- Accedere alla console di ePO.
- Accedere alla pagina Configura impostazioni del database :
https://<ePO_server_name>:port/core/config - Nella sezione comunicazione SSL con il server di database , selezionare utilizza sempre SSL e richiedere un certificato del server con firma CA.
NOTA:Il testo selezionabile visualizzato varia in base alla versione di ePO installata.
- Verificare la convalida del certificato facendo clic su Verifica connessione. Il messaggio di risposta alla connessione viene visualizzato come
"Test failed: Network error IOException: Certificate not verified."
Nota: le versioni future di ePO potrebbero visualizzare questo errore come"Test failed: Network error IOException: bad_certificate(42)."
- Fare clic su Applica.
- Per una connessione corretta, l'archivio dei certificati attendibili Java predefinito deve considerare affidabile il certificato configurato in SQL Server. Per essere considerato affidabile, il certificato deve trovarsi nell'archivio dei certificati attendibili. Importare il certificato di SQL Server nell'archivio dei certificati attendibili di Java utilizzando i comandi seguenti:
- ePO 5.10 :
CD c:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts -storetype jks
Dove'SOME_UNIQUE_NAME' è il nome alias utilizzato per identificare il certificato importato nel keystore. CA_CERTIFICATE è il percorso locale del certificato CA utilizzato per firmare il certificato configurato nel SQL Server.
NOTA:La password keystore èchangeit .
Esempio:"c:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias MySQLServerCertificate -file sqlserver.cer -keystore cacerts
NOTA:Il comando di esempio riportato sopra presuppone chesqlserver.cer venga inserito nella directory di lavoro corrente. Ad esempio,c:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security .
- ePO 5.3.3 e versioni successive:
CD C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\keystore
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts.p12 -storetype pkcs12
- ePO 5.3.2 e versioni precedenti:
CD C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts
- ePO 5.10 :
- Importare il certificato CA nell'archivio certificati di Windows, autorità di certificazione radice attendibile. Questo passaggio è necessario per imporre la convalida del certificato tra gestore degli agent e il database SQL.
- Fare clic su Applica.
- Riavviare i servizi ePO:
- Fare clic su Start, Esegui, digitare
services.msc e fare clic su OK. - Fare clic con il pulsante destro del mouse sui servizi seguenti e selezionare Riavvia:
McAfee ePolicy Orchestrator x.x.x Application Server
McAfee ePolicy Orchestrator x.x.x Server
McAfee ePolicy Orchestrator x.x.x Event Parser
- Fare clic su Start, Esegui, digitare
- Accedere alla console ePO, navigare
to https://<ePO_server_name>:port/core/config e verificare la connessione al database.
La verifica del database viene eseguita correttamente.
(B) Imporre la convalida del certificato dal gestore degli agent remoto al database:
- Se il gestore degli agent remoto non è già installato:
- Importare il certificato CA nell'archivio certificati di Windows, autorità di certificazione radice attendibile del sistema di gestione degli agent.
- Installare il gestore degli agent indirizzando il file al server ePO. I servizi del gestore degli agent sono installati con il set di opzioni di convalida del certificato. Il gestore degli agent utilizza il certificato CA nell'archivio certificati di Windows per connettersi al database e convalidare il certificato di SQL Server.
- Se il gestore degli agent remoto è già installato:
- Importare il certificato CA nell'archivio certificati di Windows, autorità di certificazione radice attendibile del sistema di gestione degli agent remoti.
- Modificare
C:\Program Files (x86)\McAfee\Agent Handler\DB\db.properties e impostare ildb.param.ssl=authenticate . - Riavviare tutti i servizi del gestore degli agent.
- Importare il certificato CA utilizzato per firmare il certificato emesso al database SQL di rollup ePO nell'archivio predefinito Java trust. Per importare, passare alla directory seguente e utilizzare lo strumento per importare il certificato e considerare affidabile il certificato:
- ePO 5.10 :
CD C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts -storetype jks
Dove 'SOME_UNIQUE_NAME' è il nome alias utilizzato per identificare il certificato importato nel keystore. CA_CERTIFICATE è il percorso locale del certificato CA utilizzato per firmare il certificato configurato nel SQL Server.
NOTA:La password keystore èchangeit .
- ePO 5.3.3 e versioni successive:
CD C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\keystore
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts.p12 -storetype pkcs12
- ePO 5.3.2 e versioni precedenti:
CD C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts
- ePO 5.10 :
- Aprire l'interfaccia utente Server registrato e configurare il server registrato in base al server di ePO:
- Fare clic su Menu, Configurazione, Server registrati.
- Selezionare un tipo di server di ePO.
- Configurare tutti i dettagli del database di ePO remoto e per la comunicazione SSL con il server di database. Selezionare utilizza sempre SSL e richiedere un certificato del server con firma CA.
- Fare clic su Salva.
- Riavviare i servizi ePO:
- Fare clic su Start, Esegui, digitare
services.msc e fare clic su OK. - Fare clic con il pulsante destro del mouse sui servizi seguenti e selezionare Riavvia:
McAfee ePolicy Orchestrator x.x.x Application Server
McAfee ePolicy Orchestrator x.x.x Server
McAfee ePolicy Orchestrator x.x.x Event Parser
- Dopo aver riavviato correttamente tutti i servizi di ePO, accedere alla console ePO, modificare il server registrato di ePO appena configurato e verificare la connessione.
La connessione al database funziona correttamente.
- Fare clic su Start, Esegui, digitare