- Inicie sesión en la consola de ePO.
- Vaya a la página configurar base de datos :
https://<ePO_server_name>:port/core/config - En la sección comunicación SSL con servidor de base de datos , seleccione usar siempre SSL y requerir un certificado de servidor firmado por CA.
NOTA: El texto seleccionable que se muestra varía en función de la versión de ePO instalada.
- Compruebe la validación del certificado haciendo clic en probar conexión. El mensaje de respuesta de conexión aparece como
"Test failed: Network error IOException: Certificate not verified."
Nota: las versiones futuras de ePO podrían mostrar este error como"Test failed: Network error IOException: bad_certificate(42)."
- Haga clic en Aplicar.
- Para que la conexión se realice correctamente, el almacén de confianza de Java predeterminado debe confiar en el certificado configurado en SQL Server. Para confiar en un certificado, dicho certificado debe estar en el almacén de confianza. Importe el certificado de SQL Server al almacén de confianza de Java usando los siguientes comandos:
- ePO 5.10 :
CD c:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts -storetype jks
Donde'SOME_UNIQUE_NAME' es el nombre de alias utilizado para identificar el certificado importado en el almacén de claves. CA_CERTIFICATE es la ruta local del certificado de CA que se utiliza para firmar el certificado configurado en la SQL Server.
NOTA: La contraseña del almacén de claves eschangeit .
Ejemplo:"c:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias MySQLServerCertificate -file sqlserver.cer -keystore cacerts
NOTA: El comando de ejemplo anterior asume quesqlserver.cer se encuentra en el directorio de trabajo actual. Por ejemplo,c:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security .
- ePO 5.3.3 y versiones posteriores:
CD C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\keystore
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts.p12 -storetype pkcs12
- ePO 5.3.2 y versiones anteriores:
CD C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts
- ePO 5.10 :
- Importe el certificado de CA al almacén de certificados de Windows (Entidad de certificación raíz de confianza). Este paso es necesario para implementar la validación de certificados entre el Controlador de agentes local y la base de datos de SQL.
- Haga clic en Aplicar.
- Reinicie los servicios de ePO:
- Haga clic en Inicio, Ejecutar, escriba
services.msc y, a continuación, haga clic en Aceptar. - Haga clic con el botón derecho en los siguientes servicios y seleccione reiniciar:
McAfee ePolicy Orchestrator x.x.x Application Server
McAfee ePolicy Orchestrator x.x.x Server
McAfee ePolicy Orchestrator x.x.x Event Parser
- Haga clic en Inicio, Ejecutar, escriba
- Inicie sesión en la consola de ePO, navegue
to https://<ePO_server_name>:port/core/config y pruebe la conexión de la base de datos.
La prueba de la base de datos se ha realizado correctamente.
(B) Implemente la validación de certificados desde el controlador de agentes remoto a la base de datos:
- Si aún no está instalado el controlador de agentes remoto:
- Importe el certificado de CA al almacén de certificados de Windows (Entidad de certificación raíz de confianza) del sistema del controlador de agentes.
- Instale el Controlador de agentes mediante la dirección del servidor de ePO. Se instalan los servicios del controlador de agentes con la opción de validación de certificados activada. El controlador de agentes utiliza el certificado de CA en el almacén de certificados de Windows para conectarse a la base de datos y validar el certificado de SQL Server.
- Si ya está instalado el controlador de agentes remoto:
- Importe el certificado de CA al almacén de certificados de Windows (Entidad de certificación raíz de confianza) del sistema del controlador de agentes remoto.
- Edite
C:\Program Files (x86)\McAfee\Agent Handler\DB\db.properties y establezca ladb.param.ssl=authenticate . - Reinicie todos los servicios del controlador de agentes.
- Importe el certificado de CA utilizado para firmar el certificado emitido para la base de datos SQL de acumulación de ePO en el almacén de confianza de Java predeterminado. Para importar, navegue hasta el siguiente directorio y utilice el keytool para importar el certificado y confiar en el certificado:
- ePO 5.10 :
CD C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts -storetype jks
Donde 'SOME_UNIQUE_NAME' es el nombre de alias utilizado para identificar el certificado importado en el almacén de claves. CA_CERTIFICATE es la ruta local del certificado de CA que se utiliza para firmar el certificado configurado en la SQL Server.
NOTA: La contraseña del almacén de claves eschangeit .
- ePO 5.3.3 y versiones posteriores:
CD C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\keystore
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts.p12 -storetype pkcs12
- ePO 5.3.2 y versiones anteriores:
CD C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts
- ePO 5.10 :
- Abra la interfaz de usuario del servidor registrado y configure el servidor registrado del tipo de servidor ePO:
- Haga clic en Menú, Configuración, Servidores registrados.
- Seleccione un tipo de servidor de ePO.
- Configure todos los detalles de la base de datos de ePO remota y la comunicación SSL con el servidor de base de datos. Seleccione usar siempre SSL y requerir un certificado de servidor firmado por CA.
- Haga clic en Guardar.
- Reinicie los servicios de ePO:
- Haga clic en Inicio, Ejecutar, escriba
services.msc y, a continuación, haga clic en Aceptar. - Haga clic con el botón derecho en los siguientes servicios y seleccione reiniciar:
McAfee ePolicy Orchestrator x.x.x Application Server
McAfee ePolicy Orchestrator x.x.x Server
McAfee ePolicy Orchestrator x.x.x Event Parser
- Tras reiniciar todos los servicios de ePO, inicie sesión en la consola de ePO, edite el servidor registrado de ePO configurado anteriormente y pruebe la conexión.
La conexión con la base de datos se ha realizado correctamente.
- Haga clic en Inicio, Ejecutar, escriba