升级趋势科技服务器深度安全防护系统加密算法
趋势科技服务器深度安全防护系统 9.6 SP1 及更早的版本使用 RSA-1024 和 SHA-1 保护趋势科技服务器深度安全防护系统管理中心与趋势科技服务器深度安全防护系统客户端之间的通信。缺省情况下,趋势科技服务器深度安全防护系统 10.0 使用 RSA-2048 和 DSA-256 这两种更为安全的算法。
全新安装的趋势科技服务器深度安全防护系统 10.0 将使用 RSA-2048 和 DSA-256,但如果从早期版本升级到趋势科技服务器深度安全防护系统 10.0,则仍会使用早期的加密算法,除非单独升级这些算法。
本文介绍如何在升级到趋势科技服务器深度安全防护系统 10.0 后升级算法。按本文所述更改设置后,趋势科技服务器深度安全防护系统管理中心会为自身及所有受管客户端生成新证书。当这些客户端重新连接到趋势科技服务器深度安全防护系统管理中心时,管理中心会为它们发送新证书。
在 Windows 上升级算法
- 使用 Microsoft 管理控制台的“服务”窗口停止“趋势科技服务器深度安全防护系统管理中心”服务。
- 在 Windows 命令行中,转至趋势科技服务器深度安全防护系统管理中心的工作文件夹,例如 C:\Program Files\Trend Micro\Deep Security Manager。
- 使用 dsm_c 命令及相关参数来改用新设置。例如:
dsm_c -action changesetting -name settings.security.defaultSignatureAlg -value "SHA256withRSA"
dsm_c -action changesetting -name settings.security.defaultKeyLength -value "2048"
dsm_c -action changesetting -name settings.security.forceCertificateUpdate -value "true"
- 如果未发现任何错误,请重新启动 Deep Security Manager 服务。
在 Linux 上升级算法
- 在命令行中,切换到运行 Deep Security Manager 服务所在的目录,然后输入以下命令停止该服务:
service dsm_s stop
- 在 Windows 命令行中,转至趋势科技服务器深度安全防护系统管理中心的工作文件夹,例如 C:\Program Files\Trend Micro\Deep Security Manager。
- 使用 dsm_c 命令及相关参数来改用新设置。例如:
dsm_c -action changesetting -name settings.security.defaultSignatureAlg -value "SHA256withRSA"
dsm_c -action changesetting -name settings.security.defaultKeyLength -value "2048"
dsm_c -action changesetting -name settings.security.forceCertificateUpdate -value "true"
- 如果未发现任何错误,请重新启动 Deep Security Manager 服务。
在多节点环境中升级算法
如果在多个节点上运行趋势科技服务器深度安全防护系统管理中心,请在其中一个节点上执行 dsm_c 命令(如前文所述),然后在其他每个节点上重新启动“趋势科技服务器深度安全防护系统管理中心”服务,以使更改在这些节点上生效。
在多租户环境中升级算法
在趋势科技服务器深度安全防护系统 10.0 中,每个租户的算法设置都是彼此独立的。您需要通过在 dsm_c 命令中附加租户名称(使用 -tenantname)或租户 ID(使用 -tenantid),为每个租户升级设置。例如,要为 ID 为 5 的租户更改设置,请执行以下命令:
dsm_c -action changesetting -name settings.security.defaultSignatureAlg -value "SHA256withRSA" -tenantid 5
dsm_c -action changesetting -name settings.security.defaultKeyLength -value "2048" -tenantid 5
dsm_c -action changesetting -name settings.security.forceCertificateUpdate -value "true" -tenantid 5
