Activation de HTTPS pour Network Flow Analysis
(NFA) peut être configuré pour une communication sécurisée via l'interface Web.
nfa1000
DX NetOps Network Flow Analysis
(NFA) peut être configuré pour une communication sécurisée via l'interface Web.A partir de la version 21.2.4, l'utilitaire
Password Obfuscation
(Obfuscation de mot de passe) vous permet d'obscurcir ou de chiffrer les mots de passe associés au protocole SSL/TLS dans les fichiers de configuration SSL/TLS qui sont actuellement en texte brut. Pour plus d'informations, reportez-vous à la section Utilitaire d'obfuscation de mot de passe.Prérequis
Créez les fichiers de certificat requis à l'aide de la procédure de la section Génération ou configuration de certificats pour utilisation par CA Network Flow Analysis.
Activation de HTTPS sur la console
Procédez comme suit :
- Installez le certificat de l'autorité de certification(généré comme un prérequis) en tant qu'autorité de certification (CA) approuvée pour votre serveur.
- Double-cliquez sur le fichiernfa-console-truststore.pfx.L'assistant Certificate Import (Importation de certificat) s'ouvre.
- Sur l'écranWelcome to the Certificate Import Wizard(Bienvenue dans l'assistant d'importation de certificat), sélectionnezLocal Machine(Ordinateur local), puis cliquez surSuivant.
- Sur l'écranFile to import(Fichier à importer), entrez le chemin d'accès et le nom du fichier que vous voulez importer, puis cliquez surNext(Suivant).Si le fichier est protégé par mot de passe, vous pouvez être invité à entrer le mot de passe à ce stade.
- (Facultatif) Entrez le mot de passe, puis cliquez surNext(Suivant).
- Sur l'écran Certificate Store (Magasin de certificats), sélectionnez l'optionPlace all the certificates in the following store(Placer tous les certificats dans le magasin suivant).
- Cliquez surBrowse(Parcourir), sélectionnezTrusted Root Certification Authorities(Autorités de certification racines approuvées), puis cliquez surOK.
- Cliquez surSuivant.
- Sur l'écranCompleting the Certificate Import Wizard(Exécution de l'assistant Importation de certificat), vérifiez les informations d'importation et cliquez surFinish(Terminer).
- Cliquez surOKpour fermer l'assistant.
- Installez le certificat SSL de la console.
- Installez un certificat signé dans les certificats de serveur du gestionnaire IIS.
- Dans leGestionnaire des services Internet (IIS), accédez à la vueFonctionnalités.
- OuvrezCertificats de serveur.
- SousActions, cliquez surImporterpour importer le fichiernfa-console-keystore.pfx.
Reportez-vous à la section Installation d'un certificat de serveur Internet. - Pour confirmer que le certificat a été correctement installé, ouvrez-le et sélectionnez l'ongletChemin de certification.Sélectionnez chaque certificat affiché dans le chemin de certification et vérifiez que le champÉtat du certificatindique "Ce certificat est valide.". Contactez le fournisseur de certificats si le champÉtat du certificataffiche des erreurs.

- Configurez l'application IIS de port HTTPS. Par défaut, IIS ne dispose pas d'une liaison pour HTTPS.
- Dans leGestionnaire des services Internet (IIS), accédez auSite Web par défaut.
- SousActions, cliquez surLiaisons.
- Dans la boîte de dialogueLiaisons de sites, cliquez surAjouter.

- Sélectionnez le certificat signé dans laliste de certificats SSL.
Ne désactivez pas la liaison au port HTTP 80. En effet,DX NetOps Network Flow Analysisne fonctionnera pas correctement si le protocole HTTP est désactivé.
- Modifiez le fichier XML de configuration du produit.install_path\Portal\SSO\webapps\sso\configuration\ReporterAnalyzer.xml
- Dans la sectionSignInPageProductDefaultUrl, faites passer leSchémade http à https.
- Entrez 443 pour le champPort(vide par défaut).
