Activation de la communication HTTPS entre la console NFA et le Harvester

Vous pouvez configurer
DX NetOps Network Flow Analysis
(NFA) pour une communication sécurisée entre la console NFA et le Harvester.
Vous pouvez configurer
DX NetOps Network Flow Analysis
(NFA) pour une communication sécurisée entre la console NFA et le Harvester.
Condition préalable :
avant d'activer la communication sécurisée entre la console NFA et le Harvester, assurez-vous que vous avez généré le certificat signé par le certificat de l'autorité de certification (CA) pour chaque Harvester, en vous assurant de fournir l'adresse IP du Harvester dans le champ
Common Name
(Nom commun).
Pour plus d'informations, reportez-vous à la section Génération ou configuration de certificats pour utilisation par
DX NetOps Network Flow Analysis
.
Stockez les fichiers de certificat et de clé privée, tels que *.pem, *.cer, *.crt, *.key, référencés dans des fichiers de configuration pendant ce processus dans un emplacement sécurisé. Si les fichiers de certificat et de clé privée sont des fichiers temporaires qui ne sont pas référencés dans les fichiers de configuration une fois ce processus terminé, déplacez-les ou supprimez-les.
A partir de la version 21.2.4, l'utilitaire
Password Obfuscation
(Obfuscation de mot de passe) vous permet d'obscurcir ou de chiffrer les mots de passe associés au protocole SSL/TLS dans les fichiers de configuration SSL/TLS qui sont actuellement en texte brut. Pour plus d'informations, reportez-vous à la section Utilitaire d'obfuscation de mot de passe.
Environnement
DX NetOps Network Flow Analysis
autonome et distribué
Effectuez la configuration suivante dans l'environnement
DX NetOps Network Flow Analysis
autonome et distribué
:
  1. Installez le certificat d'autorité de certification que vous avez généré en tant qu'autorité de certification approuvée pour votre serveur.
    1. Ouvrez le fichier
      nfa-console-truststore.pfx
      .
    2. Exécutez l'assistant d'importation pour importer le certificat approuvé par l'ordinateur local.
    3. Dans la fenêtre Magasin de certificats, sélectionnez l'option Trusted Root Certificate Authorities (Autorités de certification racines approuvées) comme destination pour stocker les certificats.
  2. Pour confirmer que le certificat est correctement installé, procédez comme suit :
    1. Exécutez la commande certmgr.msc.
      La fenêtre du gestionnaire de certificats s'ouvre.
    2. Accédez à Trusted Root Certificate Authorities (Autorités de certification racines approuvées), Certificates (Certificats).
      Vous pouvez afficher les certificats approuvés dans le volet droit.
    3. Sélectionnez chaque certificat affiché dans le chemin de certification et vérifiez que le champ
      Certificate Status
      (Statut du certificat) indique This certificate is OK (Ce certificat est valide). Contactez le fournisseur de certificats si le champ
      Certificate status
      affiche des erreurs. L'image suivante illustre cet onglet :
      Certificatestatus.jpg
  3. Copiez le fichier
    nfa-console-truststore.pfx
    dans le répertoire
    install_path\certs
    du serveur de console.
    Selon le type d'installation, effectuez les étapes appropriées.
Environnement autonome
Effectuez la configuration suivante uniquement dans l'environnement
autonome
:
  1. Ouvrez le fichier
    ReportAnalyzer.ini
    .
    install_path\DBUsers\ReporterAnalyzer.ini
  2. Procédez comme suit :
    • Définissez
      ReporterAnalyzer.enableSecureInternalComm
      sur true.
    • Définissez le chemin d'accès des certificats et du mot de passe dans le fichier
      reporteranalyzer.ini
      comme suit :
      ReporterAnalyzer.keyStore=install_path/certs/nfa-console-keystore.pfx ReporterAnalyzer.keyStorePassword=<user-defined> ReporterAnalyzer.trustStore=install_path/certs/nfa-console-truststore.pfx ReporterAnalyzer.trustStorePassword=<user-defined>
  3. Redémarrez les services de console et de Harvester une fois les modifications apportées à la console et au Harvester.
Environnement distribué
Effectuez la configuration suivante dans l'environnement
distribué
:
Sur la console
  1. Ouvrez le fichier
    ReportAnalyzer.ini
    .
    install_path\DBUsers\ReporterAnalyzer.ini
  2. Procédez comme suit :
    • Définissez
      ReporterAnalyzer.enableSecureInternalComm
      sur true.
