設定 HTTP 接收端的憑證型鑑別

已淘汰當您使用「HTTP 接收端」通訊協定時，必須使用憑證管理中心 (CA) 發出的憑證。它不能是自簽憑證，因為它必須由 CA 驗證。

關於此作業

重要事項: 僅當您針對伺服器憑證使用自簽產生憑證選項時，此作業中的指示才適用。自簽產生的憑證選項已淘汰。

當您使用「HTTP 接收端」通訊協定在 QRadar® 中建立新的日誌來源時，請在配置伺服器憑證參數時使用從 QRadar 憑證儲存庫中選擇或 PKCS12 憑證鏈及密碼選項。

在開始之前

在匯入 PKCS12 檔案以與「HTTP 接收端」搭配使用之前，您需要一個 PKCS12 檔案，其中包含所需的憑證私密金鑰、端點憑證及任何中繼憑證。根 CA 可以包含在鏈中，但並非必要。

如果您有私密金鑰和憑證，而不是 PKCS12 憑證，則必須完成下列步驟，以將它們轉換成 PKCS12 憑證:

找出端點憑證私密金鑰，其採用 PEM 格式的 PKCS1 編碼。該檔案稱為 certificate.key。私密金鑰必須以 BEGIN RSA PRIVATE KEY 開頭，並以 END RSA PRIVATE KEY結尾。
提示: 如果您的金鑰是 PEM 格式，但開頭是 BEGIN PRIVATE KEY 標頭，而不是 BEGIN RSA PRIVATE KEY，則它是採用 PKCS8 編碼，且必須先轉換成 PKCS1 編碼，才能繼續進行。
找出 PEM 格式的憑證鏈，並在 chain.crt 檔中依下列順序附加每一個憑證。端點憑證必須先，然後視需要接著一或多個中繼憑證。
重要事項: 如果您的憑證是由主要 CA 直接發出，則必須僅提供端點憑證。

執行下列指令，以 certificate.key 及 chain.crt 檔案建立 PKCS12 憑證:

openssl pkcs12 -export -out myserver.mycompany.net.p12 -inkey certificate.key -in chain.crt

建立匯出密碼以保護 PKCS12 儲存器中的私密金鑰。密碼用來將憑證匯入至 QRadar 金鑰儲存庫。

執行下列指令，以驗證憑證的詳細資料:

keytool -list -v -keystore myserver.mycompany.net.p12 -storetype PKCS12

您現在可以匯入 PKCS12 憑證以與「HTTP 接收端」搭配使用。

程序

執行下列指令來備份現有的 syslog-tls.keystore :

mv /opt/qradar/conf/syslog-tls.keystore /opt/qradar/conf/syslog-tls.keystore.orig

執行下列指令，以使用 myserver.mycompany.net.p12 PKCS12 憑證的內容重建 syslog-tls.keystore :
```
keytool -v -importkeystore -srckeystore myserver.mycompany.net.p12 -srcstoretype PKCS12 -destkeystore /opt/qradar/conf/syslog-tls.keystore -deststoretype JKS
```
重要事項: 系統會提示您輸入來源金鑰儲存庫密碼，然後輸入目的地金鑰儲存庫密碼。來源金鑰儲存庫密碼是您在步驟 4 的開始之前小節中建立的匯出密碼。當系統提示輸入目的地金鑰儲存庫密碼時，您必須使用 syslog-tls ，因為它是此金鑰儲存庫檔的預期密碼。

執行下列指令，將 1 別名重新命名為 syslog-tls :

keytool -changealias -keystore /opt/qradar/conf/syslog-tls.keystore -alias 1 -destalias syslog-tls

執行下列指令，以驗證已順利匯入憑證:

keytool -list -v -keystore /opt/qradar/conf/syslog-tls.keystore

結果

使用順利匯入的憑證，金鑰儲存庫檔包含一個具有 syslog-tls 別名的金鑰。鏈結長度視憑證而定。下列範例顯示成功匯入的外觀:

Keystore type: jks
Keystore provider: IBMJCE

Your keystore contains 1 entry

Alias name: syslog-tls
Creation date: May 25, 2022
Entry type: keyEntry
Certificate chain length: 3
Certificate[1]: