Laden Sie den Magic Quadrant-Bericht herunter, der 19 Anbieter basierend auf ihrer Durchführungskompetenz und der Vollständigkeit ihres Lösungsansatzes beurteilt.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
In ePO erfolgt keine Validierung des Zertifikats, das für eine sichere Datenbankverbindung verwendet wird, was zu einem Angriff des Typs Man-in-the-Middle (MitM) führen kann. Weitere Informationen finden Sie in SB10120.
Erzwingen der Zertifikatvalidierung Nach der Durchführung eines Upgrades auf ePO 5.1.2 oder 5.3.0 muss ein ePO-Administrator zusätzliche Schritte über die Benutzeroberfläche konfigurieren. Diese Schritte sind erforderlich, um Fehlerbehebungen für die Zertifikatvalidierung zu erzwingen, die in beiden Versionen enthalten sind.
Erstellen eines IPSec-Tunnels für Remote-Agenten-Handler Für die Sicherung der Kommunikation zwischen den Remote-Agenten-Handlern (AH) und der Datenbank sind zusätzliche Schritte erforderlich. Dieses Szenario ist die einzige Konfiguration, die nicht vollständig durch die Codeänderungen im Zusammenhang mit dieser Behebung gelöst wird. Das Engineering-Team konnte nicht alle erforderlichen Codeänderungen in die ePO-Agenten-Handler-Codebasis zurückportieren und die Abwärtskompatibilität über die Begrenzungen mehrerer Drittanbieter-Bibliotheken aufrechterhalten, was unten als Konfiguration 3 bezeichnet wird.
Empfohlene Aktionen
ePO 5.0.x- und 5.1.x-Benutzer müssen ein Upgrade auf ePO 5.1.2 durchführen und die Schritte in den Konfigurationen 1 (A), 1 (B) und 1 (C) unten befolgen.
ePO 4.6.x- Benutzer müssen ein Upgrade auf ePO 4.6.9 durchführen und die Schritte in Konfiguration 1 (A), Konfiguration 2 und Konfiguration 3 unten befolgen.
ePO 5.3-Benutzer müssen die Schritte in Konfigurationen 1 (A), 1 (B) und Konfiguration 2 unten befolgen.
Voraussetzungen Führen Sie vor dem Ausführen der Verfahren in diesem Artikel eine der folgenden Optionen durch:
Option 1: Wenn Sie kein CA-Zertifikat und kein vom Computer ausgestelltes Zertifikat, das von einer Zertifizierungsstelle signiert wurde, besitzen, gehen Sie folgendermaßen vor:
Richten Sie mithilfe von OpenSSL, certtool.exe, dem XCA-Tool oder einem ähnlichen Tool eine Stammzertifizierungsstelle (CA) ein.
Erstellen Sie ein Stamm-CA-Zertifikat, erstellen Sie eine Zwischenzertifizierungsstelle, und stellen Sie mithilfe des Zwischen-CA-Zertifikats ein Computerzertifikat den SQL Server aus.
Installieren Sie das vom Zwischen-CA-Zertifikat ausgestellte Computerzertifikat auf dem SQL Server, und aktivieren Sie die Option Verschlüsselung erzwingen auf dem SQL Server.
Option 2: Wenn Sie bereits über ein CA-Zertifikat und über ein vom Computer ausgestelltes Zertifikat, das von einer Zertifizierungsstelle signiert wurde, verfügen, installieren Sie das vom Computer ausgestellte CA-Zertifikat auf dem SQL Server, und aktivieren Sie die Option Verschlüsselung erzwingen.
HINWEISE:
Stellen Sie sicher, dass Sie eine Stammzertifizierungsstelle generiert haben, um die Schritte in diesem Artikel durchzuführen. Wenden Sie sich an Ihre Drittanbieter-Zertifizierungsstelle oder Unternehmenszertifizierungsstelle, um die Stammzertifizierungsstelle (CA) zu erhalten.
