您的位置: 首页  >  文章  >  如何在SEP12.1的管理服务器和客户端之间启用SSL

如何在SEP12.1的管理服务器和客户端之间启用SSL

分类: 文章 2024-09-22 10:42:58

问题

如何在 SEP 12.1 中的 SEPM 服务器和客户端之间启用安全套接层协议 ----Secure Sockets Layer (SSL)

环境

本文档仅针对于 Symantec Endpoint Protection 12.1

SSL  SEP 11.x 版本中,使用的是 IIS 服务器,而不是Apache.

这部分内容请参考 http://www.symantec.com/docs/TECH102371  SEP 11.x: Configuring SSL to work with the SEPM on Windows Server 2003.

解决方案

在管理服务器和客户端之间配置 SSL 包括以下几步:

1. 检查 SSL 的端口是否可用

默认的 SSL 端口是 443,可以通过在命令行模式下输入以下命令来验证端口是否已经被占用。netstat -an | find ":443" 如果有返回结果,则端口已经被占用。我们需要更改占用此端口的程序和服务的配置,或者选择使用另外一个没有被使用的端口。如果端口 443 不可用,可以选择一个范围在 (49152-65535) 的端口。这是IANA 推荐的私有端口使用范围。

如何在SEP12.1的管理服务器和客户端之间启用SSL

2. 如果必要的话,修改 SSL 默认端口。

以下操作仅限 443 端口不可用,或者需要自定义指定 SSL 端口。

 在文本编辑器中,打开下列文件:

安装目录>\apache\conf\ssl\sslForClients.conf

注意:默认情况下,SEPM 安装目录应该是

32 位操作系统:C:\Program Files\Symantec\Symantec Endpoint Protection Manager

64 位操作系统:C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager

 编辑字符串 Listen 443  “”。

例如:如果新指定端口为 53300,那么新字符串应改为 Listen 53300 

如何在SEP12.1的管理服务器和客户端之间启用SSL

 保存文件并关闭文件编辑器。

3. 打开 Apache  SSL 端口。

编辑 httpd.config 文件,开启 SEPM 和客户端之间的 SSL 通信。

 打开文本编辑器,编辑以下文件。

安装目录>\apache\conf\httpd.conf

注意:默认情况下,SEPM 安装目录应该是

32 位操作系统:C:\Program Files\Symantec\Symantec Endpoint Protection Manager

64 位操作系统:C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager

如何在SEP12.1的管理服务器和客户端之间启用SSL

 找到 #Include conf/ssl/sslForClients.conf 这一行。

 删除 #,改为 Include conf/ssl/sslForClients.conf

 保存文件,并且退出文本编辑器。

 在服务管理器中,重新启动 "Symantec Endpoint Protection Manager Webserver" 服务。同时,此动作将重启依存于该服务的另外一个服务———Symantec Endpoint Protection Manager服务。

如何在SEP12.1的管理服务器和客户端之间启用SSL如何在SEP12.1的管理服务器和客户端之间启用SSL

4. 启用客户端上的 SSL 通信。

  SEPM 控制台上,进入策略---策略组件---管理服务器列表

 在已存在的列表当中编辑,或者新建一个列表。

 选择“使用 HTTPS 协议”选项

 确认“当使用 HTTPS 协议时验证身份证书”属性没有被勾选。

 在编辑或新添加管理服务器列表时,添加服务器的名称和 IP 地址。在指定 HTTPS 端口,键入 443 或者是其他指定端口号。比如在上面的例子中,我们应该在这里输入 53300

如何在SEP12.1的管理服务器和客户端之间启用SSL

 点击确认。

 指派这个策略到客户端组。

如何在SEP12.1的管理服务器和客户端之间启用SSL

 当这个客户端组下的客户段得到了新的策略,客户端将会切换到 SSL 指定端口与 SEPM 通信。

如何在SEP12.1的管理服务器和客户端之间启用SSL

5. 验证 SSL 端口工作正常。

打开一个在第四步中接收到新策略的客户段界面,查看帮助---疑难解答---联接状态。这里显示了上一次联接尝试,上一次成功联接,服务器名称和通信端口号等信息,可以确认是否联接成功。如果客户端没有通过 SSL 与服务器联接成功,可点击“联接”按钮,立即突发一个联接请求。

如何在SEP12.1的管理服务器和客户端之间启用SSL如何在SEP12.1的管理服务器和客户端之间启用SSL

另外,我们也可以通过在客户端 IE 地址栏中键入

https://ServerHostName:/secars/secars.dll?hello,secars

去验证 SSL 通信。在这个 URL 中,ServerHostName  SEPM 的计算机名, SSL 默认的 443 端口或是其他指定端口。

如果 SSL 通信没有问题,则显示 SSL configuration is successful.

如何在SEP12.1的管理服务器和客户端之间启用SSL

如果显示页面错误,则重复以上步骤。并且验证以上步骤修改配置文件时,添加/删除的语句是否符合格式要求。

同时还要核对是否 URL 地址正确。

注意:如果你看到一个警告提示说这个是非受信站点,是正常的。本篇文章正是描述如何允许SSL 使用非受信的数字证书的。只要您在第四步的 步骤中,没有勾选“当使用 HTTPS 协议时验证身份证书”,就应该没有问题。

 

From Symantec

 

专家点评:

首先验证 SSL 端口工作正常在IE上输入

https://ServerHostName:/secars/secars.dll?hello,secars

如果 SSL 通信没有问题,显示的是“OK”。

如何在SEP12.1的管理服务器和客户端之间启用SSL

其次,默认SEPMSEP正常的通信端口是“8014”。

如何在SEP12.1的管理服务器和客户端之间启用SSL

相关资料如下:

NBUNetbackup

http://blog.sina.com.cn/s/articlelist_1768282477_15_1.html

 

相关推荐