Symantec Endpoint Protection Managerの証明書の話 [Symantec]
Symantec社のSymantec Endpoint Protection Manager(SEPM)はSymantec Endpoint Protection(SEP)の管理・制御が可能ですが、サーバとクライアント間の通信には、証明書を利用した暗号化通信を行っています。
証明書および秘密鍵は、SEPMのインストール時に作成されます。
インストール先がデフォルトの場合は、以下のtomcatのフォルダにjksファイルが作成されます。
C:\Program Files\Symantec\Symantec Endpoint Protection Manager\tomcat\etc\keystore.jks
keystore.jksにアクセスするためのパスワードは、以下のxmlに書かれています。
C:\Program Files\Symantec\Symantec Endpoint Protection Manager\tomcat\conf\server.xml
server.xmlを開き、keystorePass=を検索してください
keystorePass="Xi4Fki1wHNMoSsAL"などと書かれています。
Symantec社のSEPM のディザスタリカバリに関してに書かれている「キーストアファイルと server.xml ファイルのバックアップ」については、注意が必要です。
キーストアファイルと server.xml ファイルは以下のフォルダにあると書かれています。
C:\ProgramFiles\Symantec\Symantec Endpoint ProtectionManager\Server Private Key Backup
このフォルダにあるのは、SEPMをインストールしたときものです。
SEPMを運用し、故障などによって、SEPMを再インストールした後は、サーバー証明書の復元を行いますが、復元を行っても、Server Private Key Backupフォルダ内のキーストアファイルと server.xml ファイルは更新されません。復元では、先に示したtomcatのキーストアファイル(keystore.jks)が更新されます。
したがって、バックアップするのは、tomcatのkeystore.jksとserver.xmlにしたほうが良いと考えられます。
また、Symantec Endpoint Protection Manager コンソールからサーバー証明書のバックアップを作成するとtomcatのkeystore.jksとserver.xmlがバックアップできるので、こちらの方法も良いと思います。
keystore.jksの参照方法は、Javaのkeytoolで可能です。
keytool -list -v -keystore keystore.jks -storepass Xi4Fki1wHNMoSsAL
キーストアのタイプ: JKS
キーストアのプロバイダ: SUN
キーストアには 1 エントリが含まれます。
別名: tomcat
作成日: 2011/04/25
エントリタイプ: PrivateKeyEntry
証明連鎖の長さ: 1
証明書[1]:
所有者: CN=sepm00host, OU=scm, O=symantec.com, L=Fremont, ST=CA, C=US
発行者: CN=sepm00host, OU=scm, O=symantec.com, L=Fremont, ST=CA, C=US
シリアル番号: 4db56c31
有効期間の開始日: Mon Apr 25 21:42:25 JST 2011 終了日: Thu Apr 22 21:42:25 JST 2021
証明書のフィンガープリント:
MD5: 6B:F1:79:E4:7F:A5:41:BF:FB:8B:74:7A:E3:7D:12:D9
SHA1: 96:D5:B7:97:FC:42:A7:B2:11:99:2F:91:9A:C8:FE:E9:85:F4:92:D2
署名アルゴリズム名: SHA1withRSA
バージョン: 3
上記は2011年4月25日にインストールしたので、有効期限の開始もインストールと同じ日時になっています。
終了(期限が切れる)は2021年4月22日ですので、約10年の証明書です。約10年で通信できなくなります。
SEPMで作成したクライアント(SEP)には、この証明書が入っています。
具体的には、SyLink.xmlというxmlファイルです。以下のフォルダにあります。
C:\Program Files\Symantec\Symantec Endpoint Protection
以下のタグで括られています。切り出せば、PEM形式の証明書ファイルを作成できます。
<Certificate Name="sepm00host">
</Certificate>
サーバー証明書はjksファイルからエクスポートができます。
keytool -export -alias tomcat -keystore keystore.jks -storepass Xi4Fki1wHNMoSsAL -file server.crt
こちらはDER形式となりますので、opensslで変換することでPEM形式にすることができます。
ディザスタリカバリを行うことはほとんど無いと思いますが、SEPMとSEPが通信できない場合は、ほとんどが証明書の不一致になると思いますので、keystore.jksとserver.xmlは確実にバックアップしておくことをお勧めします。
今日はここまでです。では、次回をお楽しみに!!