Das Computerzertifikat muss auf einen vollqualifizierten Domänennamen (FQDN) ausgestellt werden, der auf dem ePO-Server aufgelöst werden kann. Verlassen Sie sich nicht auf die alternativen Namen des Antragstellers, da sie für diesen Zweck nicht funktionieren.
Lösung
Klicken Sie auf diese Option, um den Abschnitt zu erweitern, den Sie anzeigen möchten:
(A) Erzwingen der Zertifikatvalidierung vom ePO-Server zur Datenbank:
Melden Sie sich bei der ePO-Konsole an.
Rufen Sie die Seite Datenbankeinstellungen konfigurieren auf: https://:port/core/config
Wählen Sie im Abschnitt SSL-Kommunikation mit Datenbank-Server: die Option Immer SSL verwenden und ein von einer Zertifizierungsstelle signiertes Server-Zertifikat anfordern aus.
HINWEIS: Der auswählbare angezeigte Text ist je nach installierter Version von ePO unterschiedlich.
Überprüfen Sie die Zertifikatvalidierung, indem Sie auf Verbindung testen klicken. Als Verbindungsantwort wird die folgende Meldung angezeigt: "Test failed: Network error IOException: Certificate not verified."
HINWEIS: In zukünftigen ePO-Versionen lautet dieser Fehler möglicherweise "Test failed: Network error IOException: bad_certificate(42)."
Klicken Sie auf Anwenden.
Damit die Verbindung erfolgreich ist, muss der standardmäßige vertrauenswürdige Java-Speicher dem auf dem SQL Server konfigurierten Zertifikat vertrauen. Um einem Zertifikat zu vertrauen, muss sich dieses Zertifikat in dem vertrauenswürdigen Speicher befinden. Importieren Sie das SQL Server-Zertifikat mit den folgenden Befehlen in den vertrauenswürdigen Java-Speicher:
Vor ePO 5.3.3: CD c:\Programme (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security
ePO 5.3.3 und höher: CD “C:\Programme (x86)\McAfee\ePolicy Orchestrator\Server\keystore”
"c:\Programme (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias -file-keystore cacerts.p12 -storetype pkcs12 Dabei ist der Aliasname, der verwendet wird, um das importierte Zertifikat im Schlüsselspeicher zu identifizieren. ist der lokale Pfad zum CA-Zertifikat, das zum Signieren des auf dem SQL Server konfigurierten Zertifikats verwendet wird.
HINWEIS: Das Kennwort für den Schlüsselspeicher lautet changeit.
HINWEIS: Beim obigen Beispielsbefehl wird davon ausgegangen, dass sqlserver.cer in das aktuelle Arbeitsverzeichnis platziert wird. Beispiel: c:\Programme (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security.
Importieren Sie das CA-Zertifikat in den Windows-Zertifikatspeicher "Vertrauenswürdige Stammzertifizierungsstelle". Dieser Schritt ist erforderlich, um die Zertifikatvalidierung zwischen dem lokalen Agenten-Handler und der SQL-Datenbank zu erzwingen.
Klicken Sie auf Anwenden.
Starten Sie die ePO-Dienste neu:
Klicken Sie auf Start und dann auf Ausführen, geben Sie services.msc ein, und klicken Sie auf OK.
Klicken Sie mit der rechten Maustaste auf die folgenden Dienste, und wählen Sie Neu starten aus:
Melden Sie sich bei der ePO-Konsole an, navigieren Sie zu https://:port/core/config, und testen Sie die Datenbankverbindung.
Der Datenbanktest ist erfolgreich.
(B) Erzwingen der Zertifikatvalidierung vom Remote-Agenten-Handler zur Datenbank:
Wenn der Remote-Agenten-Handler noch nicht installiert ist:
Importieren Sie das CA-Zertifikat in den Windows-Zertifikatspeicher "Vertrauenswürdige Stammzertifizierungsstelle" des Agenten-Handler-Systems.