Exemple :<?xml version="1.0" encoding="utf-8" ?> <Configuration> <SingleSignOnEnabled>True</SingleSignOnEnabled> <SingleSignOnProductCode>ra</SingleSignOnProductCode> <SignInPageProductTitle><![CDATA[NetQoS<sup><font class="Superscript">®</font></sup> ReporterAnalyzer<sup><font class="Superscript">™</font></sup>]] ></SignInPageProductTitle> <SignInPageProductDescription>Network Traffic Analysis</SignInPageProductDescription> <SignInPageProductDefaultUrl> <Scheme>https</Scheme> <Port>443</Port> <PathAndQuery>/ra/default.aspx</PathAndQuery> </SignInPageProductDefaultUrl> <SingleSignOnWebServiceUrl> <Scheme>http</Scheme> <Port></Port> <PathAndQuery>/ReporterDataSource/SingleSignOnWS.asmx</PathAndQuery> </SingleSignOnWebServiceUrl> </Configuration> - Configurez le schéma et le port SSL d'authentification unique.Exécutezinstall_path\Portal\sso\bin\SsoConfig.exe.SSO Configuration: 1. DX NetOps 2. CA Network Flow AnalysisChoose an option: >2SSO Configuration/CA Network Flow Analysis: 1. LDAP Authentication 2. SAML2 Authentication 3. Performance Center 4. Single Sign-On 5. Test LDAP 6. Export SAML2 Service Provider MetadataChoose an option: >4SSO Configuration/CA Network Flow Analysis/Single Sign-On: Anonymous User Enabled: Disabled Anonymous User ID: >2 Localhost User Sign-In Page Enabled: Disabled Localhost User Enabled: Enabled Localhost User ID: 1 Cookie Timeout Minutes: 20 Encryption Decryption Key: #$utP9%z Encryption Algorithm: DESFailed Sleep Seconds: 3 Remember Me Enabled: Enabled Remember Me Timeout Days: 15 Scheme: http Port: 8381 Virtual Directory: so 1. Remote Value 2. Local OverrideChoose an option >2SSO Configuration/CA Network Flow Analysis/Single Sign-On/Local Override: 1. Anonymous User Enabled: 2. Anonymous User ID: 3. Localhost User Sign-In Page Enabled: 4. Localhost User Enabled: 5. Localhost User ID: 6. Cookie Timeout Minutes: 7. Encryption Decryption Key: 8. Encryption Algorithm: 9. Failed Sleep Seconds: 10. Remember Me Enabled: 11. Remember Me Timeout Days: 12. Scheme: 13. Port: 14. Virtual Directory: 15. Scheme for Data Sources: 16. Port for Data Sources:Select a Property > 12Enter u to update to new value >u Enter new value >https SSO Configuration/CA Network Flow Analysis/Single Sign-On/Local Override: 1. Anonymous User Enabled: 2. Anonymous User ID: 3. Localhost User Sign-In Page Enabled: 4. Localhost User Enabled: 5. Localhost User ID: 6. Cookie Timeout Minutes: 7. Encryption Decryption Key: 8. Encryption Algorithm: 9. Failed Sleep Seconds: 10. Remember Me Enabled: 11. Remember Me Timeout Days: 12. Scheme: https 13. Port: 14. Virtual Directory: 15. Scheme for Data Sources: 16. Port for Data Sources:Select a Property >13Enter u to update to new value >u Enter new value >8382 Enter q to quit SsoConfig SSO Configuration/CA Network Flow Analysis/Single Sign-On/Local Override: 1. Anonymous User Enabled: 2. Anonymous User ID: 3. Localhost User Sign-In Page Enabled: 4. Localhost User Enabled: 5. Localhost User ID: 6. Cookie Timeout Minutes: 7. Encryption Decryption Key: 8. Encryption Algorithm: 9. Failed Sleep Seconds: 10. Remember Me Enabled: 11. Remember Me Timeout Days: 12. Scheme: https 13. Port: 14. Virtual Directory: 15. Scheme for Data Sources: 16. Port for Data Sources:Select a Property >15Property: Scheme for Data Sources (Local Override) Value: Example: http Description: This field specifies the URL scheme that data sources and internal processes can use to access the Single Sign-On application. Must be set to same value as Scheme, when not using a reverse proxy. Enter r to reset the value, u to update to new value > u Enter \q to quit or \b to go back to previous menu Enter new value > https SSO Configuration/CA Network Flow Analysis/Single Sign-On/Local Override: 1. Anonymous User Enabled: 2. Anonymous User ID: 3. Localhost User Sign-In Page Enabled: 4. Localhost User Enabled: 5. Localhost User ID: 6. Cookie Timeout Minutes: 7. Encryption Decryption Key: 8. Encryption Algorithm: 9. Failed Sleep Seconds: 10. Remember Me Enabled: 11. Remember Me Timeout Days: 12. Scheme: https 13. Port: 14. Virtual Directory: 15. Scheme for Data Sources: 16. Port for Data Sources:Select a Property >16Property: Port for Data Sources (Local Override) Value: Example: 8381 Description: This field specifies the URL port that data sources and internal processes can use to access the Single Sign-On application. Must be set to same value as Port, when not using a reverse proxy. Enter r to reset the value, u to update to new value > u Enter \q to quit or \b to go back to previous menu Enter new value > 8382 SSO Configuration/CA Network Flow Analysis/Single Sign-On/Local Override: 1. Anonymous User Enabled: 2. Anonymous User ID: 3. Localhost User Sign-In Page Enabled: 4. Localhost User Enabled: 5. Localhost User ID: 6. Cookie Timeout Minutes: 7. Encryption Decryption Key: 8. Encryption Algorithm: 9. Failed Sleep Seconds: 10. Remember Me Enabled: 11. Remember Me Timeout Days: 12.Scheme: https13.Port: 838214. Virtual Directory: 15.Scheme for Data Sources: https16.Port for Data Sources: 8382Select a Property >
- Sauvegardez et modifiez le fichier SSOstart.ini.Modifiez le fichierinstall_path\Portal\SSO\start.ini.
- Supprimez les commentaires de la ligne--module=sslde manière à ce qu'elle soit active :--module=ssl
- Remplacez la ligne--module=httppar https :--module=https
- Configurez les fichiers SSOjetty-https.xml,jetty-ssl.xmletjetty-ssl-context.xml.Applicable uniquement à la version 21.2.2Pendant une mise à niveau, ces fichiers sont sauvegardés automatiquement sur install_path/Potral/SSO.backup. Après la mise à niveau, copiez ces fichiers dans le répertoire install_path\Portal\Jetty\etc\.
- Copiez le modèlejetty-https.xmldepuisinstall_path\Portal\Jetty\etc\jetty-https.xmlversinstall_path\Portal\SSO\etc\jetty-https.xml
- Copiez le modèlejetty-ssl.xmldepuis
versinstall_path\Portal\Jetty\etc\jetty-ssl.xmlinstall_path\Portal\SSO\etc\jetty-ssl.xml - Copiez le modèlejetty-ssl-context.xmldepuisinstall_path\Portal\Jetty\etc\jetty-ssl-context.xmlversinstall_path\Portal\SSO\etc\jetty-ssl-context.xml
- Modifiez le fichierinstall_path\Portal\SSO\etc\jetty-ssl.xml.Dans la sectionaddConnector, définissez le port sur 8382.<Set name="port"><Property name="jetty.ssl.port" deprecated="ssl.port" default="8382" /></Set>
- Modifiez le fichierinstall_path\Portal\SSO\etc\jetty-ssl-context.xml.Modifiez la sectionsslContextFactorypour qu'elle contienne les lignes suivantes.<Set name="KeyStorePath"> <Property name="jetty.sslContext.keyStoreAbsolutePath"> <Default> <Property name="jetty.sslContext.keyStorePath" deprecated="jetty.keystore" default="install_path/certs/nfa-console-keystore.pfx"/> </Default> </Property> </Set> <Set name="KeyStorePassword"><Property name="jetty.sslContext.keyStorePassword" deprecated="jetty.keystore.password" default="yourkeypassword"/></Set> <Set name="KeyStoreType"><Property name="jetty.sslContext.keyStoreType" default="pkcs12"/></Set> <Set name="KeyStoreProvider"><Property name="jetty.sslContext.keyStoreProvider"/></Set> <Set name="KeyManagerPassword"><Property name="jetty.sslContext.keyManagerPassword" deprecated="jetty.keymanager.password" default="yourkeypassword"/> </Set> <Set name="TrustStorePath"> <Property name="jetty.sslContext.trustStoreAbsolutePath"> <Default> <Property name="jetty.sslContext.trustStorePath" deprecated="jetty.truststore" default="install_path/certs/nfa-console-truststore.pfx"/> </Default> </Property> </Set> <Set name="TrustStorePassword"> <Property name="jetty.sslContext.trustStorePassword" deprecated="jetty.truststore.password" default="yourkeypassword"/> </Set> <Set name="TrustStoreType"><Property name="jetty.sslContext.trustStoreType" default="pkcs12"/></Set> <Set name="TrustStoreProvider"> <Property name="jetty.sslContext.trustStoreProvider"/></Set>Utilisez le mot de passe de référentiel de clés/approbations créé à l'étape Génération ou configuration de certificats pour utilisation par CA Network Flow Analysis pourKeyStorePasswordetTrustStorePassword.
