En tant que meilleure pratique, connectez les serveurs TIE et ATD à l’aide d’un réseau interne sécurisé.
La soumission d’échantillon de fichier du serveur TIE à ATD utilise une connexion TLS (Transport Layer Security). Pour mettre en œuvre l’authentification sur la connexion TLS, procédez comme suit :
- Chargez les certificats signés par l’autorité de certification publique (AC) vers ATD.
- Activer la Mise en œuvre de la validation des certificats stratégie sur le serveur TIE.
Pour obtenir la liste des autorités de certification approuvées, reportez-vous à la section
OpenJDK 1.8 documentation à l’adresse :
http://openjdk.java.net/.
Pour obtenir des instructions sur le chargement de certificats dans ATD, reportez-vous à la section « charger le certificat du serveur Web et le certificat CA » dans le
Guide produit de Advanced Threat Defense.
Veuillez Comme alternative à l’utilisation d’une autorité de certification publique, le serveur TIE vous permet d’installer des certificats d’autorité de certification approuvés localement ou d’utiliser les certificats fournis via ATD par défaut.
Suivez les étapes de cet article dans les cas suivants :
- Vos serveurs ATD utilisent le certificat autosigné fourni par défaut dans ATD.
- Vos serveurs ATD utilisent un certificat signé par une autorité de certification personnalisée.
Sont
existant Suivez la procédure décrite dans cet article si vos serveurs ATD utilisent un certificat signé par une autorité de certification publique, reconnu par Java en tant que tel.
Avant de commencer :
- Exécutez les commandes suivantes comme suit : root.
- Exécutez les commandes suivantes avant de vous activez l’option "mettre en œuvre la validation de certificat" dans la stratégie ATD, puis Ne pas Redémarrez le serveur TIE.
- Si vous disposez d’une configuration de serveur secondaire, répétez les étapes suivantes dans les instances principale et secondaire de vos appliances.
Veuillez A partir de la version 2.1.0 du Serveur TIE, la convention d'affectation de noms pour les opérations Maître et Esclave a changé pour Primaire et Secondaire. Par exemple :
Maître devient Primaire
Esclave devient Secondaire
Les précédentes versions du Serveur TIE conservent l'appellation Maître/Esclave d'origine.
- Le ATD Java du magasin approbations se trouve à l’adresse : /var/McAfee/tieserver/keystore/atd_servers_truststore.jks
Mise en œuvre de la validation des certificats
- Téléchargez les certificats du serveur ATD que vous avez configuré dans les stratégies :
echo | openssl s_client -connect :443 2>/dev/null | openssl x509 -outform der -out /var/McAfee/tieserver/keystore/atd_server_1.der
- Ajoutez les certificats ATD au Java du magasin approbations :
yes | /opt/McAfee/tieserver/jre/bin/keytool -import -file /var/McAfee/tieserver/keystore/atd_server_1.der -alias atd_server_1 -storepass -noprompt -keystore /var/McAfee/tieserver/keystore/atd_servers_truststore.jks
- Modifiez la propriété et les autorisations sur ATD du magasin approbations :
chown mfetie:mfetie /var/McAfee/tieserver/keystore/atd_servers_truststore.jks; chmod 600 /var/McAfee/tieserver/keystore/atd_servers_truststore.jks
- Optionnel Vérifiez que les certificats sont correctement ajoutés :
/opt/McAfee/tieserver/jre/bin/keytool -keystore /var/McAfee/tieserver/keystore/atd_servers_truststore.jks -list -v -storepass -noprompt
- Activer la Mise en œuvre de la validation des certificats dans l’onglet Stratégie ATD.
- Émettez une Réactiver les agents qui mettent en œuvre des stratégies sous ePolicy Orchestrator pour les serveurs TIE.
Veuillez Si le ATD Java du magasin approbations est placé dans un emplacement autre que
/var/McAfee/tieserver/keystore/atd_servers_truststore.jks, vous devez mettre à jour la propriété
atd.certificates.keyStore.file au
/opt/McAfee/tieserver/conf/tie.properties pour refléter le nouvel emplacement.