Installieren Sie den Agenten-Handler, indem Sie auf den ePO-Server verweisen. Die Agenten-Handler-Dienste werden mit festgelegter Option für die Zertifikatvalidierung installiert. Der Agenten-Handler verwendet das CA-Zertifikat im Windows-Zertifikatspeicher, um die Verbindung mit der Datenbank herzustellen und das SQL Server-Zertifikat zu validieren.
Wenn der Remote-Agenten-Handler bereits installiert ist:
Importieren Sie das CA-Zertifikat in den Windows-Zertifikatspeicher "Vertrauenswürdige Stammzertifizierungsstelle" des Remote-Agenten-Handler-Systems.
Bearbeiten Sie C:\Programme (x86)\McAfee\Agent Handler\DB\db.properties, und legen Sie db.param.ssl=authenticate fest.
Starten Sie alle Agenten-Handler-Dienste neu:
(C) Erzwingen der Zertifikatvalidierung vom ePO-Web-Server zum Remote SQL Server für die zusammengefasste Berichterstellungskommunikation:
Importieren Sie das CA-Zertifikat, das zum Signieren des an die SQL-Datenbank des ePO-Zusammenfassungs-Servers ausgegebenen Zertifikats verwendet wird, in den standardmäßigen vertrauenswürdigen Java-Speicher. Um diesen Import auszuführen, navigieren Sie zum folgenden Verzeichnis, und verwenden Sie das Keytool, um das Zertifikat zu importieren und als vertrauenswürdig einzustufen:
Vor 5.3.3: CD c:\Programme (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security
ePO 5.3.3 und höher: CD “C:\Programme (x86)\McAfee\ePolicy Orchestrator\Server\keystore”
"c:\Programme (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias -file-keystore cacerts.p12 -storetype pkcs12 Dabei ist der Aliasname, der verwendet wird, um das importierte Zertifikat im Schlüsselspeicher zu identifizieren. ist der lokale Pfad zum CA-Zertifikat, das zum Signieren des auf dem SQL Server konfigurierten Zertifikats verwendet wird.
HINWEIS: Das Kennwort für den Schlüsselspeicher lautet changeit.
Öffnen Sie die Benutzeroberfläche für registrierte Server, und konfigurieren Sie den registrierten Server des Server-Typs ePO:
Klicken Sie auf MenüKonfigurationRegistrierte Server.
Wählen Sie den Server-Typ ePO aus.
Konfigurieren Sie alle Details der Datenbank des Remote-ePO-Servers, und wählen Sie für die SSL-Kommunikation mit dem Datenbank-Server Immer SSL verwenden und ein von einer Zertifizierungsstelle signiertes Server-Zertifikat anfordern aus.
Klicken Sie auf Speichern.
Starten Sie die ePO-Dienste neu:
Klicken Sie auf Start und dann auf Ausführen, geben Sie services.msc ein, und klicken Sie auf OK.
Klicken Sie mit der rechten Maustaste auf die folgenden Dienste, und wählen Sie Neu starten aus:
Melden Sie sich nach einem erfolgreichen Neustart aller ePO-Dienste bei der ePO-Konsole an, bearbeiten Sie den oben konfigurierten registrierten ePO-Server, und testen Sie die Verbindung.
Die Datenbankverbindung ist erfolgreich.
Importieren Sie das CA-Zertifikat, das zum Signieren des Zertifikats der SQL-Datenbank des ePO-Zusammenfassungs-Servers verwendet wird, in den standardmäßigen vertrauenswürdigen Java-Speicher in ePO. Um diesen Schritt auszuführen, navigieren Sie zum folgenden Verzeichnis, und verwenden Sie das Keytool, um das Zertifikat zu importieren und als vertrauenswürdig einzustufen:
Vor 5.3.3: CD c:\Programme (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security
Dabei ist der Aliasname, der verwendet wird, um das importierte Zertifikat im Schlüsselspeicher zu identifizieren. ist der lokale Pfad zum CA-Zertifikat, das zum Signieren des auf dem SQL Server konfigurierten Zertifikats verwendet wird.
