Activation de HTTPS pour Network Flow Analysis

(NFA) peut être configuré pour une communication sécurisée via l'interface Web.
nfa1000
DX NetOps Network Flow Analysis
(NFA) peut être configuré pour une communication sécurisée via l'interface Web.
A partir de la version 21.2.4, l'utilitaire
Password Obfuscation
(Obfuscation de mot de passe) vous permet d'obscurcir ou de chiffrer les mots de passe associés au protocole SSL/TLS dans les fichiers de configuration SSL/TLS qui sont actuellement en texte brut. Pour plus d'informations, reportez-vous à la section Utilitaire d'obfuscation de mot de passe.
Prérequis
Créez les fichiers de certificat requis à l'aide de la procédure de la section Génération ou configuration de certificats pour utilisation par CA Network Flow Analysis.
Activation de HTTPS sur la console
Procédez comme suit :
  1. Installez le certificat de l'
    autorité de certification
    (généré comme un prérequis) en tant qu'autorité de certification (
    CA
    ) approuvée pour votre serveur.
    1. Double-cliquez sur le fichier
      nfa-console-truststore.pfx
      .
      L'assistant Certificate Import (Importation de certificat) s'ouvre.
    2. Sur l'écran
      Welcome to the Certificate Import Wizard
      (Bienvenue dans l'assistant d'importation de certificat), sélectionnez
      Local Machine
      (Ordinateur local), puis cliquez sur
      Suivant
      .
    3. Sur l'écran
      File to import
      (Fichier à importer), entrez le chemin d'accès et le nom du fichier que vous voulez importer, puis cliquez sur
      Next
      (Suivant).
      Si le fichier est protégé par mot de passe, vous pouvez être invité à entrer le mot de passe à ce stade.
    4. (Facultatif) Entrez le mot de passe, puis cliquez sur
      Next
      (Suivant).
    5. Sur l'écran Certificate Store (Magasin de certificats), sélectionnez l'option
      Place all the certificates in the following store
      (Placer tous les certificats dans le magasin suivant).
    6. Cliquez sur
      Browse
      (Parcourir), sélectionnez
      Trusted Root Certification Authorities
      (Autorités de certification racines approuvées), puis cliquez sur
      OK
      .
    7. Cliquez sur
      Suivant
      .
    8. Sur l'écran
      Completing the Certificate Import Wizard
      (Exécution de l'assistant Importation de certificat), vérifiez les informations d'importation et cliquez sur
      Finish
      (Terminer).
    9. Cliquez sur
      OK
      pour fermer l'assistant.
  2. Installez le certificat SSL de la console.
    1. Installez un certificat signé dans les certificats de serveur du gestionnaire IIS.
      1. Dans le
        Gestionnaire des services Internet (IIS)
        , accédez à la vue
        Fonctionnalités
        .
      2. Ouvrez
        Certificats de serveur
        .
      3. Sous
        Actions
        , cliquez sur
        Importer
        pour importer le fichier
        nfa-console-keystore.pfx
        .
    2. Pour confirmer que le certificat a été correctement installé, ouvrez-le et sélectionnez l'onglet
      Chemin de certification
      .
      Sélectionnez chaque certificat affiché dans le chemin de certification et vérifiez que le champ
      État du certificat
      indique "Ce certificat est valide.". Contactez le fournisseur de certificats si le champ
      État du certificat
      affiche des erreurs.
      Certificatestatus.jpg
  3. Configurez l'application IIS de port HTTPS. Par défaut, IIS ne dispose pas d'une liaison pour HTTPS.
    1. Dans le
      Gestionnaire des services Internet (IIS)
      , accédez au
      Site Web par défaut
      .
    2. Sous
      Actions
      , cliquez sur
      Liaisons
      .
    3. Dans la boîte de dialogue
      Liaisons de sites
      , cliquez sur
      Ajouter
      .
      SiteBindings_Add.jpg
    4. Sélectionnez le certificat signé dans la
      liste de certificats SSL
      .
      AddSiteBinding.jpg
      Ne désactivez pas la liaison au port HTTP 80. En effet,
      DX NetOps Network Flow Analysis
      ne fonctionnera pas correctement si le protocole HTTP est désactivé.
  4. Modifiez le fichier XML de configuration du produit.
    install_path\Portal\SSO\webapps\sso\configuration\ReporterAnalyzer.xml
    1. Dans la section
      SignInPageProductDefaultUrl
      , faites passer le
      Schéma
      de http à https.
    2. Entrez 443 pour le champ
      Port
      (vide par défaut).