- Redémarrez la console NFA pour appliquer les modifications.
- Vérifiez que vous pouvez accéder à la console NFA à l'aide d'une connexion HTTPS.A partir de la version 21.2.4, exécutez l'utilitaire d'obfuscation de mot de passe pour obscurcir ou chiffrer les mots de passe associés au protocole SSL/TLS. Pour plus d'informations, reportez-vous à la section Utilitaire d'obfuscation de mot de passe.
Activation de TLS 1.2 pour la connexion HTTPS
Transport Layer Security (TLS) est un protocole de chiffrement qui garantit la sécurité des communications sur un réseau.
Procédez comme suit :
Assurez-vous de suivre ces étapes correctement ou vous risquez de perdre la connexion RDP.
- Exécutez l'utilitaire gpedit.msc à partir du système sur lequel NFA est installé.
- Sélectionnez Computer Configuration (Configuration ordinateur), Administrative Templates (Modèles d'administration), Windows Components (Composants Windows), Remote Desktop Services (Services Bureau à distance), Remote Desktop Session Host (Hôte de session Bureau à distance), Security (Sécurité).
- Double-cliquez surNécessite l'utilisation d'une couche de sécurité spécifique pour les connexions distantes (RDP).
- Cliquez surActivé.
- Dans la liste déroulante Couche de sécurité, sélectionnezNégocier.
- Cliquez surOK.
- Sauvegardez le registre et créez le registre suivant pour TLS 1.0 et TLS 1.1 :
- Clé : HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\ServerValeur : ActivéType de valeur : REG_DWORDDonnées de valeur : 0
- Clé : HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\ServerValeur : ActivéType de valeur : REG_DWORDDonnées de valeur : 0
- Accédez àinstall_path\Portal\Jetty\etc.
- Modifiez le fichierjetty-ssl-context.xmlet ajoutez les lignes suivantes après la balise<Set name="ExcludeCipherSuites">.<Set> . . <Array type="String"> <Item>SSL_RSA_WITH_DES_CBC_SHA</Item> <Item>SSL_DHE_RSA_WITH_DES_CBC_SHA</Item> <Item>SSL_DHE_DSS_WITH_DES_CBC_SHA</Item> <Item>SSL_RSA_EXPORT_WITH_RC4_40_MD5</Item> <Item>SSL_RSA_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_RSA_WITH_RC4_128_MD5</Item> <Item>TLS_RSA_WITH_RC4_128_MD5</Item> <Item>TLS_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_RSA_WITH_RC4_128_SHA</Item> <Item>TLS_ECDHE_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_ECDHE_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA256</Item> <Item>TLS_DHE_RSA_WITH_AES_128_GCM_SHA256</Item> </Array> </Set> <!--<Get name="sslContextFactory">--> <Set name="excludeProtocols"> <Array type="java.lang.String"> <Item>SSL</Item> <Item>SSLv2</Item> <Item>SSLv2Hello</Item> <Item>SSLv3</Item> <Item>TLSv1</Item> <Item>TLSv1.1</Item> </Array> </Set>
Intégration de
DX NetOps Network Flow Analysis
à DX NetOps Performance Management à l'aide de HTTPS ou TLSSi vous effectuez l'intégration de
DX NetOps Network Flow Analysis
à DX NetOps Performance Management à l'aide de HTTPS ou TLS, procédez comme suit :Applicable uniquement à la version 21.2.2
Pendant une mise à niveau, les fichiers jetty-ssl.xml et jetty-ssl-context.xml sont écrasés. Sauvegardez ces fichiers et remplacez l'ancien fichier dans le même répertoire.
Assurez-vous d'utiliser la barre oblique (/) lorsque vous spécifiez le chemin d'accès au certificat dans les fichiers de configuration de certificat.