HINWEIS: Das Kennwort für den Schlüsselspeicher lautet changeit.
Öffnen Sie die Benutzeroberfläche für registrierte Server, und konfigurieren Sie den registrierten Server des Server-Typs ePO:
Klicken Sie auf MenüKonfigurationRegistrierte Server.
Wählen Sie den Server-Typ ePO aus.
Konfigurieren Sie alle Details der Datenbank des Remote-ePO-Servers, und wählen Sie für die SSL-Kommunikation mit dem Datenbank-Server "Immer SSL verwenden" aus.
Klicken Sie auf Speichern.
Stellen Sie mithilfe von Microsoft SQL Server Management Studio eine Verbindung mit der Datenbank her, und aktualisieren Sie den Wert von db.param.ssl manuell so, dass die Authentifizierung in der URL-Spalte der OrionRegisteredServers-Tabelle erfolgt.
Starten Sie die ePO-Dienste neu:
Klicken Sie auf Start und dann auf Ausführen, geben Sie services.msc ein, und klicken Sie auf OK.
Klicken Sie mit der rechten Maustaste auf die folgenden Dienste, und wählen Sie Neu starten aus:
Melden Sie sich nach einem erfolgreichen Neustart aller ePO-Dienste bei der ePO-Konsole an, bearbeiten Sie den oben konfigurierten registrierten ePO-Server, und testen Sie die Verbindung.
Die Datenbankverbindung ist erfolgreich.
0
Starten Sie das Snap-In-Konfigurationsdienstprogramm IP-Sicherheitsrichtlinien. Dieses Dienstprogramm ist ein Snap-In-Modul für die Microsoft Management Console (MMC).
Starten Sie die MMC. Klicken Sie auf Start und dann auf Ausführen, geben Sie MMC ein, und klicken Sie auf OK.
Wenn das Snap-In-Konfigurationsdienstprogramm IP-Sicherheitsrichtlinien nicht geladen wird, verwenden Sie das folgende Verfahren, um es hinzuzufügen:
Klicken Sie im MMC-Fenster auf Datei Snap-In hinzufügen/entfernen.
Klicken Sie im Fenster "Eigenständiges Snap-In hinzufügen/entfernen" auf Hinzufügen.
Wählen Sie im Fenster "Eigenständiges Snap-In hinzufügen" die Option IP-Sicherheitsmonitor und IP-Sicherheitsrichtlinienverwaltung aus, und klicken Sie dann auf Hinzufügen.
Wählen Sie im Fenster "Computer oder Domäne auswählen" die Option Lokaler Computer aus.
In diesem Verfahren konfigurieren wir die IP-Sicherheit für den lokalen Computer.
Klicken Sie auf Fertig stellen.
Schließen Sie das Fenster "Eigenständiges Snap-In hinzufügen".
Schließen Sie das Fenster "Eigenständiges Snap-In hinzufügen/entfernen", indem Sie auf OK klicken.
Erstellen Sie eine IP-Sicherheitsrichtlinie. Eine IP-Sicherheitsrichtlinie ist eine Reihe von IPSec-Konfigurationsparametern. HINWEIS: Es kann jeweils nur eine lokale IP-Sicherheitsrichtlinie aktiv oder auf einem System zugewiesen sein. Beim Zuweisen einer anderen Richtlinie wird die Zuweisung der derzeit zugewiesenen Richtlinie automatisch aufgehoben. Verwenden Sie zum Zuweisen dieser Richtlinie zu vielen Computern eine Gruppenrichtlinie.
Klicken Sie im linken Navigationsbereich des Snap-Ins IP-Sicherheitsrichtlinienverwaltung auf IP-Sicherheitsrichtlinien auf dem lokalen Computer, um alle IP-Sicherheitsrichtlinien anzuzeigen.
Je nach Ihrer Windows-Plattform sind möglicherweise bereits IP-Sicherheitsrichtlinien konfiguriert.