証明書および秘密鍵は、SEPMのインストール時に作成されます。
インストール先がデフォルトの場合は、以下のtomcatのフォルダにjksファイルが作成されます。
C:\Program Files\Symantec\Symantec Endpoint Protection Manager\tomcat\etc\keystore.jks
keystore.jksにアクセスするためのパスワードは、以下のxmlに書かれています。
C:\Program Files\Symantec\Symantec Endpoint Protection Manager\tomcat\conf\server.xml
server.xmlを開き、keystorePass=を検索してください
keystorePass="Xi4Fki1wHNMoSsAL"などと書かれています。
Symantec社のSEPM のディザスタリカバリに関してに書かれている「キーストアファイルと server.xml ファイルのバックアップ」については、注意が必要です。
キーストアファイルと server.xml ファイルは以下のフォルダにあると書かれています。
C:\ProgramFiles\Symantec\Symantec Endpoint ProtectionManager\Server Private Key Backup
このフォルダにあるのは、SEPMをインストールしたときものです。
SEPMを運用し、故障などによって、SEPMを再インストールした後は、サーバー証明書の復元を行いますが、復元を行っても、Server Private Key Backupフォルダ内のキーストアファイルと server.xml ファイルは更新されません。復元では、先に示したtomcatのキーストアファイル(keystore.jks)が更新されます。
したがって、バックアップするのは、tomcatのkeystore.jksとserver.xmlにしたほうが良いと考えられます。
また、Symantec Endpoint Protection Manager コンソールからサーバー証明書のバックアップを作成するとtomcatのkeystore.jksとserver.xmlがバックアップできるので、こちらの方法も良いと思います。
keystore.jksの参照方法は、Javaのkeytoolで可能です。
keytool -list -v -keystore keystore.jks -storepass Xi4Fki1wHNMoSsAL
キーストアのタイプ: JKS
キーストアのプロバイダ: SUN
キーストアには 1 エントリが含まれます。
別名: tomcat
作成日: 2011/04/25
エントリタイプ: PrivateKeyEntry
証明連鎖の長さ: 1
証明書[1]:
所有者: CN=sepm00host, OU=scm, O=symantec.com, L=Fremont, ST=CA, C=US
発行者: CN=sepm00host, OU=scm, O=symantec.com, L=Fremont, ST=CA, C=US
シリアル番号: 4db56c31
有効期間の開始日: Mon Apr 25 21:42:25 JST 2011 終了日: Thu Apr 22 21:42:25 JST 2021
証明書のフィンガープリント:
MD5: 6B:F1:79:E4:7F:A5:41:BF:FB:8B:74:7A:E3:7D:12:D9
SHA1: 96:D5:B7:97:FC:42:A7:B2:11:99:2F:91:9A:C8:FE:E9:85:F4:92:D2
署名アルゴリズム名: SHA1withRSA
バージョン: 3
上記は2011年4月25日にインストールしたので、有効期限の開始もインストールと同じ日時になっています。
終了(期限が切れる)は2021年4月22日ですので、約10年の証明書です。約10年で通信できなくなります。
SEPMで作成したクライアント(SEP)には、この証明書が入っています。
具体的には、SyLink.xmlというxmlファイルです。以下のフォルダにあります。
C:\Program Files\Symantec\Symantec Endpoint Protection
以下のタグで括られています。切り出せば、PEM形式の証明書ファイルを作成できます。
<Certificate Name="sepm00host">
</Certificate>
サーバー証明書はjksファイルからエクスポートができます。
keytool -export -alias tomcat -keystore keystore.jks -storepass Xi4Fki1wHNMoSsAL -file server.crt
こちらはDER形式となりますので、opensslで変換することでPEM形式にすることができます。
ディザスタリカバリを行うことはほとんど無いと思いますが、SEPMとSEPが通信できない場合は、ほとんどが証明書の不一致になると思いますので、keystore.jksとserver.xmlは確実にバックアップしておくことをお勧めします。
今日はここまでです。では、次回をお楽しみに!!
2011-05-01 23:52
nice!(0)
コメント(0)
トラックバック(0)
コメント 0