- Modifiez le fichier.chemin_installation/RIB/start.ini
- Commentez les lignes suivantes pour désactiver la communication HTTP.--module=http jetty.port=8681
- Supprimez les commentaires des lignes suivantes et modifiez-les si nécessaire (keystore.passwordetkeymanager.passworddoivent posséder la même valeur) pour activer la communication HTTPS.--module=https jetty.keystore= install_path/certs/nfa-console-keystore.pfx jetty.keystore.password=<user_defined> jetty.keymanager.password=<user_defined> jetty.truststore=install_path/certs/nfa-console-truststore.pfx jetty.truststore.password=<user_defined> https.port=8681
- Copiez les fichiers jetty-ssl.xml et jetty-ssl-context.xml du répertoire Portal/SSO/etc vers le répertoire RIB/etc/.
- Modification du fichier jetty-ssl.xml
- Définissez le port par défaut sur 8681 :<Set name="port"><Property name="jetty.ssl.port" deprecated="ssl.port" default="8382" /></Set>
- Commentez les propriétés ci-dessous dans la section <Call name="addConnector">.<Set name="reuseAddress"><Property name="jetty.ssl.reuseAddress" default="true"/></Set> <Set name="acceptedTcpNoDelay"><Property name="jetty.ssl.acceptedTcpNoDelay" default="true"/></Set> <Set name="acceptedReceiveBufferSize"><Property name="jetty.ssl.acceptedReceiveBufferSize" default="-1"/></Set> <Set name="acceptedSendBufferSize"><Property name="jetty.ssl.acceptedSendBufferSize" default="-1"/></Set> <Get name="SelectorManager"> <Set name="connectTimeout"><Property name="jetty.ssl.connectTimeout" default="15000"/></Set> </Get>
- Commentez la propriété ci-dessous dans la section <Call name="addCustomizer">.<Arg name="sniRequired" type="boolean"><Property name="jetty.ssl.sniRequired" default="false"/></Arg>
- Enregistrez et fermez le fichier.
- Modification du fichier jetty-ssl-context.xml
- Commentez les propriétés suivantes dans la section <Configure id="sslContextFactory"> :<Set name="sslSessionCacheSize"><Property name="jetty.sslContext.sslSessionCacheSize" default="-1"/></Set><Set name="sslSessionTimeout"><Property name="jetty.sslContext.sslSessionTimeout" default="-1"/></Set><Set name="RenegotiationAllowed"><Property name="jetty.sslContext.renegotiationAllowed" default="true"/></Set><Set name="RenegotiationLimit"><Property name="jetty.sslContext.renegotiationLimit" default="5"/></Set><Set name="SniRequired"><Property name="jetty.sslContext.sniRequired" default="false"/></Set>
- Pour exclure les chiffrements, ajoutez les lignes suivantes :<Set name="ExcludeCipherSuites"> <Array type="String"> <Item>SSL_RSA_WITH_DES_CBC_SHA</Item> <Item>SSL_DHE_RSA_WITH_DES_CBC_SHA</Item> <Item>SSL_DHE_DSS_WITH_DES_CBC_SHA</Item> <Item>SSL_RSA_EXPORT_WITH_RC4_40_MD5</Item> <Item>SSL_RSA_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_RSA_WITH_RC4_128_MD5</Item> <Item>TLS_RSA_WITH_RC4_128_MD5</Item> <Item>TLS_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_RSA_WITH_RC4_128_SHA</Item> <Item>TLS_ECDHE_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_ECDHE_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA256</Item> <Item>TLS_DHE_RSA_WITH_AES_128_GCM_SHA256</Item> </Array> </Set>
- Pour utiliser des protocoles de couche transport spécifiques, ajoutez les arguments suivants (applicable uniquement à TLS 1.2) :<Set name="excludeProtocols"> <Array type="java.lang.String"> <Item>SSL</Item> <Item>SSLv2</Item> <Item>SSLv2Hello</Item> <Item>SSLv3</Item> <Item>TLSv1</Item> <Item>TLSv1.1</Item> </Array> </Set>
- Vérifiez que les ports 8382 et 8681 sont ouverts si les pare-feu sont activés.
- Redémarrez les services suivants dans l'ordre indiqué.
- CA MySQL
- NetQoS NQMySql
- Harvester CA NFA
- Services Web de collecte et d'interrogation de CA NFA
- Conservation de données CA NFA
- Proxys DNS/SNMP de CA NFA
- Serveur de fichiers CA NFA
- Interrogateur de CA NFA
- Reaper de CA NFA