Configuración de la comunicación cifrada entre Symantec Endpoint Protection Manager y Microsoft SQL Server

Symantec Endpoint Protection Manager utiliza un certificado para autenticar las comunicaciones entre las bases de datos de
Symantec Endpoint Protection
(SEPM) y las bases de datos de Microsoft SQL Server Express o SQL Server. Debe generar el certificado e importarlo en el equipo de
Symantec Endpoint Protection Manager
para que SEPM se conecte a cualquiera de las bases de datos de SQL Server. Si el certificado no existe, ha caducado o está a punto de caducar, se produce un error en la conexión entre SEPM y la base de datos.
Si no se ha importado el certificado, se puede instalar o actualizar el servidor de administración y cualquiera de las bases de datos de SQL Server. Sin embargo, el Asistente para la configuración del servidor de administración detecta si el certificado ya ha vencido o caduca en los próximos 30 días. SEPM envía una notificación todos los días hasta que finalicen los 30 días para recordar al administrador que importe el certificado. Es posible que aparezca el siguiente mensaje:
En los próximos 30 días, Symantec Endpoint Protection Manager ya no se podrá conectar a la base de datos de Microsoft SQL Server porque SQL Server utiliza un certificado que está a punto de caducar.
Paso 1: Generación de un certificado autofirmado
Si su organización no tiene un certificado firmado por la Autoridad de certificación (CA), deberá generar uno. Este paso describe cómo generar y reemplazar el certificado autofirmado predeterminado de
Symantec Endpoint Protection Manager
(SEPM) por un certificado firmado por la Autoridad de certificación.
Paso 2: Configuración de un certificado permanente para SQL Server
Se deben activar las conexiones cifradas para una instancia del motor de base de datos de SQL Server y se debe utilizar el administrador de configuración de SQL Server para especificar el certificado. Consulte "Configuración de SQL Server" en: Activación de conexiones cifradas en el motor de la base de datos
Paso 3: Importación del certificado de SQL Server en Windows en el equipo de
Symantec Endpoint Protection Manager
El equipo del servidor de administración debe tener el certificado público de SQL Server suministrado. Para suministrar el certificado en el equipo del servidor de administración, impórtelo en Windows. El equipo del servidor debe configurarse para que admita la autoridad raíz del certificado.
  1. En el servidor de Windows en el que está instalado SEPM, haga clic con el botón derecho en el certificado.
  2. En el Asistente para importación de certificados, siga los pasos para importar el certificado.
    En
    Ubicación del almacenamiento
    , seleccione
    Equipo local
    :
    Seleccione
    Colocar todos los certificados en elsiguiente almacén
    , haga clic en
    Examinar
    y, en el cuadro de diálogo Seleccionar almacén de certificados, haga clic en
    Entidades de certificación raíz de confianza
    :
  3. Haga clic en
    Aceptar
    y después haga clic en
    Siguiente
    .
Paso 4: Configuración de los permisos para la carpeta
jre11
Si la instancia de SQL Server se configura usando un administrador del dominio con autenticación de Windows, el administrador del dominio necesita tener permisos de
Lectura y ejecución
,
Mostrar el contenido de la carpeta
y
Lectura
para la carpeta
jre11
en el servidor de
Symantec Endpoint Protection Manager
.
  1. En el servidor de Symantec Endpoint Protection Manager, vaya a la carpeta
    \...\Archivos de programa (x86)\Symantec\Symantec Endpoint Protection Manager
    , haga clic con el botón secundario del ratón en la carpeta
    jre11
    y haga clic en
    Propiedades
    .
  2. En la ventana propiedades del archivo, en la ficha
    Seguridad
    , haga clic en
    Opciones avanzadas
    .
  3. En la ventana
    Configuración de seguridad avanzada
    , en la ficha
    Permisos
    , haga clic en
    Agregar
    .
  4. En la ventana
    Entrada de permisos
    , haga clic en
    Seleccionar una entidad de seguridad
    .
  5. En la ventana
    Seleccionar usuario, equipo, cuenta de servicio o grupo
    , agregue el usuario
    domainadmin
    y haga clic en
    Aceptar
    .
  6. En la ventana
    Entrada de permisos
    , haga clic en
    Aceptar
    .
  7. En la ventana
    Configuración de seguridad avanzada
    , en la ficha
    Permisos
    , seleccione
    domainadmin
    y haga clic en
    Agregar
    .
  8. En la ventana
    Seleccionar usuario, equipo, cuenta de servicio o grupo
    , agregue el usuario
    domainadmin
    otra vez y haga clic en
    Aceptar
    .
  9. En la ventana
    Configuración de seguridad avanzada
    , seleccione
    Reemplazar propietario en subcontenedoresy objetos
    , seleccione
    Reemplazar todas las entradas de permiso de objetos secundarios con entradas de permiso heredables de este objeto
    , haga clic en
    Habilitar herencia
    y haga clic en
    Aplicar
    .
  10. Haga clic en
    y en
    Aceptar
    para confirmar.
  11. En la ventana de propiedades del archivo, asegúrese de que el usuario
    domainadmin
    tenga ahora todos los permisos necesarios y haga clic en
    Aceptar
    .
Paso 5: Apertura del Asistente para la configuración del servidor de administración y finalización de la opción Configuración del servidor con
autenticación de Windows
Para abrir el asistente, vaya a la carpeta
\...\Archivos de programa (x86)\Symantec\Symantec Endpoint Protection Manager\bin
y haga doble clic en el archivo
sca.exe
.
Paso 6: Comprobación de si la comunicación está cifrada y si se usa el certificado de SQL Server
  1. En el servidor de administración, abra el siguiente archivo:
    C:\Archivos de programa (x86)\Symantec\Symantec Endpoint Protection Manager\tomcat\conf\Catalina\localhost\root.xml
    y asegúrese de que se ha establecido
    encrypt=true
    y
    trustServerCertificate=false
    .
  2. En SQL Server, abra
    Protocols for MSSQLSERVER Properties
    y compruebe si se ha establecido
    Force Encryption=Yes
    .
  3. En SQL Server, ejecute la siguiente consulta para comprobar si la conexión entre
    Symantec Endpoint Protection Manager
    y SQL Server está cifrada:
    SELECT session_id, connect_time, net_transport, encrypt_option, auth_scheme, client_net_address FROM sys.dm_exec_connections
    Compruebe si se ha establecido
    encrypt_option=TRUE
    .