    Exemple :
    <?xml version="1.0" encoding="utf-8" ?> <Configuration> <SingleSignOnEnabled>True</SingleSignOnEnabled> <SingleSignOnProductCode>ra</SingleSignOnProductCode> <SignInPageProductTitle><![CDATA[NetQoS<sup><font class="Superscript">®</font></sup> ReporterAnalyzer<sup><font class="Superscript">™</font></sup>]] ></SignInPageProductTitle> <SignInPageProductDescription>Network Traffic Analysis</SignInPageProductDescription> <SignInPageProductDefaultUrl> <Scheme>https</Scheme> <Port>443</Port> <PathAndQuery>/ra/default.aspx</PathAndQuery> </SignInPageProductDefaultUrl> <SingleSignOnWebServiceUrl> <Scheme>http</Scheme> <Port></Port> <PathAndQuery>/ReporterDataSource/SingleSignOnWS.asmx</PathAndQuery> </SingleSignOnWebServiceUrl> </Configuration>
  5. Configurez le schéma et le port SSL d'authentification unique.
    Exécutez
    install_path\Portal\sso\bin\SsoConfig.exe
    .
    SSO Configuration: 1. DX NetOps 2. CA Network Flow Analysis
    Choose an option: >2
    SSO Configuration/CA Network Flow Analysis: 1. LDAP Authentication 2. SAML2 Authentication 3. Performance Center 4. Single Sign-On 5. Test LDAP 6. Export SAML2 Service Provider Metadata
    Choose an option: >4
    SSO Configuration/CA Network Flow Analysis/Single Sign-On: Anonymous User Enabled: Disabled Anonymous User ID: >2 Localhost User Sign-In Page Enabled: Disabled Localhost User Enabled: Enabled Localhost User ID: 1 Cookie Timeout Minutes: 20 Encryption Decryption Key: #$utP9%z Encryption Algorithm: DESFailed Sleep Seconds: 3 Remember Me Enabled: Enabled Remember Me Timeout Days: 15 Scheme: http Port: 8381 Virtual Directory: so 1. Remote Value 2. Local Override
    Choose an option >2
    SSO Configuration/CA Network Flow Analysis/Single Sign-On/Local Override: 1. Anonymous User Enabled: 2. Anonymous User ID: 3. Localhost User Sign-In Page Enabled: 4. Localhost User Enabled: 5. Localhost User ID: 6. Cookie Timeout Minutes: 7. Encryption Decryption Key: 8. Encryption Algorithm: 9. Failed Sleep Seconds: 10. Remember Me Enabled: 11. Remember Me Timeout Days: 12. Scheme: 13. Port: 14. Virtual Directory: 15. Scheme for Data Sources: 16. Port for Data Sources:
    Select a Property > 12
    Enter u to update to new value >u Enter new value >https SSO Configuration/CA Network Flow Analysis/Single Sign-On/Local Override: 1. Anonymous User Enabled: 2. Anonymous User ID: 3. Localhost User Sign-In Page Enabled: 4. Localhost User Enabled: 5. Localhost User ID: 6. Cookie Timeout Minutes: 7. Encryption Decryption Key: 8. Encryption Algorithm: 9. Failed Sleep Seconds: 10. Remember Me Enabled: 11. Remember Me Timeout Days: 12. Scheme: https 13. Port: 14. Virtual Directory: 15. Scheme for Data Sources: 16. Port for Data Sources:
    Select a Property >13
    Enter u to update to new value >u Enter new value >8382 Enter q to quit SsoConfig SSO Configuration/CA Network Flow Analysis/Single Sign-On/Local Override: 1. Anonymous User Enabled: 2. Anonymous User ID: 3. Localhost User Sign-In Page Enabled: 4. Localhost User Enabled: 5. Localhost User ID: 6. Cookie Timeout Minutes: 7. Encryption Decryption Key: 8. Encryption Algorithm: 9. Failed Sleep Seconds: 10. Remember Me Enabled: 11. Remember Me Timeout Days: 12. Scheme: https 13. Port: 14. Virtual Directory: 15. Scheme for Data Sources: 16. Port for Data Sources:
    Select a Property >15
    Property: Scheme for Data Sources (Local Override) Value: Example: http Description: This field specifies the URL scheme that data sources and internal processes can use to access the Single Sign-On application. Must be set to same value as Scheme, when not using a reverse proxy. Enter r to reset the value, u to update to new value > u Enter \q to quit or \b to go back to previous menu Enter new value > https SSO Configuration/CA Network Flow Analysis/Single Sign-On/Local Override: 1. Anonymous User Enabled: 2. Anonymous User ID: 3. Localhost User Sign-In Page Enabled: 4. Localhost User Enabled: 5. Localhost User ID: 6. Cookie Timeout Minutes: 7. Encryption Decryption Key: 8. Encryption Algorithm: 9. Failed Sleep Seconds: 10. Remember Me Enabled: 11. Remember Me Timeout Days: 12. Scheme: https 13. Port: 14. Virtual Directory: 15. Scheme for Data Sources: 16. Port for Data Sources:
    Select a Property >16
    Property: Port for Data Sources (Local Override) Value: Example: 8381 Description: This field specifies the URL port that data sources and internal processes can use to access the Single Sign-On application. Must be set to same value as Port, when not using a reverse proxy. Enter r to reset the value, u to update to new value > u Enter \q to quit or \b to go back to previous menu Enter new value > 8382 SSO Configuration/CA Network Flow Analysis/Single Sign-On/Local Override: 1. Anonymous User Enabled: 2. Anonymous User ID: 3. Localhost User Sign-In Page Enabled: 4. Localhost User Enabled: 5. Localhost User ID: 6. Cookie Timeout Minutes: 7. Encryption Decryption Key: 8. Encryption Algorithm: 9. Failed Sleep Seconds: 10. Remember Me Enabled: 11. Remember Me Timeout Days: 12.
