如何在SEP12.1的管理服务器和客户端之间启用SSL
问题
如何在 SEP 12.1 中的 SEPM 服务器和客户端之间启用安全套接层协议 ----Secure Sockets Layer (SSL)
环境
本文档仅针对于 Symantec Endpoint Protection 12.1
SSL 在 SEP 11.x 版本中,使用的是 IIS 服务器,而不是Apache.
这部分内容请参考 http://www.symantec.com/docs/TECH102371 ( SEP 11.x: Configuring SSL to work with the SEPM on Windows Server 2003.)
解决方案
在管理服务器和客户端之间配置 SSL 包括以下几步:
1. 检查 SSL 的端口是否可用
默认的 SSL 端口是 443,可以通过在命令行模式下输入以下命令来验证端口是否已经被占用。netstat -an | find ":443" 如果有返回结果,则端口已经被占用。我们需要更改占用此端口的程序和服务的配置,或者选择使用另外一个没有被使用的端口。如果端口 443 不可用,可以选择一个范围在 (49152-65535) 的端口。这是IANA 推荐的私有端口使用范围。
2. 如果必要的话,修改 SSL 默认端口。
以下操作仅限 443 端口不可用,或者需要自定义指定 SSL 端口。
■ 在文本编辑器中,打开下列文件:
安装目录>\apache\conf\ssl\sslForClients.conf
注意:默认情况下,SEPM 安装目录应该是
32 位操作系统:C:\Program Files\Symantec\Symantec Endpoint Protection Manager
64 位操作系统:C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager
■ 编辑字符串 Listen 443 和 “”。
例如:如果新指定端口为 53300,那么新字符串应改为 Listen 53300 和
■ 保存文件并关闭文件编辑器。
3. 打开 Apache 的 SSL 端口。
编辑 httpd.config 文件,开启 SEPM 和客户端之间的 SSL 通信。
■ 打开文本编辑器,编辑以下文件。
安装目录>\apache\conf\httpd.conf
注意:默认情况下,SEPM 安装目录应该是
32 位操作系统:C:\Program Files\Symantec\Symantec Endpoint Protection Manager
64 位操作系统:C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager
■ 找到 #Include conf/ssl/sslForClients.conf 这一行。
■ 删除 #,改为 Include conf/ssl/sslForClients.conf。
■ 保存文件,并且退出文本编辑器。
■ 在服务管理器中,重新启动 "Symantec Endpoint Protection Manager Webserver" 服务。同时,此动作将重启依存于该服务的另外一个服务———Symantec Endpoint Protection Manager服务。
4. 启用客户端上的 SSL 通信。
■ 在 SEPM 控制台上,进入策略---策略组件---管理服务器列表
■ 在已存在的列表当中编辑,或者新建一个列表。
■ 选择“使用 HTTPS 协议”选项
■ 确认“当使用 HTTPS 协议时验证身份证书”属性没有被勾选。
■ 在编辑或新添加管理服务器列表时,添加服务器的名称和 IP 地址。在指定 HTTPS 端口,键入 443 或者是其他指定端口号。比如在上面的例子中,我们应该在这里输入 53300。
■ 点击确认。
■ 指派这个策略到客户端组。
■ 当这个客户端组下的客户段得到了新的策略,客户端将会切换到 SSL 指定端口与 SEPM 通信。
5. 验证 SSL 端口工作正常。
打开一个在第四步中接收到新策略的客户段界面,查看帮助---疑难解答---联接状态。这里显示了上一次联接尝试,上一次成功联接,服务器名称和通信端口号等信息,可以确认是否联接成功。如果客户端没有通过 SSL 与服务器联接成功,可点击“联接”按钮,立即突发一个联接请求。
另外,我们也可以通过在客户端 IE 地址栏中键入
https://ServerHostName:/secars/secars.dll?hello,secars
去验证 SSL 通信。在这个 URL 中,ServerHostName 是 SEPM 的计算机名, 是SSL 默认的 443 端口或是其他指定端口。
如果 SSL 通信没有问题,则显示 SSL configuration is successful.
如果显示页面错误,则重复以上步骤。并且验证以上步骤修改配置文件时,添加/删除的语句是否符合格式要求。
同时还要核对是否 URL 地址正确。
注意:如果你看到一个警告提示说这个是非受信站点,是正常的。本篇文章正是描述如何允许SSL 使用非受信的数字证书的。只要您在第四步的 d 步骤中,没有勾选“当使用 HTTPS 协议时验证身份证书”,就应该没有问题。
From Symantec
专家点评:
首先验证 SSL 端口工作正常在IE上输入
https://ServerHostName:/secars/secars.dll?hello,secars
如果 SSL 通信没有问题,显示的是“OK”。
其次,默认SEPM与SEP正常的通信端口是“8014”。
相关资料如下:
NBU与Netbackup
http://blog.sina.com.cn/s/articlelist_1768282477_15_1.html