- 登录到 ePO 控制台。
- 转至配置数据库设置网页:
https:// :port/core/config - 在与数据库服务器进行 SSL 通信部分,选择始终使用 SSL 并且需要 CA 签名服务器证书.
注意:显示的可选择文本因所安装的 ePO 版本而异。
- 通过单击 以下方法验证证书测试连接. 连接响应消息显示为
"Test failed: Network error IOException: Certificate not verified."
注意:以后的 ePO 版本可能会显示该错误"Test failed: Network error IOException: bad_certificate(42)."
- 单击 应用。
- 要成功进行连接,默认的 Java 信任存储区必须信任在 SQL Server 中配置的证书。 要信任某个证书,该证书必须在信任存储区中。 通过以下SQL Server将 Java 证书导入到 Java 信任存储:
- Epo5.10:
CD c:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts -storetype jks
位置'SOME_UNIQUE_NAME' 是别名,用于识别密钥存储区中导入的证书。 CA_CERTIFICATE 是证书的本地CA 证书,用于对策略上配置的证书SQL Server。
注意: 密钥存储库的密码是changeit 。
例子:"c:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias MySQLServerCertificate -file sqlserver.cer -keystore cacerts
注意:上述示例命令假设sqlserver.cer 放置在当前工作目录中。 例如,c:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security .
- Epo5.3.3及更高版本:
CD C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\keystore
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts.p12 -storetype pkcs12
- Epo5.3.2及更早版本:
CD C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts
- Epo5.10:
- 将 CA 证书导入 Windows 证书存储区,即“受信任的根证书颁发机构”。 要在本地代理处理程序和 SQL 数据库之间强制实施证书验证,需要执行此步骤。
- 单击 应用。
- 重新启动 ePO 服务:
- 单击 开始,运行,键入
services.msc , 然后单击 确定。 - 右键单击以下每个ePO服务,然后选择 重启:
McAfee ePolicy Orchestrator x.x.x Application Server
McAfee ePolicy Orchestrator x.x.x Server
McAfee ePolicy Orchestrator x.x.x Event Parser
- 单击 开始,运行,键入
- 登录到 ePO 控制台,导航
to https:// ,然后测试数据库连接。:port/core/config
数据库测试成功完成。
(B) 从远程代理处理程序将证书验证强制实施到数据库:
- 如果尚未安装远程代理处理程序:
- 将 CA 证书导入 Windows 证书存储区,即代理处理程序系统的“受信任的根证书颁发机构”。
- 将代理处理程序引导至代理处理程序,以ePO 服务器。 安装代理处理程序服务时会设置证书验证选项。 代理处理程序使用CA 证书证书Windows中的证书以连接到数据库并验证SQL Server证书。
- 如果已安装远程代理处理程序:
- 将 CA 证书导入 Windows 证书存储区,即远程代理处理程序系统的“受信任的根证书颁发机构”。
- 编辑
C:\Program Files (x86)\McAfee\Agent Handler\DB\db.properties 并设置db.param.ssl=authenticate . - 重新启动所有代理处理程序服务。
- 将CA 证书为汇总 ePO SQL 数据库签发的证书签名所使用的证书导入到默认 Java存储库。 要导入,请导航至以下目录并使用 keytool 导入证书并信任证书:
- Epo5.10:
CD C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts -storetype jks
位置 "SOME_UNIQUE_NAME' 是别名,用于识别密钥存储区中导入的证书。 CA_CERTIFICATE是证书的本地CA 证书,用于对策略上配置的证书SQL Server。
注意:密钥存储库的密码是changeit .
- Epo5.3.3及更高版本:
CD C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\keystore
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts.p12 -storetype pkcs12
- Epo5.3.2及更早版本:
CD C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\lib\security
"C:\Program Files (x86)\McAfee\ePolicy Orchestrator\JRE\bin\keytool.exe" -import -alias SOME_UNIQUE_NAME -file CA_CERTIFICATE -keystore cacerts
- Epo5.10:
- 打开“已注册的服务器”用户界面,然后配置服务器类型为 ePO 的已注册的服务器:
- 点击菜单,配置,已注册的服务器。
- 选择服务器类型 ePO。
- 配置远程 ePO 数据库的所有详细信息,以及用于与数据库服务器进行 SSL 通信。 选择始终使用 SSL 并且需要 CA 签名服务器证书。
- 单击 保存。
- 重新启动 ePO 服务:
- 单击 开始,运行,键入
services.msc , 然后单击 确定。 - 右键单击以下每个ePO服务,然后选择 重启:
McAfee ePolicy Orchestrator x.x.x Application Server
McAfee ePolicy Orchestrator x.x.x Server
McAfee ePolicy Orchestrator x.x.x Event Parser
- 成功地重新启动所有 ePO 服务后,登录到 ePO 控制台,编辑上面配置的 ePO 已注册的服务器,然后测试连接。
数据库连接成功。
- 单击 开始,运行,键入