- Connectez-vous à la console ePO.
- Accédez à la page configurer les paramètres de base de données :
https://<ePO_server_name>:port/core/config - Dans la section communication SSL avec le serveur de base de données , sélectionnez toujours utiliser SSL et exiger un certificat de serveur signé par une autorité de certification.
REMARQUE : Le texte sélectionnable varie en fonction de la version d’ePO installée.
- Vérifiez la validation du certificat en cliquant sur tester la connexion. Le message de réponse à la connexion s’affiche en tant que
"Test failed: Network error IOException: Certificate not verified."
Remarque : les versions ultérieures d’EPO peuvent afficher cette erreur en tant que"Test failed: Network error IOException: bad_certificate(42)."
- Cliquez sur Appliquer.
- Pour que la connexion réussisse, le magasin d'approbations Java par défaut doit approuver le certificat configuré dans le serveur SQL. Pour approuver un certificat, ce certificat doit être contenu dans le magasin d'approbations. Importez le certificat de serveur SQL dans le magasin d'approbations Java à l'aide des commandes suivantes :
- ePO 5.10 :
CD c:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts -storetype jks
Où'SOME_UNIQUE_NAME' est le nom alias utilisé pour identifier le certificat importé dans la Banque de clés. CA_CERTIFICATE est le chemin d’accès local au certificat d’une autorité de certification qui est utilisé pour signer le certificat configuré sur le SQL Server.
REMARQUE : Le mot de passe de la Banque de clés estchangeit .
Exemple :"c:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias MySQLServerCertificate -file sqlserver.cer -keystore cacerts
REMARQUE : L’exemple de commande ci-dessus suppose qu'sqlserver.cer il est placé dans le répertoire de travail actuel. Par exemple,c:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security .
- ePO 5.3.3 et versions ultérieures :
CD C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\keystore
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts.p12 -storetype pkcs12
- ePO 5.3.2 et versions antérieures :
CD C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts
- ePO 5.10 :
- Importez le certificat d'une autorité de certification dans le magasin de certificats Windows, aussi appelé Trusted Root Certificate Authority. Cette étape est nécessaire pour mettre en œuvre la validation des certificats entre le gestionnaire d'agents local et la base de données SQL.
- Cliquez sur Appliquer.
- Redémarrez les services ePO :
- Cliquez sur Démarrer, exécuter, saisissez
services.msc , puis cliquez sur OK. - Cliquez avec le bouton droit sur les services suivants, puis sélectionnez redémarrer:
McAfee ePolicy Orchestrator x.x.x Application Server
McAfee ePolicy Orchestrator x.x.x Server
McAfee ePolicy Orchestrator x.x.x Event Parser
- Cliquez sur Démarrer, exécuter, saisissez
- Connectez-vous à la console ePO, accédez
to https://<ePO_server_name>:port/core/config à la connexion de base de données et testez-la.
Le test de la base de données est réussi.
(B) Mettez en œuvre la validation de certificats depuis le gestionnaire d'agents distant vers la base de données :
- Si le gestionnaire d'agents distant n'est pas déjà installé :
- Importez le certificat d'une autorité de certification dans le magasin de certificats Windows, aussi appelé Trusted Root Certificate Authority, du système de gestionnaire d'agents.
- Installez le gestionnaire d'agents en l’orientant vers le serveur ePO. Les services de gestionnaire d'agents sont installés avec l'option de validation de certificats définie. Le gestionnaire d'agents utilise le certificat d'une autorité de certification dans le magasin de certificats Windows pour se connecter à la base de données et valider le certificat de serveur SQL.
- Si le gestionnaire d'agents distant est déjà installé :
- Importez le certificat d'une autorité de certification dans l'autorité de certification racine approuvée du système de gestionnaires d'agents distants du magasin de certificats Windows.
- Modifiez
C:\Program Files (x86)\McAfee\Agent Handler\DB\db.properties et définissezdb.param.ssl=authenticate . - Redémarrez tous les services des gestionnaires d'agents.
- Importez le certificat d’autorité de certification utilisé pour signer le certificat délivré à la base de données SQL ePO ROLLUP dans la Banque d’approbations Java par défaut. Pour importer, accédez au répertoire suivant et utilisez l’outil keytool pour importer le certificat et approuver le certificat :
- ePO 5.10 :
CD C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts -storetype jks
Où'SOME_UNIQUE_NAME' est le nom alias utilisé pour identifier le certificat importé dans la Banque de clés. CA_CERTIFICATE est le chemin d’accès local au certificat d’une autorité de certification qui est utilisé pour signer le certificat configuré sur le SQL Server.
REMARQUE : Le mot de passe de la Banque de clés estchangeit .
- ePO 5.3.3 et versions ultérieures :
CD C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\keystore
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts.p12 -storetype pkcs12
- ePO 5.3.2 et versions antérieures :
CD C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts
- ePO 5.10 :
- Ouvrez l'interface utilisateur du serveur enregistré et configurez le serveur enregistré du type de serveur ePO :
- Cliquez sur Menu, Système, Serveurs enregistrés.
- Sélectionnez le type de serveur ePO.
- Configurez tous les détails de la base de données ePO distante et la communication SSL avec le serveur de base de données. Sélectionnez toujours utiliser SSL et exiger un certificat de serveur signé par une autorité de certification.
- Cliquez sur Enregistrer.
- Redémarrez les services ePO :
- Cliquez sur Démarrer, exécuter, saisissez
services.msc , puis cliquez sur OK. - Cliquez avec le bouton droit sur les services suivants, puis sélectionnez redémarrer:
McAfee ePolicy Orchestrator x.x.x Application Server
McAfee ePolicy Orchestrator x.x.x Server
McAfee ePolicy Orchestrator x.x.x Event Parser
- Après un redémarrage réussi de tous les services ePO, connectez-vous à la console ePO, modifiez le serveur enregistré ePO configuré ci-dessus, puis testez la connexion.
La connexion à la base de données est réussie.
- Cliquez sur Démarrer, exécuter, saisissez