Klicken Sie mit der rechten Maustaste auf IP-Sicherheitsrichtlinien auf dem lokalen Computer, und wählen Sie IP-Sicherheitsrichtlinie erstellen aus.
Der Richtlinienassistent wird mit einer Startmeldung gestartet.
Klicken Sie auf Weiter. Im Richtlinienassistenten wird das Fenster IP-Sicherheitsrichtlinienname geöffnet.
Geben Sie einen Namen in das Feld Name ein. Dieser Name wird nur für die interne Identifizierung verwendet.
Klicken Sie auf Weiter. Im Richtlinienassistenten wird das Fenster Anforderungen für sichere Kommunikation geöffnet.
Heben Sie die Auswahl des Regelkontrollkästchens Standardantwort aktivieren auf.
Klicken Sie auf Weiter. Im Richtlinienassistenten wird das Fenster Fertigstellen der IP-Sicherheitsrichtlinie geöffnet.
Aktivieren Sie das Kontrollkästchen Eigenschaften bearbeiten, falls es noch nicht aktiviert ist.
Klicken Sie auf Fertig stellen. Im Dienstprogramm IP-Sicherheitskonfiguration wird das Dialogfeld Richtlinieneigenschaften geöffnet.
Der Titel des Fensters lautet Richtlinie, wobei Name der Name der Richtlinie ist.
Fügen Sie eine IPSec-Regel zur IP-Sicherheitsrichtlinie hinzu. Der wesentliche Zweck einer Regel ist die Zuweisung von Aktionen zu Filtern. Mit einer Regel werden auch IKE-Authentifizierungsmethoden angegeben.
Wählen Sie im Dialogfeld Richtlinieneigenschaften die Option Regeln aus. Deaktivieren Sie das Kontrollkästchen Assistenten verwenden, falls es aktiviert ist, und klicken Sie auf Hinzufügen.
Im IP-Sicherheitskonfigurationsdienstprogramm wird das Dialogfeld Regeleigenschaften geöffnet, in dem eine Registerkarte für jede Kategorie der Regelkonfigurationsdaten vorhanden ist: IP-Filterliste, Filteraktion, Authentifizierungsmethoden.
Konfigurieren Sie die IKE-Authentifizierung mit einem vorinstallierten Schlüssel:
Wählen Sie im Dialogfeld Regeleigenschaften die Registerkarte Authentifizierungsmethoden aus, und klicken Sie auf Hinzufügen, um das Dialogfeld Authentifizierungsmethoden zu öffnen.
Wählen Sie zur Verwendung der IKE-Authentifizierung mit einem vorinstallierten Schlüssel Diese Zeichenfolge verwenden aus, und geben Sie den vorinstallierten Schlüssel an. Schließen Sie den Schlüssel nicht in doppelte Anführungszeichen ein. Klicken Sie auf OK.
Verschieben Sie den Typ der Authentifizierung mit vorinstallierten Schlüsseln an den Anfang.
Erstellen Sie eine IP-Filterliste:
Wählen Sie im Dialogfeld Regeleigenschaften die Registerkarte IP-Filter aus. Auf der Registerkarte IP-Filterliste wird eine Liste der bereits für IP-Sicherheitsrichtlinien definierten Filter angezeigt.
Jede Regel kann nur eine Filterliste haben, aber in der Filterliste können mehrere Filter angegeben werden.
Erstellen Sie in diesem Beispiel eine Filterliste, die einen Filter enthält.
Klicken Sie unten im Dialogfeld auf Hinzufügen. Im Dienstprogramm IP-Sicherheitskonfiguration wird das Dialogfeld IP-Filterliste geöffnet.
Geben Sie einen Namen für die Filterliste in das Feld Name ein. Dieser Name wird nur für die interne Identifizierung verwendet. Fügen Sie optional eine Beschreibung hinzu.
Deaktivieren Sie das Kontrollkästchen Assistenten verwenden, falls es aktiviert ist.
