Paso 1: Cómo emitir un nuevo certificado usando su propio CA

Las acciones específicas que toma para emitir un nuevo certificado de autoridad secundaria dependerán del entorno.

Opción A: Si la AC es accesible a través de la red

  1. Cerrar Security Controls.
  2. Utilice las instalaciones del sistema local para emitir el nuevo certificado desde CA.
    Asegúrese de que el certificado cumple todos los requisitos.
  3. Guarde el nuevo certificado en el almacén de Autoridades de certificación intermedias del equipo de la consola.
  4. En la consola, abra una ventana del símbolo del sistema de comandos del administrador y cambie el directorio de instalación de Security Controls.
    El directorio de instalación predeterminado es C:\Program Files\Ivanti\Security Controls.
  5. Con la herramienta de línea de comando STMgmt, emita el comando de select_subauthority -thumbprint <thumbprint> para especificar que el nuevo certificado actuará como certificado de autoridad secundaria.

    6. Ejemplo: stmgmt.exe -select_subauthority -thumbprint 3e656d7ca744c131c2daba3e4fb4e8731784824e

    Asegúrese de incluir el argumento -huella digital, que indica a Security Controls que deberá utilizar el certificado como certificado de autoridad secundaria. Un método para obtener la huella digital es:

    1. Copiar la huella digital del nuevo certificado en una aplicación como Notepad.
    2. Eliminar los espacios y caracteres especiales.
    3. Guardar el archivo en formato ANSI.
    4. Pegar el carácter de la huella digital desde el archivo Notepad al comando select_subauthority.

    Para obtener información sobre cómo utilizar STMgmt, escriba lo siguiente desde una ventana de símbolo del sistema del administrador en el equipo de la consola:

    C:\Program Files\Ivanti\Security Controls>stmgmt

  6. Consulte Permitir que el certificado se filtre por el sistema para obtener información sobre si es necesario esperar 30 días antes de confirmar el nuevo certificado.

Opción B: Si no se puede acceder a su AC a través de la red (la AC está desconectada o en una red desconectada)

  1. En la consola, abra una ventana del símbolo del sistema de comandos del administrador y vaya al directorio de instalación de Security Controls.
    El directorio de instalación predeterminado es C:\Program Files\Ivanti\Security Controls.
  2. Con la herramienta de línea de comando STMgmt, emita una comando request_subauthority -of <requestfile> para crear una solicitud de certificado de autoridad secundaria.

    3. Ejemplo: stmgmt.exe -request_subauthority -of samplerequestfilename.req

    Esta es la solicitud necesaria para emitir un nuevo certificado de autoridad secundaria de Security Controls. Crea toda la información necesaria para que la AC emita un nuevo certificado y lo guarde en un archivo. Este archivo es una solicitud de certificado PKCS10 de formato binario y se utilizará para generar el certificado en la AC. Puede que necesite convertir este archivo para que esté codificado en Base64 dependiendo de su CA.

  3. Traslade el archivo a la AC.
  4. Que su AC emita el nuevo certificado de autoridad secundaria y lo guarde en un archivo.
    Asegúrese de que el certificado cumple todos los requisitos.
  5. Traslade el archivo al equipo de la consola y guárdelo en un directorio local.
  6. Mediante la herramienta de línea de comandos STMgmt, emita un comando accept_subauthority -if <issuedcert> .

    7. Ejemplo: stmgmt.exe -accept_subauthority -if sampleresponsefilename.cer

    Este comando hace varias cosas. It:

    • Acepta el nuevo certificado que se generó con la AC de confianza.
    • La vincula de nuevo a la clave privada de la consola
    • Especifica que Security Controls debería usar el certificado como certificado de autoridad secundaria.
    • Gestiona la instalación del nuevo certificado
  7. Consulte Permitir que el certificado se filtre por el sistema para obtener información sobre si es necesario esperar 30 días antes de confirmar el nuevo certificado.