Substituir o certificado padrão no QRadar gera erros de PEM inválidos

A substituição do certificado padrão no QRadar faz com que o arquivo ConfigurationServer.PEM mude, afetando todos os agentes do WinCollect na implementação. Para corrigir esse problema, deve-se substituir o arquivo ConfigurationServer.PEM no host do Windows.

Sobre esta tarefa

Os agentes do WinCollect recebem mensagens de rejeição porque o certificado incorreto é transmitido quando os agentes tentam se comunicar com o dispositivo QRadar® atualizado. A mensagem de erro a seguir aparece nos logs:
May 17 17:06:31 ::ffff:IP ADDRESS [ecs-ec] [WinCollectConfigHandler_4] 
com.q1labs.sem.semsources. wincollectconfigserver.WinCollectConfigHandler: [ERROR] 
[NOT:0000003000] [192.0.2.0/- -] [-/- -]Agent with ip: IP ADDRESS tried to connect 
with an invalid PEM 
O endereço IP do agente que está tentando se comunicar é exibido. O agente do WinCollect também envia mensagens do LEEF Syslog para notificar o administrador sobre o problema de comunicação devido ao certificado inválido. Para corrigir este problema, você deve substituir o ConfigurationServer.PEM file no host do Windows.
Nota: Essa ação deve ser concluída por um administrador do Windows ou um usuário que tenha privilégios para excluir arquivos do host do Windows remoto.

Procedimento

  1. Abra uma conexão de área de trabalho remota com o Agente WinCollect que não consegue se comunicar
  2. clique em Iniciar > Executar.
  3. Digite services.msc, em seguida, clique em OK.
  4. Pare o serviço WinCollect .
  5. No host Windows, navegue até a pasta de configuração WinCollect .
    Por padrão, o caminho de pasta é: C:\ProgramFiles\IBM\WinCollect\config
  6. Excluir ConfigurationServer.PEM.
  7. Na janela Serviços , inicie o serviço WinCollect .

Resultados

Após a reinicialização do serviço WinCollect , o agente tenta entrar em contato com o dispositivo QRadar que gerencia o host do Windows. O dispositivo QRadar detecta o arquivo ConfigurationServer.PEM ausente e emite uma substituição no certificado existente. Essa prática substitui o arquivo antigo por um novo arquivo ConfigurationServer.PEM que inclui o certificado atualizado.