更新 QRadar Incident Forensics 信任证书库

如果将 IBM QRadar Network Packet Capture 服务器配置为使用定制证书和密钥,那么必须手动将新证书添加到 QRadar Incident Forensics 信任证书库。

如果未将新证书添加到信任库,那么您可能会看到certificatePinningQRadar Incident Forensics 受管主机上的日志文件中的消息。

过程

  1. 使用 SSH 以 root 用户身份登录到 QRadar Incident Forensics 受管主机。
  2. 如果证书是由内部认证中心而不是商业证书提供者发放的,那么需要 CA 的根证书和中间证书才能进行完整的信任链验证。
    1. 将 CA 的根证书以及中间证书 (如果需要) 复制到 /etc/pki/ca-trust/source/anchors/
    2. 输入以下命令:
      update-ca-trust
  3. 要检索新的证书信息并将其添加到信任证书库,请输入以下命令。
    /opt/qradar/bin/getcert.sh <IP_address_of_the_PCAP_server>
  4. 重新启动 hostcontext 服务。
    systemctl restart hostcontext