Klicken Sie auf Hinzufügen.
Wählen Sie im Dialogfeld Filtereigenschaften die Registerkarte Adressierung aus.
Verwenden Sie die Dropdown Listen, um die Adresstypen für die Quell- und Zieladressen anzugeben. Die Auswahlmöglichkeiten sind:
Eigene IP-Adresse
Beliebige IP-Adresse
Ein bestimmter DNS-Name
Eine bestimmte IP-Adresse
Ein bestimmtes IP-Subnetz
Geben Sie als Quelladresse Ihre eigene IP-Adresse ein, und geben Sie für die Zieladressen das Ziel-IP-Subnetz, z. B. 10.213.6.0/24, oder eine bestimmte IP-Adresse an.
Wählen Sie die Option Gespiegelt aus, um Datenverkehr in beide Richtungen zu sehen, und klicken Sie dann zweimal auf OK.
Wählen Sie die IP-Filterliste aus.
Erstellen Sie eine IPsec-Filteraktion. Durch das Konfigurieren von Filteraktionen für die Regel wird die für die Regel durchzuführende Aktion angegeben, z. B. Zulassen (Weiterleiten), Blockieren (Verwerfen) oder Sicherheit aushandeln (Aushandeln von IPSec-AH oder -ESP-Sicherheitszuordnungen).
Wenn Sie "Sicherheit aushandeln" auswählen, werden mit der Filteraktion auch die Parameter für IPSec-Sicherheitszuordnungsvorschläge angegeben: ESP- oder AH-Transformationen und die IPSec-SA-Schlüsselgültigkeitsdauer. Eine Regel kann nur eine Filteraktion haben, aber in der Filteraktion können mehrere IPSec-SA-Vorschläge angegeben werden.
Geben Sie die Reihenfolge für die IPSec-SA-Vorschläge an:
Wählen Sie im Dialogfeld Regeleigenschaften die Option Filteraktion aus. Auf der Registerkarte Filteraktion wird eine Liste der bereits für IP-Sicherheitsrichtlinien definierten Filteraktionen angezeigt.
Erstellen Sie in diesem Verfahren eine Filteraktion.
Deaktivieren Sie das Kontrollkästchen Assistenten verwenden, falls es aktiviert ist, und klicken Sie auf Hinzufügen. Im IP-Sicherheitskonfigurationsdienstprogramm wird das Dialogfeld Eigenschaften von Filteraktionen geöffnet.
Wählen Sie die Registerkarte Sicherheitsmethoden und dann Sicherheit aushandeln aus.
Vergewissern Sie sich, dass die folgenden Kontrollkästchen aktiviert sind:
Unsichere Kommunikat. annehmen, aber immer mit IPSec antworten
Unsichere Kommunikation mit Computern zulassen, die IPSec nicht unterstützen
Klicken Sie auf Hinzufügen. Im Dienstprogramm IP-Sicherheitskonfiguration wird das Dialogfeld Sicherheitsmethode geöffnet.
Wählen Sie Integrität und Verschlüsselung aus, und klicken Sie auf OK.
Wählen Sie diese Filteraktion aus, und klicken Sie auf Anwenden und dann auf OK.
Stellen Sie sicher, dass die Regel ebenfalls ausgewählt ist.
Konfigurieren Sie genau die gleiche IP-Sicherheitsrichtlinie auf dem SQL Server mit der ePO-Datenbank.
Klicken Sie auf beiden Systemen mit der rechten Maustaste auf die konfigurierte Richtlinie, und wählen Sie Zuweisen aus.
Verwenden Sie Wireshark, um zu bestätigen, dass der Datenverkehr zwischen dem Agenten-Handler und der Datenbank über den IPsec-Tunnel weitergeleitet wird.
1
2 3
4
WICHTIG: Diese Lösung ist nur erforderlich, wenn Sie bereits eine verschlüsselte SQL-Verbindung für ePO konfiguriert, aber dann ein Upgrade, einen Patch oder einen HotFix angewendet haben, mit dem die von ePO verwendete Version von Java erhöht wird.