    Scheme: https
    13.
    Port: 8382
    14. Virtual Directory: 15.
    Scheme for Data Sources: https
    16.
    Port for Data Sources: 8382
    Select a Property >
  6. Sauvegardez et modifiez le fichier SSO
    start.ini
    .
    Modifiez le fichier
    install_path\Portal\SSO\start.ini
    .
    1. Supprimez les commentaires de la ligne
      --module=ssl
      de manière à ce qu'elle soit active :
      --module=ssl
    2. Remplacez la ligne
      --module=http
      par https :
      --module=https
  7. Configurez les fichiers SSO
    jetty-https.xml
    ,
    jetty-ssl.xml
    et
    jetty-ssl-context.xml
    .
    Applicable uniquement à la version 21.2.2
    Pendant une mise à niveau, ces fichiers sont sauvegardés automatiquement sur install_path/Potral/SSO.backup. Après la mise à niveau, copiez ces fichiers dans le répertoire install_path\Portal\Jetty\etc\.
    1. Copiez le modèle
      jetty-https.xml
      depuis
      install_path\Portal\Jetty\etc\jetty-https.xml
      vers
      install_path\Portal\SSO\etc\jetty-https.xml
    2. Copiez le modèle
      jetty-ssl.xml
      depuis
      install_path\Portal\Jetty\etc\jetty-ssl.xml
      vers
      install_path\Portal\SSO\etc\jetty-ssl.xml
    3. Copiez le modèle
      jetty-ssl-context.xml
      depuis
      install_path\Portal\Jetty\etc\jetty-ssl-context.xml
      vers
      install_path\Portal\SSO\etc\jetty-ssl-context.xml
    4. Modifiez le fichier
      install_path\Portal\SSO\etc\jetty-ssl.xml
      .
      Dans la section
      addConnector
      , définissez le port sur 8382.
      <Set name="port"><Property name="jetty.ssl.port" deprecated="ssl.port" default="8382" /></Set>
    5. Modifiez le fichier
      install_path\Portal\SSO\etc\jetty-ssl-context.xml
      .
      Modifiez la section
      sslContextFactory
      pour qu'elle contienne les lignes suivantes.
      <Set name="KeyStorePath"> <Property name="jetty.sslContext.keyStoreAbsolutePath"> <Default> <Property name="jetty.sslContext.keyStorePath" deprecated="jetty.keystore" default="install_path/certs/nfa-console-keystore.pfx"/> </Default> </Property> </Set> <Set name="KeyStorePassword"><Property name="jetty.sslContext.keyStorePassword" deprecated="jetty.keystore.password" default="yourkeypassword"/></Set> <Set name="KeyStoreType"><Property name="jetty.sslContext.keyStoreType" default="pkcs12"/></Set> <Set name="KeyStoreProvider"><Property name="jetty.sslContext.keyStoreProvider"/></Set> <Set name="KeyManagerPassword"><Property name="jetty.sslContext.keyManagerPassword" deprecated="jetty.keymanager.password" default="yourkeypassword"/> </Set> <Set name="TrustStorePath"> <Property name="jetty.sslContext.trustStoreAbsolutePath"> <Default> <Property name="jetty.sslContext.trustStorePath" deprecated="jetty.truststore" default="install_path/certs/nfa-console-truststore.pfx"/> </Default> </Property> </Set> <Set name="TrustStorePassword"> <Property name="jetty.sslContext.trustStorePassword" deprecated="jetty.truststore.password" default="yourkeypassword"/> </Set> <Set name="TrustStoreType"><Property name="jetty.sslContext.trustStoreType" default="pkcs12"/></Set> <Set name="TrustStoreProvider"> <Property name="jetty.sslContext.trustStoreProvider"/></Set>
      Utilisez le mot de passe de référentiel de clés/approbations créé à l'étape Génération ou configuration de certificats pour utilisation par CA Network Flow Analysis pour
      KeyStorePassword
      et
      TrustStorePassword
      .
