarios para el Control Remoto
Fuente:
10. Gestión de dispositivos móviles
Cuando se va a instalar la "Inscripción y administración de Apple iOS Extender" vamos a recomendar que siga las instrucciones de este artículo acerca de cómo crear un certificado de servicio de notificaciones push de Apple (APN).
Remarcar que el artículo acerca de cómo "La obtención de un certificado de APN para administrar dispositivos Apple iOS" no deja claro que se puede reutilizar el certificado de empuje firmado que se descarga desde el "portal de certificado de Apple Push" durante el proceso de "Inscripción y Apple iOS gestión Extender ", pero guardarlo con otro nombre y extensión.
Cuando se llega al proceso de "Configurar el extensor de Gestión", donde necesita que sus certificados firmados externos, tenga en cuenta lo siguiente:
- El certificado de sitio para su dominio tiene que estar en el mismo formato que el PEM-que uno que ha creado para la Seguridad y Cumplimiento, que decir, sin la clave de cifrado.
- La clave privada debe estar en el mismo formato que la llave con contraseña en PEM-formato que ha creado durante el proceso de creación de claves.
- El paquete certificado intermedio debe estar en el mismo formato que la ha descargado, fx. de GoDaddy, que va a decir el CRT-formato para Apache, etc., no Plesk MS Windows
Durante el proceso de "Configuración multiusuario para la Inscripción y Apple iOS Gestión Extender", si está utilizando certificados SSL firmados oficialmente, entonces usted tendrá que colocar los archivos manualmente en el "Proveedor de MDM / privada" carpeta sí mismo. Debe nombre a la clave privada SSL como "ssl_key.pem", el certificado debe ser nombrado "ssl_cert.pem", y si usted tiene un paquete de certificado intermedio, debe ser llamado "ssl_bundle.pem". Después de poner estos archivos en su lugar, debe ejecutar el siguiente comando como se describe en el artículo
Más información:
