Como práctica recomendada, conecte los servidores de corbata y ATD mediante una red interna segura.
El envío de muestras de archivos de servidor de TIE a ATD utiliza una conexión de seguridad de capa de transporte (TLS). Para implementar la autenticación en una conexión TLS, haga lo siguiente:
- Cargue los certificados firmados por la autoridad de certificación pública (CA) en ATD.
- Activar la Implementar la validación de certificados Directiva en la servidor de TIE.
Para obtener una lista de las CA de confianza, consulte la
OpenJDK 1.8 documentación en:
http://openjdk.java.net/.
Para obtener instrucciones sobre cómo cargar certificados en ATD, consulte la sección "cargar certificado de servidor Web y certificado de CA" en el
Guía del producto de Advanced Threat Defense.
SEÑALAR Como alternativa al uso de una CA pública, servidor de TIE le permite instalar certificados de CA de confianza locales o utilizar los certificados proporcionados mediante ATD de forma predeterminada.
Siga los pasos de este artículo si:
- Los servidores de ATD utilizan el certificado autofirmado proporcionado de forma predeterminada en ATD.
- Los servidores de ATD utilizan un certificado firmado por una autoridad de certificación personalizada.
Tarea
necesariamente Siga los pasos de este artículo si sus servidores de ATD utilizan un certificado firmado por una CA pública, reconocido por Java como tal.
Antes de empezar:
- Ejecute los siguientes comandos como root.
- Ejecute los siguientes comandos antes de que activar la opción "implementar validación de certificados" en la Directiva ATD y No Reinicie el servidor de TIE.
- Si dispone de una configuración de servidor principal-secundario, repita los pasos siguientes en las instancias principales y todas las secundarias de sus Appliances.
SEÑALAR En el momento de la versión 2.1.0 del Servidor de TIE, la convención de nomenclatura para las operaciones Maestro y Esclavo ha cambiado a Principal y Secundario. Por ejemplo:
Maestro se convierte en Principal
Esclavo se convierte en Secundario
En las versiones anteriores del Servidor de TIE Server se conservan las designaciones originales de Maestro/Esclavo.
- El ATD Java truststore se encuentra en: /var/McAfee/tieserver/keystore/atd_servers_truststore.jks
Implementar la validación de certificados
- Descargue los certificados del servidor de ATD que ha configurado en las directivas:
echo | openssl s_client -connect :443 2>/dev/null | openssl x509 -outform der -out /var/McAfee/tieserver/keystore/atd_server_1.der
- Agregue los certificados de ATD al Java truststore:
yes | /opt/McAfee/tieserver/jre/bin/keytool -import -file /var/McAfee/tieserver/keystore/atd_server_1.der -alias atd_server_1 -storepass -noprompt -keystore /var/McAfee/tieserver/keystore/atd_servers_truststore.jks
- Cambiar propiedad y permisos en ATD truststore:
chown mfetie:mfetie /var/McAfee/tieserver/keystore/atd_servers_truststore.jks; chmod 600 /var/McAfee/tieserver/keystore/atd_servers_truststore.jks
- Parámetro Verifique que los certificados se hayan agregado correctamente:
/opt/McAfee/tieserver/jre/bin/keytool -keystore /var/McAfee/tieserver/keystore/atd_servers_truststore.jks -list -v -storepass -noprompt
- Activar la Implementar la validación de certificados en la ficha Directiva de ATD.
- Emitir un Activar agentes que implementan directivas en ePolicy Orchestrator para los servidores de corbata.
SEÑALAR Si el ATD Java truststore se encuentra en una ubicación que no sea
/var/McAfee/tieserver/keystore/atd_servers_truststore.jks, debe actualizar la propiedad
atd.certificates.keyStore.file del
/opt/McAfee/tieserver/conf/tie.properties para reflejar la nueva ubicación.