Compatibilidad con TLS v1.2 (Microsoft SQL Server)

CA UIM es compatible con Transport Layer Security (TLS) v1.2 cuando se comunica con la base de datos de CA UIM: Microsoft SQL Server. Esta compatibilidad permite a UIM Server establecer una comunicación segura con la base de datos de UIM. Para activar la compatibilidad con TLS v1.2 para Microsoft SQL Server, asegúrese de que lleva a cabo las configuraciones necesarias en el equipo de Microsoft SQL Server (servidor de la base de datos) y en UIM Server (equipo cliente).
uim902
CA UIM es compatible con Transport Layer Security (TLS) v1.2 cuando se comunica con la base de datos de UIM: Microsoft SQL Server. Esta compatibilidad permite a UIM Server establecer una comunicación segura con la base de datos de UIM. Para activar la compatibilidad con TLS v1.2 para Microsoft SQL Server, asegúrese de que lleva a cabo las configuraciones necesarias en el equipo de Microsoft SQL Server (servidor de la base de datos) y en UIM Server (equipo cliente).
Se admiten las siguientes versiones de Microsoft SQL Server:
  • 2012
  • 2014
  • 2016
  • 2017
  • 2019
El siguiente diagrama muestra el proceso de alto nivel:
Compatibilidad con TLS 1.2 de Microsoft SQL Server
Microsoft SQL Server TLS 1.2 Support
  • CABI no es compatible con Microsoft SQL Server 2017.
  • La sonda cabi 4.30 es compatible con TLS 1.2, excepto si Microsoft SQL Server 2012, 2014 o 2016 está instalado en Windows Server 2016.
  • La sonda cabi 4.10 es compatible con TLS v1.2 cuando se comunica con la base de datos de UIM: Microsoft SQL Server 2012, 2014 y 2016. No obstante, CA Business Intelligence no es compatible si Microsoft SQL Server 2012, 2014 o 2016 está instalado en Windows Server 2016 y TLS v1.2 está activado.
  • La sonda cabi 3.40, disponible con UMP 9.0.2 HF2, admite TLS v1.2 cuando se comunica con la base de datos de UIM: Microsoft SQL Server 2012 y 2014. No obstante, CABI no es compatible si Microsoft SQL Server 2012 o 2014 está instalado en Windows Server 2016 y TLS v1.2 está activado.
    Para obtener más información sobre cómo aplicar UMP 9.0.2 HF2 para la funcionalidad TLS de CA Business Intelligence, consulte UMP 9.0.2 HF2.
  • La sonda cabi 3.32 no es compatible con TLS v1.2 cuando se comunica con la base de datos de UIM: Microsoft SQL Server 2012, 2014, 2016 y 2017. Como resultado, no se puede ver la página de inicio de la Consola del operador, los cuadros de mandos de CA Business Intelligence listos para su uso y los informes de CA Business Intelligence listos para su uso.
  • La compatibilidad de TLS v1.2 no está activada de forma predeterminada al instalar CA UIM 9.0.2.
Configuraciones en el servidor de la base de datos
Realice las siguientes tareas en el servidor de la base de datos.
  1. Verificación del requisito FQDN
  2. Comprobación y aplicación de parches en Microsoft SQL Server
  3. Desactivación de las versiones anteriores de los certificados
  4. Importación del certificado al servidor de la base de datos
  5. Concesión de derechos de SQL Server para utilizar el certificado
  6. Activación del cifrado en el servidor de la base de datos
  7. Exportación del certificado en el servidor de la base de datos
Verificación del requisito FQDN
Compruebe que el nombre completo del equipo es FQDN (por ejemplo, VI02-E74.ca.com). De lo contrario, agregue el nombre del dominio (por ejemplo, ca.com) al nombre del equipo.
Siga los pasos siguientes:
  1. Acceda al panel de propiedades del equipo (por ejemplo, haga clic con el botón secundario del ratón en el icono del equipo en el escritorio y seleccione
    Propiedades
    ).
  2. Haga clic en
    Configuración avanzada del sistema
    en el panel izquierdo.
  3. Haga clic en la ficha
    Nombre del equipo
    .
  4. Haga clic en
    Cambiar
    .
  5. Haga clic en
    Más
    .
  6. Introduzca el nombre del dominio en el campo
    Sufijo de DNS primario de este equipo
    .
  7. Haga clic en
    Aceptar
    y reinicie el equipo.
  8. Compruebe que el nombre completo del equipo es ahora FQDN.
La captura de pantalla de ejemplo siguiente muestra que el nombre completo del equipo es FQDN:
FQDN.jpg
Comprobación y aplicación de parches en Microsoft SQL Server
Para las versiones de Microsoft SQL Server que no proporcionan la compatibilidad con TLS v1.2 de forma predeterminada, consulte la información incluida en el artículo TLS 1.2 support for Microsoft SQL Server. Si sigue las instrucciones de este artículo, podrá descargar y aplicar los paquetes necesarios dependiendo de la versión de Microsoft SQL Server. No es necesario realizar este proceso manual para versiones de Microsoft SQL Server (por ejemplo, 2016) que son compatibles con TLS v1.2 de forma predeterminada.
Desactivación de las versiones anteriores de los certificados
Cambie las claves de registro para desactivar todas las versiones anteriores de los certificados en el servidor de la base de datos. Verifique las siguientes claves de registro en el servidor de la base de datos:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
Para las entradas del cliente y servidor, introduzca las siguientes entradas de DWord y Valor:
  • DisabledByDefault=00000000
  • Enabled=00000001
Para obtener más información, consulte la sección sobre TLS 1.2 en TLS/SSL Settings.
Importación del certificado al servidor de la base de datos
(Para certificados aprobados por la autoridad de certificación) Utilice Internet Information Services (IIS) para importar el certificado aprobado por la autoridad de certificación al servidor de la base de datos. Asegúrese de que dispone del certificado necesario.
Instale IIS en el servidor de la base de datos si todavía no está instalado.
Siga los pasos siguientes:
  1. Haga clic en Inicio, Ejecutar e introduzca inetmgr para abrir IIS.
  2. Haga clic en
    <server_name>
    .
  3. Localice y haga doble clic en
    Certificados del servidor
    como se muestra en la siguiente captura de pantalla de ejemplo:
    IIS.jpg
  4. Haga clic con el botón secundario del ratón en el panel derecho y seleccione
    Importar
    en el menú contextual
    Se abrirá el cuadro de diálogo
    Importar certificado
    .
  5. Vaya a la ubicación donde está disponible el archivo de certificado.
  6. Introduzca la contraseña necesaria.
  7. Haga clic en
    Aceptar
    .
El certificado se importa al servidor de la base de datos. La captura de pantalla de ejemplo siguiente muestra un certificado importado:
Certificate.jpg
Al utilizar certificados, se debe generar el certificado con el nombre de dominio completo (FQDN) del equipo, no con el nombre de host. Además, es necesario asegurarse de que el nombre del servidor de la base de datos tenga también el nombre completo del dominio (FQDN). Si el certificado y el nombre del servidor no son FQDN, se producirán problemas de conexión.
El procedimiento de importación explicado anteriormente no es necesario para los certificados autofirmados. Al crear los certificados autofirmados utilizando IIS, estarán disponibles en IIS. Por lo tanto, no es necesario realizar este proceso de importación.
Creación de certificados autofirmados mediante IIS
Revise los siguientes pasos si desea crear un certificado autofirmado mediante IIS:
  1. Compruebe que el nombre completo del equipo es FQDN (por ejemplo, sa-01.ca.com). De lo contrario, siga los pasos mencionados en la sección Requisitos del sistema.
  2. Haga clic en Inicio, Ejecutar e introduzca inetmgr para abrir IIS.
  3. Haga clic en
    <server_name>
    .
  4. Localice y haga doble clic en
    Certificados del servidor
    .
  5. Haga clic con el botón secundario del ratón en el panel derecho y seleccione Creación de un certificado autofirmado en el menú contextual.
  6. Introduzca el nombre de FQDN (por ejemplo,
    <nombre_equipo>
    .ca.com) para el certificado.
  7. Haga clic en
    Aceptar
    .
El certificado autofirmado se crea y aparece en el panel
Certificados del servidor
.
Concesión de derechos de SQL Server para utilizar el certificado
Debe proporcionar derechos de SQL Server para utilizar el certificado. Utilice el Administrador de configuración de SQL Server y la Consola de administración de Microsoft para realizar esta tarea.
Siga los pasos siguientes:
  1. Abra el Administrador de configuración de SQL Server.
  2. Localice y seleccione
    Servicios de SQL Server
    en el panel izquierdo.
  3. Seleccione la instancia de SQL Server en el panel derecho.
  4. Haga clic en el botón secundario del ratón en la instancia de SQL Server y seleccione
    Propiedades
    en el menú contextual como aparece en la captura de pantalla siguiente.
    SQLServerAccess.jpg
  5. Copie la entrada del nombre de la cuenta presente en el campo
    Nombre de cuenta
    .
  6. Abra Microsoft Management Console (MMC).
  7. Seleccione
    Archivo, Agregar o quitar complemento
    .
  8. Haga clic en
    Certificados
    .
  9. Haga clic en
    Agregar
    como se muestra en la siguiente captura de pantalla de ejemplo:
    MMC_Access.jpg
  10. Seleccione
    Cuenta de equipo
    .
  11. Haga clic en
    Siguiente
    .
  12. Seleccione la opción de equipo local.
  13. Haga clic en
    Finalizar
    .
  14. Haga clic en
    Aceptar
    .
  15. Busque y seleccione el certificado.
  16. Haga clic con el botón secundario del ratón en el certificado y seleccione
    Todas las tareas, Gestionar claves privadas
    en el menú contextual.
  17. Agregue el nombre de la cuenta copiado.
  18. Conceda accesos de lectura al nombre de la cuenta.
Activación del cifrado en el servidor de la base de datos
Utilice el Administrador de configuración de SQL Server para activar el cifrado en el servidor de la base de datos.
Siga los pasos siguientes:
  1. Abra el Administrador de configuración de SQL Server.
  2. Localice y expanda
    Configuración de red de SQL Server
    .
  3. Haga clic en
    Protocolos para
    <SQL_Server>
    y seleccione
    Propiedades
    en el menú contextual, tal como se muestra en la siguiente captura de pantalla de ejemplo:
    Enable_Encryption_DB.jpg
  4. Haga clic en la ficha
    Certificado
    .
  5. Seleccione el certificado necesario en la lista desplegable
    Certificado
    .
  6. Haga clic en la ficha
    Indicadores
    .
  7. Seleccione
    para la opción
    Forzar cifrado
    como se muestra en la siguiente captura de pantalla de ejemplo:
    Forced Encryption.jpg
  8. Haga clic en
    Aceptar
    .
  9. Reinicie el servicio de SQL Server.
El cifrado está activado en el servidor de la base de datos para el certificado.
Exportación del certificado desde el servidor de la base de datos
(Para los certificados autofirmados) Exporte el certificado autofirmado al servidor de la base de datos para que UIM Server (que es el cliente en este caso) pueda utilizarlo. UIM Server (cliente) debe confiar en el certificado que se encuentra disponible en el servidor de la base de datos.
No es necesario realizar esta tarea en el caso de los certificados aprobados por CA puesto que el archivo de certificado ya está disponible.
Siga los pasos siguientes:
  1. Abra Microsoft Management Console (MMC).
  2. Seleccione
    Archivo, Agregar o quitar complemento
    .
  3. Haga clic en
    Certificados
    .
  4. Haga clic en
    Agregar
    .
  5. Seleccione
    Cuenta de equipo
    .
  6. Haga clic en
    Siguiente
    .
  7. Seleccione la opción de equipo local.
  8. Haga clic en
    Finalizar
    .
  9. Haga clic en
    Aceptar
    .
  10. Busque el certificado.
  11. Haga clic en el botón secundario sobre el certificado y seleccione
    Todas las tareas, Exportar
    del menú contextual, tal como se muestra en la siguiente captura de pantalla:
    All_Tasks_Export.jpg
  12. Haga clic en
    Siguiente
    en el Asistente para exportación de certificados.
  13. Realice las selecciones necesarias para
    X.509 codificado base 64 (.CER)
    y especifique la ubicación donde desea guardar el archivo exportado. UIM Server (equipo cliente) debe poder acceder a la ubicación.
El certificado autofirmado se ha exportado correctamente a una ubicación del servidor de la base de datos a la que puede acceder UIM Server.
Se ha configurado correctamente el servidor de la base de datos de UIM para la compatibilidad con TLS v1.2.
Configuraciones en UIM Server
Realice las siguientes tareas en el cliente (UIM Server).
  1. Importación del certificado a UIM Server
  2. Creación del almacén de claves de Java para el certificado del servidor
  3. Instalación de UIM Server
Importación del certificado a UIM Server
Importe el certificado a UIM Server (equipo cliente). Este paso es necesario para asegurarse de que UIM Server puede confiar en el certificado que se encuentra disponible en el servidor de la base de datos.Debe importar el certificado al almacén de certificados Entidades de certificación raíz de confianza de UIM Server.
Siga los pasos siguientes:
  1. Abra Microsoft Management Console (MMC).
  2. Seleccione
    Archivo, Agregar o quitar complemento
    .
  3. Seleccione
    Certificados
    y haga clic en
    Agregar
    .
  4. Seleccione
    Cuenta de equipo
    .
  5. Seleccione la opción de equipo local.
  6. Haga clic en
    Finalizar
    .
  7. Haga clic en
    Aceptar
    .
  8. Haga clic en
    Certificados (equipo local)
    .
  9. Vaya a la carpeta
    Entidades de certificación raíz de confianza
    .
  10. Haga clic derecho en la carpeta
    Trusted Root Certification Authorities
    y seleccione
    Todas las tareas, Importar
    en el menú contextual, tal como se muestra en la siguiente captura de pantalla:
    All_Tasks_Import.jpg
  11. Haga clic en
    Siguiente
    en el Asistente para importación de certificados.
  12. Haga clic en
    Examinar
    y vaya a la ubicación donde se ha guardado el archivo de certificado.
  13. Haga clic en
    Siguiente
    .
  14. Compruebe que la opción
    Entidades de certificación raíz de confianza
    esté seleccionada como el lugar donde almacenar todos los certificados.
  15. Haga clic en
    Finalizar
    .
  16. Haga clic en
    Aceptar
    .
El certificado se importa a UIM Server (equipo cliente) como un certificado de confianza.
También es necesario importar el certificado al robot donde está disponible CABI. Después de la importación, desactive y active CABI.
Creación de un archivo .jks para el certificado del servidor
También deberá crear un archivo .jks (archivo del almacén de claves de Java) en UIM Server para almacenar el certificado del servidor. Cuando se crea el archivo .jks, este incluye el certificado del servidor de base de datos. Puede utilizar la keytool de Java, que es una herramienta de gestión de claves y de certificados, para generar el archivo .jks.La herramienta almacena las claves y los certificados en un almacén llamado almacén de claves.
Especifique la ubicación del archivo .jks generado durante la instalación de UIM Server.El instalador de UIM Server copia el archivo .jks desde la ubicación especificada y lo coloca en la carpeta <Nimsoft>\security durante la instalación. El programa de instalación cambiará el nombre del archivo copiado a truststore.jks.
Siga los pasos siguientes:
  1. Asegúrese de que JRE (jre1.8.0) está instalado en el equipo.
  2. Especifique la ubicación de JRE en la variable de entorno
    PATH
    , por ejemplo,
    C:\Archivos de programa\Java\jre1.8.0_131\bin;
  3. Ejecute el comando siguiente mediante el certificado .cer para generar el archivo .jks:
    Sintaxis:
    keytool -import -alias <alias_name> -file <certificate_file> -keystore <jks_filename> -storepass <password>
    Ejemplo:
    C:\keytool -import -alias sa-01.ca.com -file sa-01.ca.com.cer -keystore sa-01.ca.com.jks -storepass [email protected]
  4. Introduzca
    cuando se le solicite si desea confiar en el certificado.
    Se crea el archivo .jks.
Este comando utiliza las opciones siguientes:
  • -file
    Especifica la ubicación donde está disponible el archivo de certificado de fuente.
  • -keystore
    Especifica la ubicación donde desea guardar el archivo .jks que se crea cuando el comando se ejecuta correctamente.
  • -storepass
    Especifica la contraseña para el archivo .jks.
  • -alias
    Especifica el nombre de alias, que en este caso es el nombre del servidor de la base de datos (FQDN).
Si su autoridad de certificación (CA) proporciona un archivo .p12, puede utilizar el siguiente comando para importarlo al archivo .jks:
Sintaxis:
keytool -importkeystore -srckeystore <certificate_filename> -srcstoretype <type> -srcstorepass <password> -destkeystore <jks_filename> -deststorepass <password> -alias <alias_name>
Ejemplo:
C:\keytool -importkeystore -srckeystore sa01-i185.ca.com.p12 -srcstoretype PKCS12 -srcstorepass [email protected] -destkeystore sa01-i185.ca.com.jks -deststorepass [email protected] -alias sa01-i185.ca.com
Este comando utiliza las opciones siguientes:
  • -srckeystore
    Especifica la ubicación donde está disponible el archivo de certificado autofirmado o aprobado por CA.
  • -srcstoretype
    Especifica el tipo de origen.
  • -srcstorepass
    Especifica la contraseña asociada con el archivo de certificado de origen.
  • -destkeystore
    Especifica la ubicación donde desea guardar el archivo .jks que se crea cuando el comando se ejecuta correctamente.
  • -deststorepass
    Especifica la contraseña para el archivo .jks.
  • -alias
    Especifica el nombre de alias, que en este caso es el nombre del servidor de la base de datos (FQDN).
  • El nombre del certificado y el nombre del servidor de la base de datos deben ser FQDN.
  • Antes de implementar CABI externo versión 3.4 en un robot secundario, copie el archivo de almacén de claves de Java (truststore.jks) desde UIM Server (<Nimsoft>\security) en el robot secundario externo de CABI (<Nimsoft>\security).
Instalación de UIM Server
Después de realizar todas las tareas que aparecen en esta sección, revise las otras tareas de planificación previa a la instalación. A continuación, puede iniciar la instalación de UIM Server. Durante la instalación, asegúrese de activar la opción de TLS v1.2 y proporcione la información necesaria.El instalador de UIM Server instala automáticamente el controlador necesario (SQLNCLI11) en el equipo durante la instalación. Además, para el archivo .jks, vaya a la ubicación donde se ha creado el archivo .jks. El instalador copia ese archivo en la carpeta
<Nimsoft>\security
como truststore.jks.
Para obtener más información sobre la instalación de UIM Server, consulte Instalación de UIM Server y Parámetros de la instalación. La siguiente captura de pantalla muestra las opciones de TLS v1.2 (
Activar TLS
,
Ruta al almacén de confianza
y
Contraseña del almacén de confianza
) durante la instalación del servidor de UIM:
TLS options in installer.jpg
A continuación, se muestran las opciones de TLS v1.2 disponibles:
  • Activar TLS:
    Seleccione la opción para activar TLS v1.2 en CA UIM, que permite a UIM Server a establecer una comunicación segura con la base de datos de UIM (Microsoft SQL Server en este caso).
  • Ruta al almacén de confianza
    : especifique la ubicación del archivo .jks generado. El instalador de UIM Server copia el archivo .jks desde la ubicación especificada y lo coloca en la carpeta
    <Nimsoft>\security
    durante la instalación. El programa de instalación cambiará el nombre del archivo copiado a
    truststore.jks
    . Este archivo incluye el certificado del servidor de base de datos.
  • Contraseña del almacén de confianza
    : especifique la contraseña para acceder al archivo .jks de fuente.
Se ha activado correctamente la compatibilidad con TLS v1.2, que permite la comunicación segura con la base de datos de UIM (Microsoft SQL Server).
Información adicional
Revise la siguiente información adicional:
  • En los escenarios de actualización y en situaciones donde se desea activar la compatibilidad con TLS v1.2 después de la instalación de UIM Server, realice las siguientes tareas en UIM Server:
    1. Compruebe e instale el controlador obligatorio (SQLNCLI11), si es necesario.
      Para obtener más información, consulte la información que aparece en la sección "Client component downloads" (Descargas del componente cliente) en el artículo TLS 1.2 support for Microsoft SQL Server.
    2. Importe el certificado del servidor como un certificado de confianza.
    3. Cree el almacén de claves de Java.
    4. Utilice la consola de administración de data_engine o Gestor de la infraestructura para configurar los parámetros relacionados con TLS v1.2. Al especificar la ubicación del archivo .jks, vaya a la ubicación donde se ha creado el archivo .jks. Al hacer clic en
      Aplicar
      o
      Aceptar
      , el archivo .jks se copia a la carpeta
      <Nimsoft>\security
      como truststore.jks. Esta ubicación se muestra después en el campo
      Archivo del almacén de confianza (.jks)
      .Al hacer clic en la opción
      Probar conexión
      , CA UIM no verifica la validez del archivo .jks especificado. En su lugar, verifica la validez del certificado que se ha importado en Microsoft Management Console (MMC) en UIM Server.
      Después de especificar las opciones, reinicie la sonda data_engine. La sonda data_engine está configurada correctamente para ser compatible con TLS v1.2. Ahora se pueden implementar otras sondas y utilizar la comunicación segura al interactuar con la base de datos de UIM (Microsoft SQL Server). Además, revise la lista de sondas y paquetes afectados. Estos elementos se actualizaron para ser compatibles con TLS v1.2. Asegúrese de que utiliza la última versión de estos elementos si desea que funcionen en el entorno de TLS v1.2.
      Asegúrese de que la versión de la sonda ppm es 3.48 y la versión del robot es 7.96 o superior para mostrar las opciones de configuración de TLS v1.2 en la Consola de administración. De lo contrario, las opciones de TLS v1.2 no se muestran en la consola de administración.
      La captura de pantalla siguiente muestra las opciones de configuración de TLS v1.
      2 (Activar TLS
      ,
      Archivo de almacén de confianza (.jks)
      ,
      Contraseña del almacén de confianza
      ,
      Confiar siempre en certificado de servidor
      ) en la consola de administración:
      SQL_Server_AC_TLS_Options.jpg
  • Para el escenario de actualización, el sistema de CA UIM puede tener TLS 1.2 activado o desactivado para todos los componentes; no puede ser un sistema de TLS 1.2 parcialmente activado. Es decir, todos los componentes de la infraestructura en todos los niveles (por ejemplo, concentrador principal, concentrador secundario y sondas) se deben actualizar a la versión compatible de TLS v1.2.
  • Puede activar o desactivar el modo TLS v1.2 mediante la configuración de la interfaz de usuario de la sonda data_engine.Además, se necesita reiniciar la sonda data_engine cada vez que se cambia el modo TLS v1.2.
  • Si se actualiza desde una versión anterior de CA UIM a esta versión, el estado del sistema se mantiene en un modo que no sea TLS v1.2. Para activar el modo TLS v1.2, realice todos los pasos manuales necesarios mencionados anteriormente y utilice la interfaz de usuario de la sonda data_engine para activar TLS v1.2.
  • Cuando desee actualizar un certificado (por ejemplo, ha caducado un certificado anterior), cree un nuevo archivo .jks y especifique la ubicación del archivo .jks y la contraseña en la interfaz de usuario de la sonda data_engine. La sonda data_engine utiliza dicha información para crear el archivo truststore.jks en la misma carpeta
    <Nimsoft>\security
    .