    • Définissez le chemin d'accès des certificats et du mot de passe dans le fichier
      reporteranalyzer.ini
      comme suit :
      ReporterAnalyzer.keyStore=install_path/certs/nfa-console-keystore.pfx ReporterAnalyzer.keyStorePassword=<user-defined> ReporterAnalyzer.trustStore=install_path/certs/nfa-console-truststore.pfx ReporterAnalyzer.trustStorePassword=<user-defined>
Sur chaque Harvester :
  1. Copiez les fichiers de Harvester
    .pfx
    et
    .pem
    que vous avez générés dans Générer ou configurer de certificats pour utilisation par CA Network Flow Analysis dans le répertoire
    install_path\certs
    .
    Par exemple, le répertoire
    C:\CA\NFA\certs
    pour le Harvester.
  2. Ouvrez le fichier
    ReportAnalyzer.ini
    disponible sur le Harvester.
    install_path\DBUsers\ReporterAnalyzer.ini
  3. Procédez comme suit :
    • Définissez
      ReporterAnalyzer.enableSecureInternalComm
      sur true.
    • Définissez le chemin d'accès des certificats et du mot de passe dans le fichier
      reporteranalyzer.ini
      comme suit :
      ReporterAnalyzer.keyStore=install_path/certs/nfa-harvester-keystore.pfx ReporterAnalyzer.keyStorePassword=<user-defined> ReporterAnalyzer.trustStore=install_path/certs/nfa-harvester-truestore.pfx ReporterAnalyzer.trustStorePassword=<user-defined>
  4. Redémarrez les services de console et de Harvester une fois les modifications apportées à la console et au Harvester.
Activation de TLS 1.2 sur le Harvester
Pour activer le protocole TLS 1.2 sur le Harvester, procédez comme suit :
  1. Ouvrez le fichier
    harvester-wrapper.conf
    à partir de l'emplacement suivant :
    $NFAROOT/NFA/Netflow/conf
  2. Ajoutez la propriété suivante dans la section
    Java Additional Parameters
    (Paramètres Java supplémentaires).
    wrapper.java.additional.11=-Djdk.tls.client.protocols="TLSv1.2"
  3. Ouvrez le fichier
    collpollws-wrapper.conf
    à partir de l'emplacement suivant :
    $NFAROOT/NFA/Netflow/conf
  4. Ajoutez la propriété suivante dans la section
    Java Additional Parameters
    (Paramètres Java supplémentaires).
    wrapper.java.additional.8=-Djdk.tls.client.protocols="TLSv1.2"
  5. Ouvrez le fichier
    fileserver-wrapper.conf
    à partir de l'emplacement suivant :
    $NFAROOT/NFA/Netflow/conf
  6. Ajoutez la propriété suivante dans la section
    Java Additional Parameters
    (Paramètres Java supplémentaires).
    wrapper.java.additional.5=-Djdk.tls.client.protocols="TLSv1.2"
    Vous pouvez activer TLS 1.1 avec TLS 1.2 en fournissant les protocoles avec une virgule dans
    Djdk.tls.client.protocols
    comme dans l'exemple suivant :
    -Djdk.tls.client.protocols="TLSv1.1, TLSv1.2"
  7. Redémarrez les services dans l'ordre suivant.
    • Harvester CA NFA
    • Services Web de collecte et d'interrogation de CA NFA
    • Serveur de fichiers CA NFA
      • Pour les ordinateurs Windows :
        Redémarrez les services à partir du gestionnaire de services.
      • Pour les ordinateurs Linux :
        Utilisez les commandes suivantes pour arrêter et démarrer les services :
        • Service de Harvester CA NFA
          /etc/rc.d/init.d/nfa_harvester stop /etc/rc.d/init.d/nfa_harvester start
        • Services Web de collecte et d'interrogation de CA NFA
          /etc/rc.d/init.d/nfa_collpollws stop /etc/rc.d/init.d/nfa_collpollws start
        • Serveur de fichiers CA NFA
          /etc/rc.d/init.d/nfa_filewebservice stop /etc/rc.d/init.d/nfa_filewebservice start