  8. Redémarrez la console NFA pour appliquer les modifications.
  9. Vérifiez que vous pouvez accéder à la console NFA à l'aide d'une connexion HTTPS.
    A partir de la version 21.2.4, exécutez l'utilitaire d'obfuscation de mot de passe pour obscurcir ou chiffrer les mots de passe associés au protocole SSL/TLS. Pour plus d'informations, reportez-vous à la section Utilitaire d'obfuscation de mot de passe.
Activation de TLS 1.2 pour la connexion HTTPS
Transport Layer Security (TLS) est un protocole de chiffrement qui garantit la sécurité des communications sur un réseau.
Procédez comme suit :
Assurez-vous de suivre ces étapes correctement ou vous risquez de perdre la connexion RDP.
  1. Exécutez l'utilitaire gpedit.msc à partir du système sur lequel NFA est installé.
  2. Sélectionnez Computer Configuration (Configuration ordinateur), Administrative Templates (Modèles d'administration), Windows Components (Composants Windows), Remote Desktop Services (Services Bureau à distance), Remote Desktop Session Host (Hôte de session Bureau à distance), Security (Sécurité).
  3. Double-cliquez sur
    Nécessite l'utilisation d'une couche de sécurité spécifique pour les connexions distantes (RDP)
    .
  4. Cliquez sur
    Activé
    .
  5. Dans la liste déroulante Couche de sécurité, sélectionnez
    Négocier
    .
  6. Cliquez sur
    OK
    .
  7. Sauvegardez le registre et créez le registre suivant pour TLS 1.0 et TLS 1.1 :
    1. Clé : HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server
      Valeur : Activé
      Type de valeur : REG_DWORD
      Données de valeur : 0
    2. Clé : HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server
      Valeur : Activé
      Type de valeur : REG_DWORD
      Données de valeur : 0
  8. Accédez à
    install_path\Portal\Jetty\etc
    .
  9. Modifiez le fichier
    jetty-ssl-context.xml
    et ajoutez les lignes suivantes après la balise
    <Set name="ExcludeCipherSuites">
    .
    <Set> . . <Array type="String"> <Item>SSL_RSA_WITH_DES_CBC_SHA</Item> <Item>SSL_DHE_RSA_WITH_DES_CBC_SHA</Item> <Item>SSL_DHE_DSS_WITH_DES_CBC_SHA</Item> <Item>SSL_RSA_EXPORT_WITH_RC4_40_MD5</Item> <Item>SSL_RSA_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_RSA_WITH_RC4_128_MD5</Item> <Item>TLS_RSA_WITH_RC4_128_MD5</Item> <Item>TLS_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_RSA_WITH_RC4_128_SHA</Item> <Item>TLS_ECDHE_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_ECDHE_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA256</Item> <Item>TLS_DHE_RSA_WITH_AES_128_GCM_SHA256</Item> </Array> </Set> <!--<Get name="sslContextFactory">--> <Set name="excludeProtocols"> <Array type="java.lang.String"> <Item>SSL</Item> <Item>SSLv2</Item> <Item>SSLv2Hello</Item> <Item>SSLv3</Item> <Item>TLSv1</Item> <Item>TLSv1.1</Item> </Array> </Set>
Intégration de
DX NetOps Network Flow Analysis
à DX NetOps Performance Management à l'aide de HTTPS ou TLS
Si vous effectuez l'intégration de
DX NetOps Network Flow Analysis
à DX NetOps Performance Management à l'aide de HTTPS ou TLS, procédez comme suit :
Applicable uniquement à la version 21.2.2
Pendant une mise à niveau, les fichiers jetty-ssl.xml et jetty-ssl-context.xml sont écrasés. Sauvegardez ces fichiers et remplacez l'ancien fichier dans le même répertoire.
Assurez-vous d'utiliser la barre oblique (/) lorsque vous spécifiez le chemin d'accès au certificat dans les fichiers de configuration de certificat.
  1. Modifiez le fichier
    chemin_installation
    /RIB/start.ini
    .