  • Para ejecutar las sondas que pueden trabajar en equipos remotos (que no sean el concentrador principal) del entorno de TLS v1.2, instale el controlador necesario (SQLNCLI11) en los equipos remotos. Para obtener más información, consulte la información que aparece en la sección "Client component downloads" (Descargas del componente cliente) en el artículo TLS 1.2 support for Microsoft SQL Server.
  • Si se encuentra algún problema de conectividad de la base de datos en un entorno activado por TLS v1.2, el motivo más probable de este problema es que el certificado no esté utilizando FQDN.
Sondas y paquetes actualizados para TLS v1.2
Se han realizado actualizaciones relacionadas con TLS v1.2 en los siguientes elementos para que puedan funcionar en un entorno de TLS v1.2. Estas son las versiones mínimas con las actualizaciones relacionadas con TLS v1.2.
  • ace 9.03
  • alarm_routing_service 10.20
  • apmgtw 3.20
  • audit 9.03
  • axagateway 1.32
  • cisco_ucm 2.00
  • cm_data_import 9.02
  • data_engine 9.02
  • discovery_agent 9.02
  • discovery_server 9.02
  • ems 10.20
  • hub 7.96
  • maintenance_mode 9.02
  • mon_config_service 9.02
  • mpse 9.03
  • nas 9.03
  • nis_server 9.03
  • qos_processor 9.02
  • robot 7.96
  • sla_engine 9.02
  • telemetry 1.20
  • trellis 9.02
  • udm_manager 9.02
  • usage_metering 9.11
  • wasp 9.02
  • webservices_rest 9.02
Solución de problemas
Los siguientes temas ayudar a solucionar algunos problemas relacionados con TLS v1.2:
la sonda data_engine no se puede iniciar cuando está activado TLS v1.2
Síntoma
: Cuando intento iniciar data_engine después de activar el modo TLS v1.2, aparece el siguiente error de conexión:
May 1 10:10:21:897 [4068] 0 de: [main] Open - 3 errors
May 1 10:10:21:897 [4068] 0 de: (1) Open [Microsoft SQL Server Native Client 11.0] Invalid connection string attribute
May 1 10:10:21:897 [4068] 0 de: (2) Open [Microsoft SQL Server Native Client 11.0] SSL Provider: The target principal name is incorrect.
May 1 10:10:21:897 [4068] 0 de: (3) Open [Microsoft SQL Server Native Client 11.0] Client unable to establish connection
May 1 10:10:21:897 [4068] 0 de: COM Error [0x80004005] Unspecified error - [Microsoft SQL Server Native Client 11.0] Invalid connection string attribute
May 1 10:10:21:897 [4068] 1 de: Database script - processing 3 database scripts
¿Cómo puedo solucionar este problema?
Solución
: El origen de datos utiliza el FQDN para conectarse al servidor de la base de datos en la configuración de data_engine, pero el certificado no se crea con FQDN. En tales casos, se produce un error en la validación del certificado.Asegúrese de que el nombre del servidor de la base de datos y el certificado utilizan el FQDN.
No se puede validar el certificado SSL autofirmado para Microsoft SQL Server
Síntoma
: He utilizado el certificado autofirmado del almacén de claves local, pero he recibido el siguiente error:
2018-04-30 15:12:15,379 ERROR
dbconfig.UIMServerDatabaseConfigBaseParamsPanel:processTestDBAccess:152 [AWT-EventQueue-0] -
Failed to connect to database server with provided field values. Recheck fields for accuracy.
The driver could not establish a secure connection to SQL Server by using Secure Sockets Layer
(SSL) encryption. Error: "java.security.cert.CertificateException: Failed to validate the server
name in a certificate during Secure Sockets Layer (SSL) initialization.".
ClientConnectionId:89ef826a-2460-4faa-a1a8-d8aba2fc28f2 (501) , Failed to connect to database
server with provided field values. Recheck fields for accuracy.
¿Cómo puedo solucionar este problema?
Solución
: Este problema es el mismo como se describe en el primer tema de solución de problemas "la sonda data_engine no se puede iniciar cuando está activado TLS v1.2". Por lo tanto, use la misma solución para asegurarse de que el nombre del servidor de la base de datos y el certificado utilizan el FQDN.