- ePO コンソールにログオンしてください。
- Configure Database Settings ページに移動します:
https:// :port/core/config - SSL communication with database server の項目で、Always use SSL and require CA-signed server certificate を選択してください。
注意: 表示される選択可能なテキストは、インストールされている ePO のバージョンによって異なります。
- Test Connection をクリックして、証明書の有効性を確認します。 接続応答メッセージは、
"Test failed: Network error IOException: Certificate not verified." と表示されます。
注意: 今後のePOのバージョンでは、このエラーが"Test failed: Network error IOException: bad_certificate(42)." と表示される可能性があります。
- 適用をクリックします。
- 正しく接続するためには、デフォルトの Java 信頼ストアが、SQL Server で設定されている証明書を信頼する必要があります。 証明書を信頼するには、その証明書を信頼ストアに入れる必要があります。 次のコマンドを使用して、SQL Server 証明書を Java trust store にインポートします:
- ePO 5.10:
CD c:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts -storetype jks
ここで、'SOME_UNIQUE_NAME' は、鍵ストアでインポートした証明書を識別するために使用するエイリアス名である。 CA_CERTIFICATE は SQL Server に設定された証明書に署名するために使用される CA 証明書のローカルパスです。
注意: keystore のパスワードはchangeit です。
例:"c:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias MySQLServerCertificate -file sqlserver.cer -keystore cacerts
例: 上記のコマンド例では、sqlserver.cer が現在の作業ディレクトリに置かれていると仮定しています。 例、c:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security .
- ePO 5.3.3 以降:
CD C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\keystore
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts.p12 -storetype pkcs12
- ePO 5.3.2 以前:
CD C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts
- ePO 5.10:
- Windows 証明書ストア (信頼されているルート証明機関) に CA 証明書をインポートします。 この手順は、ローカル Agent ハンドラーと SQL データベース間で証明書の検証を施行するために必要です。
- 適用をクリックします。
- ePO サービスを再起動します:
- スタート、ファイル名を指定して実行 の順にクリックし、
services.msc と入力して OK をクリックします。 - 以下のサービスを右クリックし、再起動を選択します:
McAfee ePolicy Orchestrator x.x.x Application Server
McAfee ePolicy Orchestrator x.x.x Server
McAfee ePolicy Orchestrator x.x.x Event Parser
- スタート、ファイル名を指定して実行 の順にクリックし、
- ePO コンソールにログオンし、
to https:// に移動し、データベース接続をテストします。:port/core/config
データベース テストに成功します。
(B) リモート Agent ハンドラーからデータベースへの証明書の検証を施行します。
- リモート エージェント ハンドラーがまだインストールされていない場合:
- エージェント ハンドラー システムの Windows 証明書ストア (信頼されているルート証明機関) に CA 証明書をインポートします。
- Agent ハンドラーを ePO サーバーに送信してインストールします。 エージェント ハンドラー サービスがインストールされ、証明書検証オプションが設定されます。 Agent ハンドラーは、Windows 証明書ストアの CA 証明書を使用してデータベースに接続し、SQL Server 証明書を検証します。
- リモート エージェント ハンドラーがすでにインストールされている場合:
- リモート エージェント ハンドラー システムの Windows 証明書ストア (信頼されているルート証明機関) に CA 証明書をインポートします。
C:\Program Files (x86)\McAfee\Agent Handler\DB\db.properties を編集し、db.param.ssl=authenticate をセットします。- すべてのエージェント ハンドラー サービスを再起動します。
- ロールアップ ePO SQL データベースに発行された証明書の署名に使用する CA 証明書をデフォルトの Java トラストストアにインポートします。 インポートするには、次のディレクトリに移動し、keytool を使用して証明書をインポートし、証明書を信頼します。
- ePO 5.10:
CD C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts -storetype jks
ここで 'SOME_UNIQUE_NAME' は鍵ストアでインポートした証明書を識別するために使用するエイリアス名である。 CA_CERTIFICATE は SQL Server に設定された証明書に署名するために使用される CA 証明書のローカルパスです。
注意: keystore のパスワードはchangeit です。
- ePO 5.3.3 以降:
CD C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\keystore
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts.p12 -storetype pkcs12
- ePO 5.3.2 以前:
CD C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts
- ePO 5.10:
- 登録済みサーバーの UI を開き、サーバー タイプ ePO の登録済みサーバーを設定します。
- Menu、Configuration、Registered Servers をクリックします。
- ePO のサーバー タイプを選択します。
- リモート ePO データベースと、データベースサーバーとの SSL 通信のすべての詳細を設定します。 ]SSL を常に使用し、CA 署名されたサーバー証明書を要求する.
- Save をクリックします。
- ePO サービスを再起動します:
- スタート、ファイル名を指定して実行 の順にクリックし、
services.msc と入力して OK をクリックします。 - 以下のサービスを右クリックし、再起動 を選択します:
McAfee ePolicy Orchestrator x.x.x Application Server
McAfee ePolicy Orchestrator x.x.x Server
McAfee ePolicy Orchestrator x.x.x Event Parser
- すべての ePO サービスの再起動に成功したら、ePO コンソールにログオンし、上記で設定した ePO Registered Server を編集して、接続をテストします。
データベース接続に成功しました。
- スタート、ファイル名を指定して実行 の順にクリックし、