Activation de la communication HTTPS entre la console NFA et le Harvester
Vous pouvez configurer
DX NetOps Network Flow Analysis
(NFA) pour une communication sécurisée entre la console NFA et le Harvester.Vous pouvez configurer
DX NetOps Network Flow Analysis
(NFA) pour une communication sécurisée entre la console NFA et le Harvester.Condition préalable :
avant d'activer la communication sécurisée entre la console NFA et le Harvester, assurez-vous que vous avez généré le certificat signé par le certificat de l'autorité de certification (CA) pour chaque Harvester, en vous assurant de fournir l'adresse IP du Harvester dans le champ Common Name
(Nom commun). Pour plus d'informations, reportez-vous à la section Génération ou configuration de certificats pour utilisation par
DX NetOps Network Flow Analysis
.Stockez les fichiers de certificat et de clé privée, tels que *.pem, *.cer, *.crt, *.key, référencés dans des fichiers de configuration pendant ce processus dans un emplacement sécurisé. Si les fichiers de certificat et de clé privée sont des fichiers temporaires qui ne sont pas référencés dans les fichiers de configuration une fois ce processus terminé, déplacez-les ou supprimez-les.
A partir de la version 21.2.4, l'utilitaire
Password Obfuscation
(Obfuscation de mot de passe) vous permet d'obscurcir ou de chiffrer les mots de passe associés au protocole SSL/TLS dans les fichiers de configuration SSL/TLS qui sont actuellement en texte brut. Pour plus d'informations, reportez-vous à la section Utilitaire d'obfuscation de mot de passe.Environnement
DX NetOps Network Flow Analysis
autonome et distribuéEffectuez la configuration suivante dans l'environnement
DX NetOps Network Flow Analysis
autonome et distribué
:- Installez le certificat d'autorité de certification que vous avez généré en tant qu'autorité de certification approuvée pour votre serveur.
- Ouvrez le fichiernfa-console-truststore.pfx.
- Exécutez l'assistant d'importation pour importer le certificat approuvé par l'ordinateur local.
- Dans la fenêtre Magasin de certificats, sélectionnez l'option Trusted Root Certificate Authorities (Autorités de certification racines approuvées) comme destination pour stocker les certificats.
- Pour confirmer que le certificat est correctement installé, procédez comme suit :
- Exécutez la commande certmgr.msc.La fenêtre du gestionnaire de certificats s'ouvre.
- Accédez à Trusted Root Certificate Authorities (Autorités de certification racines approuvées), Certificates (Certificats).Vous pouvez afficher les certificats approuvés dans le volet droit.
- Sélectionnez chaque certificat affiché dans le chemin de certification et vérifiez que le champCertificate Status(Statut du certificat) indique This certificate is OK (Ce certificat est valide). Contactez le fournisseur de certificats si le champCertificate statusaffiche des erreurs. L'image suivante illustre cet onglet :

- Copiez le fichiernfa-console-truststore.pfxdans le répertoireinstall_path\certsdu serveur de console.Selon le type d'installation, effectuez les étapes appropriées.
Environnement autonome
Effectuez la configuration suivante uniquement dans l'environnement
autonome
:- Ouvrez le fichierReportAnalyzer.ini.install_path\DBUsers\ReporterAnalyzer.ini
- Procédez comme suit :
- DéfinissezReporterAnalyzer.enableSecureInternalCommsur true.
- Définissez le chemin d'accès des certificats et du mot de passe dans le fichierreporteranalyzer.inicomme suit :ReporterAnalyzer.keyStore=install_path/certs/nfa-console-keystore.pfx ReporterAnalyzer.keyStorePassword=<user-defined> ReporterAnalyzer.trustStore=install_path/certs/nfa-console-truststore.pfx ReporterAnalyzer.trustStorePassword=<user-defined>
- Redémarrez les services de console et de Harvester une fois les modifications apportées à la console et au Harvester.
