Traps Certificate Renew

En esta entrada vamos a realizar todos los pasos para renovar el certificado en el traps, aunque es un servidor windows y el proceso debería de ser relativamente sencillo, Traps tiene una parte «propia» que lo complica.
Una vez tengamos el certificado nuevo (wildcard) nos iremos al servidor de traps, entraremos en la consola de IIS Management.
Clicamos sobre la estancia servidor, no sobre el sitio visualizar la siguiente imagen:

Dentro de esta pantalla lo primero y muy importante, eliminarmos el certificado

Una vez aqui clicamos en Server Certificates, y dentro de la pantalla de certificados nos encontraremos el certificado actual, aqui le daremos a «Complete Certificate Request»

Recordar copiaros el certificado nuevo en el escritorio del servidor, sino toca hacerlo ahora…
Nos saldrá la siguiente ventana, en ella tenemos que seleccionar el certificado .cer y debemos tener en esa carpeta el key también. (esto del key no estoy totalmente seguro). Poner un friendly name para pdoer identificar bien los certificados!
Tenemos que seleccionar Personal o no funcionará.

Le damos ok y ya tenemos el certificado importado para su uso, seguidamente nos iremos encima con el botón derecho sobre «Default Web Site» le daremos a Edit bindings, una vez nos salga la nueva pantalla clicamos sobre https, boton editar, y en la siguiente pantalla que nos saldrá le daremos a SSL Certificate y elegiremos el nuevo que hemos importado.

Si conseguimos realizar esta etapa con éxito lo siguiente que tendremos que realizar es la parte que se hace en msdos, Traps tiene un puerto que usa para la comunicacion con los clientes que no es el 443, este se usa solo para la consola. Con los clientes se usa el puerto 21:25 y hay que agregar el certificado por CMD, entramos en CMD como administrador.
Ejecutamos el siguiente comando para sacar la información que necesitamos, netsh http show sslcert , aqui podemos ver el servidor aun sin el certificado nuevo agregado, con lo cual el puerto 443 y el 2125 tienen el mismo Certificate Hash id

Si hemos realizado bien la parte del certificado en IIS, abajo en la zona de ip:port 443, nos saldrá el certificate hash que necesitamos para actualizar el Certificate hash del ip:port 2125.†

Necesitaremos el Application ID la del puerto 2125 para componer el siguiente comando y poder realizar la actualización, debe de ir todo en la misma linea y sin intros o no funcionará. Si nos fijamos lo que hacemos realmente es solo cambiar el Certificate Hash antiguo por el nuevo.

netsh http add sslcert ipport=0.0.0.0:2125 certhash=c5ac64e8b72bb42fb89eb63d266e91d4c16e8479 appid={935e55e3-8b9d-4b95-954c-423626f887f9} clientcertnegotiation=enable 

Actualizar Sophos Relay

Las actualizaciones de sophos son requeridas por el propio appliance, simplemente cuando llegue el correo avisando de la versión tendremos que ir a la parte de de Configuración, System, Update.
Abajo tenemos un botón que actualiza todo el cluster, tenemos que darle a este botón para que el propio sistemas vaya actualizando uno a uno los componentes del cluster, también podemos hacerlo manualmente uno a uno. (recomiendo hacerlo dándole al botón de actualizar todo el cluster ya que el sistema irá dejando siempre dos operativos)