Instalación de certificado firmado por CA en un container de connector appliance.

Publicado: 07/24/2013 en Manual
Etiquetas:,

Generando el CSR para cada container

Si no contamos con un certificado previo y no hay límite de firma:

1. Backup de certificados remote_management.cer y remote_management.p12

2. Crear una JKS Keystore con su Keypair (Se inserta la indormación del certificado de CA. Debe tener la misma password que el keystore original)

c:\arcsight\testing\current\jre\bin\keytool -keystore c:\arcsight\testing\current\user\agent\remote_management.jks -storepass changeit -genkeypair -alias tomcat -keysize 2048 -keyalg RSA

3. Se genera el CSR (certificate Signing Request)

c:\arcsight\testing\current\jre\bin\keytool -keystore c:\arcsight\testing\current\user\agent\remote_management.jks -storepass changeit -certreq -alias tomcat -file c:\arcsight\testing\current\user\agent\remote_management.csr

4. Se envía el CSR a la CA para su firma y se obtiene el certificado firmado

5. Importar el certificado de CA (Se debe importar el certificado de CA al almacén de confizanza anted de este paso)

c:\arcsight\testing\current\jre\bin\keytool  -keystore c:\arcsight\testing\current\user\agent\remote_management.jks -storepass changeit -importcert -alias whateverca -file c:\arcsight\testing\current\user\agent\ca.crt

6. Importar el certificado firmado.

c:\arcsight\testing\current\jre\bin\keytool  -keystore c:\arcsight\testing\current\user\agent\remote_management.jks -storepass changeit -importcert -alias tomcat -file c:\arcsight\testing\current\user\agent\remote_management.cer

7. Convertir el keystore a formato p12 

c:\arcsight\testing\current\jre\bin\keytool -importkeystore -srckeystore c:\arcsight\testing\current\user\agent\remote_management.jks -srcstorepass changeit -deststorepass changeit -srcstoretype JKS -deststoretype PKCS12 -destkeystore c:\arcsight\testing\current\user\agent\remote_management.p12

8. Reiniciar el container

CON EL CERTIFICADO YA GENERADO PARA HTTPS

 

1. Una vez se ha generado el CSR y se ha importado el certificado a través de la interfaz web disponemos tanto del certificado firmado por la CA como de la clave privada necesarias para la comunicación. Estas pueden encontrarse en los ficheros:

/opt/arcsight/userdata/platform/ssl.crt/server.crt -> certificado de CA
/opt/arcsight/userdata/platform/ssl.crt/server.pem -> clave privada

2. A través del acceso SSH, generamos el fichero en formato p12 que contendrá el keypair correspondiente con el comando:

# openssl pkcs12 -export -in server.crt -inkey server.pem -out server.p12

3. Se agregan los certificados de CA a server.p12 a través de keytool o keytoolgui.

4. Se realiza una copia de seguridad de los ficheros existentes:

/opt/arcsight/container_X/current/user/agent/remote_management.cer
/opt/arcsight/container_X/current/user/agent/remote_management.p12

5. Se substituyen los ficheros por los creados con el certificado de CA:

/opt/arcsight/container_X/current/user/agent/remote_management.cer -> sustituye por server.crt
/opt/arcsight/container_X/current/user/agent/remote_management.p12 -> sustituye por server.p12

6. Se reinicia el container, enviando el comando restart a través de la web console.

Anuncios
comentarios
  1. ¡Genial! Aplastantes argumentos. Manten este liston es un blog fantastico. Tengo que leer màs posts como este.

    Saludos

  2. fakeuser dice:

    No me queda claro… si quiero cambiar el certificado de la web de Arcsight, tengo que seguir este procedimiento?

    Tengo el certificado ya firmado por nuestra CA, en formato .crt y generé el CSR mediante un comando de openssl, he hecho algún paso mal?

    • pelirrojilla dice:

      Hola,

      si sólo quieres cambiar el certificado https de un connector appliance, debes hacerlo desde la web de administración. En la pestaña de system admin hay un apartado donde te permite instalar certificados de https y de ftp. Ahí generas el CSR (mediante la herramienta web) que envías a firmar. Cuando tengas el certificado firmado, lo subes a través de la web de administración (ojo con no generar otro CSR mientras o no funcionará) y listo.

      El procedimiento del artículo está planteado para los certificados de container, no de administración web.

      Espero habértelo aclarado.

      Un saludo

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s