Environnement distribué
Effectuez la configuration suivante dans l'environnement
distribué
:Sur la console
- Ouvrez le fichierReportAnalyzer.ini.install_path\DBUsers\ReporterAnalyzer.ini
- Procédez comme suit :
- DéfinissezReporterAnalyzer.enableSecureInternalCommsur true.
- Définissez le chemin d'accès des certificats et du mot de passe dans le fichierreporteranalyzer.inicomme suit :ReporterAnalyzer.keyStore=install_path/certs/nfa-console-keystore.pfx ReporterAnalyzer.keyStorePassword=<user-defined> ReporterAnalyzer.trustStore=install_path/certs/nfa-console-truststore.pfx ReporterAnalyzer.trustStorePassword=<user-defined>
Sur chaque Harvester :
- Copiez les fichiers de Harvester.pfxet.pemque vous avez générés dans Générer ou configurer de certificats pour utilisation par CA Network Flow Analysis dans le répertoireinstall_path\certs.Par exemple, le répertoireC:\CA\NFA\certspour le Harvester.
- Ouvrez le fichierReportAnalyzer.inidisponible sur le Harvester.install_path\DBUsers\ReporterAnalyzer.ini
- Procédez comme suit :
- DéfinissezReporterAnalyzer.enableSecureInternalCommsur true.
- Définissez le chemin d'accès des certificats et du mot de passe dans le fichierreporteranalyzer.inicomme suit :ReporterAnalyzer.keyStore=install_path/certs/nfa-harvester-keystore.pfx ReporterAnalyzer.keyStorePassword=<user-defined> ReporterAnalyzer.trustStore=install_path/certs/nfa-harvester-truestore.pfx ReporterAnalyzer.trustStorePassword=<user-defined>
- Redémarrez les services de console et de Harvester une fois les modifications apportées à la console et au Harvester.
Activation de TLS 1.2 sur le Harvester
Pour activer le protocole TLS 1.2 sur le Harvester, procédez comme suit :
- Ouvrez le fichierharvester-wrapper.confà partir de l'emplacement suivant :$NFAROOT/NFA/Netflow/conf
- Ajoutez la propriété suivante dans la sectionJava Additional Parameters(Paramètres Java supplémentaires).wrapper.java.additional.11=-Djdk.tls.client.protocols="TLSv1.2"
- Ouvrez le fichiercollpollws-wrapper.confà partir de l'emplacement suivant :$NFAROOT/NFA/Netflow/conf
- Ajoutez la propriété suivante dans la sectionJava Additional Parameters(Paramètres Java supplémentaires).wrapper.java.additional.8=-Djdk.tls.client.protocols="TLSv1.2"
- Ouvrez le fichierfileserver-wrapper.confà partir de l'emplacement suivant :$NFAROOT/NFA/Netflow/conf
- Ajoutez la propriété suivante dans la sectionJava Additional Parameters(Paramètres Java supplémentaires).wrapper.java.additional.5=-Djdk.tls.client.protocols="TLSv1.2"Vous pouvez activer TLS 1.1 avec TLS 1.2 en fournissant les protocoles avec une virgule dansDjdk.tls.client.protocolscomme dans l'exemple suivant :-Djdk.tls.client.protocols="TLSv1.1, TLSv1.2"
- Redémarrez les services dans l'ordre suivant.
- Harvester CA NFA
- Services Web de collecte et d'interrogation de CA NFA
- Serveur de fichiers CA NFA
- Pour les ordinateurs Windows :Redémarrez les services à partir du gestionnaire de services.
- Pour les ordinateurs Linux :Utilisez les commandes suivantes pour arrêter et démarrer les services :
- Service de Harvester CA NFA/etc/rc.d/init.d/nfa_harvester stop /etc/rc.d/init.d/nfa_harvester start
- Services Web de collecte et d'interrogation de CA NFA/etc/rc.d/init.d/nfa_collpollws stop /etc/rc.d/init.d/nfa_collpollws start
- Serveur de fichiers CA NFA/etc/rc.d/init.d/nfa_filewebservice stop /etc/rc.d/init.d/nfa_filewebservice start