    1. Commentez les lignes suivantes pour désactiver la communication HTTP.
      --module=http jetty.port=8681
    2. Supprimez les commentaires des lignes suivantes et modifiez-les si nécessaire (
      keystore.password
      et
      keymanager.password
      doivent posséder la même valeur) pour activer la communication HTTPS.
      --module=https jetty.keystore= install_path/certs/nfa-console-keystore.pfx jetty.keystore.password=<user_defined> jetty.keymanager.password=<user_defined> jetty.truststore=
      install_path
      /certs/nfa-console-truststore.pfx jetty.truststore.password=<user_defined> https.port=8681
  2. Copiez les fichiers jetty-ssl.xml et jetty-ssl-context.xml du répertoire Portal/SSO/etc vers le répertoire RIB/etc/.
  3. Modification du fichier jetty-ssl.xml
    1. Définissez le port par défaut sur 8681 :
      <Set name="port"><Property name="jetty.ssl.port" deprecated="ssl.port" default="8382" /></Set>
    2. Commentez les propriétés ci-dessous dans la section <Call name="addConnector">.
      <Set name="reuseAddress"><Property name="jetty.ssl.reuseAddress" default="true"/></Set> <Set name="acceptedTcpNoDelay"><Property name="jetty.ssl.acceptedTcpNoDelay" default="true"/></Set> <Set name="acceptedReceiveBufferSize"><Property name="jetty.ssl.acceptedReceiveBufferSize" default="-1"/></Set> <Set name="acceptedSendBufferSize"><Property name="jetty.ssl.acceptedSendBufferSize" default="-1"/></Set> <Get name="SelectorManager"> <Set name="connectTimeout"><Property name="jetty.ssl.connectTimeout" default="15000"/></Set> </Get>
    3. Commentez la propriété ci-dessous dans la section <Call name="addCustomizer">.
      <Arg name="sniRequired" type="boolean"><Property name="jetty.ssl.sniRequired" default="false"/></Arg>
    4. Enregistrez et fermez le fichier.
  4. Modification du fichier jetty-ssl-context.xml
    1. Commentez les propriétés suivantes dans la section <Configure id="sslContextFactory"> :
      <Set name="sslSessionCacheSize"><Property name="jetty.sslContext.sslSessionCacheSize" default="-1"/></Set><Set name="sslSessionTimeout"><Property name="jetty.sslContext.sslSessionTimeout" default="-1"/></Set><Set name="RenegotiationAllowed"><Property name="jetty.sslContext.renegotiationAllowed" default="true"/></Set><Set name="RenegotiationLimit"><Property name="jetty.sslContext.renegotiationLimit" default="5"/></Set><Set name="SniRequired"><Property name="jetty.sslContext.sniRequired" default="false"/></Set>
    2. Pour exclure les chiffrements, ajoutez les lignes suivantes :
      <Set name="ExcludeCipherSuites"> <Array type="String"> <Item>SSL_RSA_WITH_DES_CBC_SHA</Item> <Item>SSL_DHE_RSA_WITH_DES_CBC_SHA</Item> <Item>SSL_DHE_DSS_WITH_DES_CBC_SHA</Item> <Item>SSL_RSA_EXPORT_WITH_RC4_40_MD5</Item> <Item>SSL_RSA_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_RSA_WITH_RC4_128_MD5</Item> <Item>TLS_RSA_WITH_RC4_128_MD5</Item> <Item>TLS_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_RSA_WITH_RC4_128_SHA</Item> <Item>TLS_ECDHE_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_ECDHE_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA256</Item> <Item>TLS_DHE_RSA_WITH_AES_128_GCM_SHA256</Item> </Array> </Set>
    3. Pour utiliser des protocoles de couche transport spécifiques, ajoutez les arguments suivants (applicable uniquement à TLS 1.2) :
      <Set name="excludeProtocols"> <Array type="java.lang.String"> <Item>SSL</Item> <Item>SSLv2</Item> <Item>SSLv2Hello</Item> <Item>SSLv3</Item> <Item>TLSv1</Item> <Item>TLSv1.1</Item> </Array> </Set>
  5. Vérifiez que les ports 8382 et 8681 sont ouverts si les pare-feu sont activés.
  6. Redémarrez les services suivants dans l'ordre indiqué.
    • CA MySQL
    • NetQoS NQMySql
    • Harvester CA NFA
    • Services Web de collecte et d'interrogation de CA NFA
    • Conservation de données CA NFA
    • Proxys DNS/SNMP de CA NFA
    • Serveur de fichiers CA NFA
    • Interrogateur de CA NFA
    • Reaper de CA NFA