配置 Symantec Endpoint Protection Manager 和 Microsoft SQL Server 之间的加密通信

Symantec Endpoint Protection Manager 使用证书验证
Symantec Endpoint Protection
(SEPM) 和 Microsoft SQL Server Express 或 SQL Server 数据库之间的通信。您必须生成证书并将其导入
Symantec Endpoint Protection Manager
计算机,SEPM 才能连接到其中一个 SQL Server 数据库。如果证书不存在、已过期或即将过期,则 SEPM 和数据库之间的连接将失败。
如果尚未导入证书,可以安装或升级管理服务器和 SQL Server 数据库。但是,管理服务器配置向导将检测证书是否已过期或在未来 30 天内过期。SEPM 在 30 天结束之前每天会发送通知,以提醒管理员导入证书。您可能会看到以下消息:
因为 SQL Server 使用即将过期的证书,所以在未来 30 天内,Symantec Endpoint Protection Manager 将无法再连接到 Microsoft SQL Server 数据库。
第 1 步:生成自签名证书
如果您的组织还没有证书颁发机构 (CA) 签名的证书,则必须生成一个。此步骤介绍如何生成默认自签名
Symantec Endpoint Protection Manager
(SEPM) 证书并将其替换为 CA 签名的证书。
第 2 步:为 SQL Server 配置永久证书
您必须为 SQL Server 数据库引擎实例启用加密连接,并且必须使用 SQL Server 配置管理器指定证书。请参阅“启用数据库引擎的加密连接”中的“配置 SQL 服务器”
第 3 步:在
Symantec Endpoint Protection Manager
计算机上将 SQL Server 证书导入到 Windows
管理服务器计算机必须预配 SQL Server 公用证书。若要在管理服务器计算机上预配证书,请将其导入到 Windows。必须设置服务器计算机以信任证书的根颁发机构。
  1. 在安装 SEPM 的 Windows 服务器上,右键单击证书。
  2. 在“证书导入向导”中,执行导入证书的步骤。
    在“
    存储位置
    ”下,选择“
    本地计算机
    ”:
    选择“
    将所有的证书都放入下列存储
    ”,单击“
    浏览
    ”,然后在“选择证书存储”对话框中,单击“
    受信任的根证书颁发机构
    ”:
  3. 单击
    “确定
    ”,然后单击“
    下一步
    ”。
第 4 步:配置
jre11
文件夹的权限
如果配置您的 SQL Server 将域管理员和 Windows 身份验证搭配使用,则域管理员需要对
Symantec Endpoint Protection Manager
服务器上的
jre11
文件夹具有
读取和执行
列出文件夹内容
读取
权限。
  1. 在 Symantec Endpoint Protection Manager 服务器上,转到
    \...\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager
    文件夹,右键单击
    jre11
    文件夹,然后单击“
    属性
    ”。
  2. 在“文件属性”窗口的“
    安全
    ”选项卡上,单击“
    高级
    ”。
  3. 在“
    高级安全设置
    ”窗口的“
    权限
    ”选项卡上,单击“
    添加
    ”。
  4. 在“
    权限条目
    ”窗口中,单击“
    选择主体
    ”。
  5. 在“
    选择用户、计算机、服务帐户或组
    ”窗口中,添加
    domainadmin
    用户,然后单击“
    确定
    ”。
  6. 在“
    权限条目
    ”窗口中,单击“
    确定
    ”。
  7. 在“
    高级安全设置
    ”窗口的“
    权限
    ”选项卡上,选择“
    domainadmin
    ”,单击“
    添加
    ”。
  8. 在“
    选择用户、计算机、服务帐户或组
    ”窗口中,再次添加
    domainadmin
    用户,然后单击“
    确定
    ”。
  9. 在“
    高级安全设置
    ”窗口中,选中“
    替换子容器和对象的所有者
    ”,选中“
    使用可从此对象继承的权限项目替换所有子对象的权限项目
    ”,单击“
    启用继承
    ”,然后单击“
    应用
    ”。
  10. 单击“
    ”和“
    确定
    ”以确认。
  11. 在“文件属性”窗口中,确保
    domainadmin
    用户现在具有所有所需的权限,然后单击“
    确定
    ”。
第 5 步:打开“管理服务器配置向导”,并完成“使用
Windows 身份验证
的服务器配置”选项
要打开向导,请转到
\...\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\bin
文件夹,然后双击
sca .exe
文件。
第 6 步:检查通信是否已加密并使用 SQL Server 证书
  1. 在管理服务器上,打开以下文件:
    Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\tomcat\conf\Catalina\localhost\root.xml
    ,并确保
    encrypt=true
    trustServerCertificate=false
  2. 在 SQL Server 上,打开“
    MSSQLSERVER 属性的协议
    ”,并检查
    “强制加密”为“是”
  3. 在 SQL Server 上,运行以下查询,以检查
    Symantec Endpoint Protection Manager
    和 SQL Server 之间的连接是否已加密:
    SELECT session_id, connect_time, net_transport, encrypt_option, auth_scheme, client_net_address FROM sys.dm_exec_connections
    检查是否
    encrypt_option=TRUE