(A) Importieren des SQL Server-Zertifikats in den vertrauenswürdigen Java-Speicher:
Importieren Sie das SQL Server-Zertifikat mit den folgenden Befehlen in den vertrauenswürdigen Java-Speicher:
Vor 5.3.3: CD c:\Programme (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security
ePO 5.3.3 und höher: CD “C:\Programme (x86)\McAfee\ePolicy Orchestrator\Server\keystore”
"c:\Programme (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias -file -keystore cacerts.p12 -storetype pkcs12 Dabei istder Aliasname, der verwendet wird, um das importierte Zertifikat im Schlüsselspeicher zu identifizieren. ist der lokale Pfad zum CA-Zertifikat, das zum Signieren des auf dem SQL Server konfigurierten Zertifikats verwendet wird.
HINWEIS: Das Kennwort für den Schlüsselspeicher lautet changeit.
HINWEIS: Beim obigen Beispielsbefehl wird davon ausgegangen, dass sqlserver.cer in das aktuelle Arbeitsverzeichnis platziert wird. Beispiel: c:\Programme (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security.
Importieren Sie das CA-Zertifikat in den Windows-ZertifikatspeicherVertrauenswürdige Stammzertifizierungsstelle.
HINWEIS: Dieser Schritt ist erforderlich, um die Zertifikatvalidierung zwischen dem lokalen Agenten-Handler und der SQL-Datenbank zu erzwingen.
Klicken Sie auf Anwenden.
Starten Sie die ePO-Dienste neu:
Klicken Sie auf Start und dann auf Ausführen, geben Sie services.msc ein, und klicken Sie auf OK.
Klicken Sie mit der rechten Maustaste auf die folgenden Dienste, und wählen Sie Neu starten aus:
Melden Sie sich bei der ePO-Konsole an, navigieren Sie zu https://:port/core/config, und testen Sie die Datenbankverbindung.
Der Datenbanktest ist erfolgreich.
(B) Importieren der CA-Zertifikate in den vertrauenswürdigen Java-Speicher auf dem Zusammenfassungs-Server – nur erforderlich, wenn der Zusammenfassungsbericht konfiguriert ist:
Importieren Sie das CA-Zertifikat, das zum Signieren des an die SQL-Datenbank des ePO-Zusammenfassungs-Servers ausgegebenen Zertifikats verwendet wird, in den standardmäßigen vertrauenswürdigen Java-Speicher. Um diesen Schritt auszuführen, navigieren Sie zum folgenden Verzeichnis, und verwenden Sie das Keytool, um das Zertifikat zu importieren und als vertrauenswürdig einzustufen:
Vor 5.3.3: CD c:\Programme (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security
Dabei ist der Aliasname, der verwendet wird, um das importierte Zertifikat im Schlüsselspeicher zu identifizieren. ist der lokale Pfad zum CA-Zertifikat, das zum Signieren des auf dem SQL Server konfigurierten Zertifikats verwendet wird.
HINWEIS: Das Kennwort für den Schlüsselspeicher lautet changeit.
Starten Sie die ePO-Dienste neu:
Klicken Sie auf Start und dann auf Ausführen, geben Sie services.msc ein, und klicken Sie auf OK.
Klicken Sie mit der rechten Maustaste auf die folgenden Dienste, und wählen Sie Neu starten aus:
Melden Sie sich nach einem erfolgreichen Neustart aller ePO-Dienste bei der ePO-Konsole an, bearbeiten Sie den oben konfigurierten registrierten ePO-Server, und testen Sie die Verbindung.
Die Datenbankverbindung ist erfolgreich.
5
7
Themenbezogene Informationen
Details zum Erstellen einer Zertifizierungsstelle, einer Zwischenzertifizierungsstelle und eines vom Computer ausgestellten Zertifikats finden Sie unter http://xca.sourceforge.net/xca-14.html.
Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.