Ändern des Algorithmus für selbst-signierte Zertifikate

  • Alle SafeGuard Enterprise Komponenten müssen die Version 6.1. oder später haben.

Von SafeGuard Enterprise erzeugte Zertifikate, zum Beispiel Unternehmens-, Maschinen-, Sicherheitsbeauftragten- und Benutzerzertifikate, sind bei einer Erstinstallation standardmäßig zur Erweiterung der Sicherheit mit dem Hash-Algorithmus SHA-256 signiert.

Bei der Aktualisierung von SafeGuard Enterprise 6 oder einer früheren Version wird für selbst-signierte Zertifikate automatisch der Hash-Algorithmus SHA-1 benutzt. Nach Abschluss der Aktualisierung können Sie den Hash-Algorithmus für erweiterte Sicherheit manuell zu SHA-256 ändern.

Ändern Sie den Algorithmus nur dann zu SHA-256, wenn bei allen SafeGuard Enterprise Komponenten und Endpoints eine Aktualisierung auf die aktuelle Version durchgeführt wurde. In gemischten Umgebungen, in denen zum Beispiel SafeGuard Enterprise 6 Endpoints mit dem SafeGuard Management Center 7 verwaltet werden, wird SHA-256 nicht unterstützt. Wenn Sie eine gemischte Umgebung benutzen, dürfen Sie diesen Vorgang nicht ausführen. In diesem Fall dürfen Sie den Algorithmus nicht zu SHA-256 ändern.

Zum Ändern des Algorithmus für selbst-signierte Zertifikate müssen Sie folgende Handlungsschritte ausführen:

  • Ändern des Hash-Algorithmus
  • Erzeugen einer Certificate Change Order (CCO)
  • Erzeugen eines Konfigurationspakets mit der CCO
  • Neustart der SafeGuard Enterprise (Datenbank-) Server
  • Verteilen und Installieren der Konfigurationspakete auf den Endpoints

So ändern Sie den Algorithmus für selbst-signierte Zertifikate:

  1. Wählen Sie in der SafeGuard Management Center Menüleiste ExtrasOptionen.
  2. Wählen Sie in der Registerkarte Allgemein unter Zertifikate den erforderlichen Algorithmus in Hash-Algorithmus für erzeugte Zertifikate aus und klicken Sie auf OK.
  3. Klicken Sie in der Registerkarte Zertifikate unter Anforderung auf Aktualisieren. Geben Sie im Dialog Unternehmenszertifikat aktualisieren einen Namen für die CCO an und legen Sie einen Backup-Pfad fest. Geben Sie ein Kennwort für die P12-Datei ein und bestätigen Sie Ihre Eingabe. Geben Sie nach Wunsch eine Anmerkung ein und klicken Sie auf Erzeugen.
  4. Wenn Sie dazu aufgefordert werden, bestätigen Sie, dass diese Änderung nicht rückgängig gemacht werden kann und dass alle nachfolgend erstellten Konfigurationspakete diese CCO enthalten müssen, damit Sie auf bereits installierten Endpoints wirksam werden können.
  5. Wenn Sie dazu aufgefordert werden, bestätigen Sie, dass die Aktualisierung erfolgreich war und dass eine CCO erzeugt wurde, die in alle Konfigurationspakete aufgenommen werden soll. Klicken Sie auf OK.
  6. Klicken Sie im Extras Menü auf Konfigurationspakete.
  7. Wählen Sie den erforderlichen Konfigurationspakettyp: Pakete für Managed Clients oder Pakete für Standalone Clients.
  8. Klicken Sie auf Konfigurationspaket hinzufügen und geben Sie einen Namen Ihrer Wahl für das Konfigurationspaket ein.
  9. Wählen Sie die zuvor erstellte CCO.
  10. Treffen Sie je nach Anforderung eine zusätzliche Auswahl.
  11. Geben Sie einen Ausgabepfad für das Konfigurationspaket (MSI) an.
  12. Klicken Sie auf Konfigurationspaket erstellen.
    Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt.
  13. Starten Sie alle SafeGuard Enterprise (Datenbank-) Server neu.
  14. Verteilen Sie das Paket an die durch SafeGuard Enterprise geschützten Endpoints zur Installation.

Alle durch SafeGuard Enterprise generierten Zertifikate werden mit dem neuen Algorithmus signiert. Weitere Informationen finden Sie im Sophos Knowledegebase-Artikel 116791.