Como prática recomendada, conecte os servidores TIE e ATD usando uma rede interna protegida.
O envio de amostra de arquivo do servidor TIE para o ATD usa uma conexão TLS (Transport Layer Security). Para impor a autenticação na conexão TLS, faça o seguinte:
- Faça upload dos certificados assinados pela autoridade de certificação pública (CA) para ATD.
- Ativar o Impor validação de certificado política no servidor TIE.
Para obter uma lista de autoridades de certificação confiáveis, consulte o
OpenJDK 1.8 documentação em:
http://openjdk.java.net/.
Para obter instruções sobre como fazer upload de certificados para o ATD, consulte a seção "fazer upload do certificado do servidor Web e do certificado da CA" no
Guia de produto do Advanced Threat Defense.
INDICADO Como alternativa para o uso de uma CA pública, o servidor TIE permite que você instale certificados de autoridade de certificação confiáveis localmente ou use os certificados fornecidos por meio do ATD por padrão.
Siga as etapas neste artigo se:
- Os servidores ATD estão usando o certificado autoassinado fornecido, por padrão, em ATD.
- Os servidores ATD estão usando um certificado assinado por uma autoridade de certificação personalizada.
Fazê
válida Siga as etapas neste artigo se os servidores ATD estiverem usando um certificado assinado por uma autoridade de certificação pública, reconhecido por Java como tal.
Antes de começar:
- Execute os comandos a seguir como root.
- Execute os comandos a seguir antes de você Ative a opção ' impor validação de certificado ' na política do ATD e Não Reinicie o servidor TIE.
- Se você tiver uma configuração de servidor primário-secundário, repita as etapas a seguir no primário e em todas as instâncias secundárias de seus appliances.
INDICADO A partir da versão 2.1.0 do TIE Server, a convenção de nomenclatura das operações Principal e Escravo foram alteradas para Principal e Secundária. Por exemplo:
Principal permaneceu Principal
Escravo tornou-se Secundária
As versões anteriores do TIE Server mantêm as designações originais de Principal/Escravo.
- O ATD Java trustStore está em: /var/McAfee/tieserver/keystore/atd_servers_truststore.jks
Impor validação de certificado
- Faça download dos certificados do ATD Server que você configurou nas políticas:
echo | openssl s_client -connect :443 2>/dev/null | openssl x509 -outform der -out /var/McAfee/tieserver/keystore/atd_server_1.der
- Adicione os certificados do ATD ao trustStore de Java:
yes | /opt/McAfee/tieserver/jre/bin/keytool -import -file /var/McAfee/tieserver/keystore/atd_server_1.der -alias atd_server_1 -storepass -noprompt -keystore /var/McAfee/tieserver/keystore/atd_servers_truststore.jks
- Alterar propriedade e permissões no ATD trustStore:
chown mfetie:mfetie /var/McAfee/tieserver/keystore/atd_servers_truststore.jks; chmod 600 /var/McAfee/tieserver/keystore/atd_servers_truststore.jks
- Opcion Verifique se os certificados foram adicionados corretamente:
/opt/McAfee/tieserver/jre/bin/keytool -keystore /var/McAfee/tieserver/keystore/atd_servers_truststore.jks -list -v -storepass -noprompt
- Ativar o Impor validação de certificado na guia de política do ATD.
- Emitir um Ativar agentes impondo políticas no ePolicy Orchestrator para servidores TIE.
INDICADO Se o ATD Java trustStore for colocado em um local que não seja
/var/McAfee/tieserver/keystore/atd_servers_truststore.jks, você deve atualização a propriedade
atd.certificates.keyStore.file nesta
/opt/McAfee/tieserver/conf/tie.properties para refletir o novo local.