La presente procedura presuppone che si stia usando sul server Kaseya on-premise un certificato FIPS 140-2 compliant (secondo la CA che lo ha emesso) ma Kaseya continui a dare il messaggio che il certificato non è FIPS.
Il problema è che la sicurezza di Windows a livello di protocolli e algoritimi di crittografia è molto lasca di default e quindi il certificato è probabilmente stato esportato con cypher non più supportati.
Per generare il pfx necessario a validare la nuova sicurezza di VSA possiamo procedere in questo modo:
- Prendere una macchina di test con Windows 10 o 2016+;
- Scaricare IISCrypto e impostare il template FIPS 140-2;
- Applicare e riavviare;
- Importare il certificato PFX usato al momento da Kaseya, come computer e attivando il flag per rendere esportabile la chiave privata;
- Riesportare il certificato da mmc come PFX settando tutti i flag tranne la cancellazione della chiave;
- Passare il certificato così esportato all’utility di Kaseya per verifica;
- Se il certificato risulta valido, usarlo nell’installer di Kaseya sostituendo quello attuale.
- Se ci sono problemi a seguire questa procedura o esiti non previsti, aprite un caso al Supporto Achab
PS: l’operazione può essere fatta anche sul server Kaseya ma presuppone un riavvio del server, quindi questa procedura potrebbe aiutare a evitare riavvii ripetuti di un server di produzione.