Generando el CSR para cada container
Si no contamos con un certificado previo y no hay límite de firma:
1. Backup de certificados remote_management.cer y remote_management.p12
2. Crear una JKS Keystore con su Keypair (Se inserta la indormación del certificado de CA. Debe tener la misma password que el keystore original)
c:\arcsight\testing\current\jre\bin\keytool -keystore c:\arcsight\testing\current\user\agent\remote_management.jks -storepass changeit -genkeypair -alias tomcat -keysize 2048 -keyalg RSA
3. Se genera el CSR (certificate Signing Request)
c:\arcsight\testing\current\jre\bin\keytool -keystore c:\arcsight\testing\current\user\agent\remote_management.jks -storepass changeit -certreq -alias tomcat -file c:\arcsight\testing\current\user\agent\remote_management.csr
4. Se envía el CSR a la CA para su firma y se obtiene el certificado firmado
5. Importar el certificado de CA (Se debe importar el certificado de CA al almacén de confizanza anted de este paso)
c:\arcsight\testing\current\jre\bin\keytool -keystore c:\arcsight\testing\current\user\agent\remote_management.jks -storepass changeit -importcert -alias whateverca -file c:\arcsight\testing\current\user\agent\ca.crt
6. Importar el certificado firmado.
c:\arcsight\testing\current\jre\bin\keytool -keystore c:\arcsight\testing\current\user\agent\remote_management.jks -storepass changeit -importcert -alias tomcat -file c:\arcsight\testing\current\user\agent\remote_management.cer
7. Convertir el keystore a formato p12
c:\arcsight\testing\current\jre\bin\keytool -importkeystore -srckeystore c:\arcsight\testing\current\user\agent\remote_management.jks -srcstorepass changeit -deststorepass changeit -srcstoretype JKS -deststoretype PKCS12 -destkeystore c:\arcsight\testing\current\user\agent\remote_management.p12
8. Reiniciar el container
1. Una vez se ha generado el CSR y se ha importado el certificado a través de la interfaz web disponemos tanto del certificado firmado por la CA como de la clave privada necesarias para la comunicación. Estas pueden encontrarse en los ficheros:
/opt/arcsight/userdata/platform/ssl.crt/server.crt -> certificado de CA /opt/arcsight/userdata/platform/ssl.crt/server.pem -> clave privada
2. A través del acceso SSH, generamos el fichero en formato p12 que contendrá el keypair correspondiente con el comando:
# openssl pkcs12 -export -in server.crt -inkey server.pem -out server.p12
3. Se agregan los certificados de CA a server.p12 a través de keytool o keytoolgui.
4. Se realiza una copia de seguridad de los ficheros existentes:
/opt/arcsight/container_X/current/user/agent/remote_management.cer /opt/arcsight/container_X/current/user/agent/remote_management.p12
5. Se substituyen los ficheros por los creados con el certificado de CA:
/opt/arcsight/container_X/current/user/agent/remote_management.cer -> sustituye por server.crt /opt/arcsight/container_X/current/user/agent/remote_management.p12 -> sustituye por server.p12
6. Se reinicia el container, enviando el comando restart a través de la web console.
Pelirrojilla SecEngineer 
¡Genial! Aplastantes argumentos. Manten este liston es un blog fantastico. Tengo que leer màs posts como este.
Saludos
No me queda claro… si quiero cambiar el certificado de la web de Arcsight, tengo que seguir este procedimiento?
Tengo el certificado ya firmado por nuestra CA, en formato .crt y generé el CSR mediante un comando de openssl, he hecho algún paso mal?
Hola,
si sólo quieres cambiar el certificado https de un connector appliance, debes hacerlo desde la web de administración. En la pestaña de system admin hay un apartado donde te permite instalar certificados de https y de ftp. Ahí generas el CSR (mediante la herramienta web) que envías a firmar. Cuando tengas el certificado firmado, lo subes a través de la web de administración (ojo con no generar otro CSR mientras o no funcionará) y listo.
El procedimiento del artículo está planteado para los certificados de container, no de administración web.
Espero habértelo aclarado.
Un saludo