如何在SEP12.1的管理服務器和客戶端之間啓用SSL

問題

如何在 SEP 12.1 中的 SEPM 服務器和客戶端之間啓用安全套接層協議 ----Secure Sockets Layer (SSL)

環境

本文檔僅針對於 Symantec Endpoint Protection 12.1

SSL 在 SEP 11.x 版本中，使用的是 IIS 服務器，而不是Apache.

這部分內容請參考 http://www.symantec.com/docs/TECH102371 （ SEP 11.x: Configuring SSL to work with the SEPM on Windows Server 2003.）

解決方案

在管理服務器和客戶端之間配置 SSL 包括以下幾步:

1. 檢查 SSL 的端口是否可用

默認的 SSL 端口是 443，可以通過在命令行模式下輸入以下命令來驗證端口是否已經被佔用。netstat -an | find ":443" 如果有返回結果，則端口已經被佔用。我們需要更改佔用此端口的程序和服務的配置，或者選擇使用另外一個沒有被使用的端口。如果端口 443 不可用，可以選擇一個範圍在 (49152-65535) 的端口。這是IANA 推薦的私有端口使用範圍。

2. 如果必要的話，修改 SSL 默認端口。

以下操作僅限 443 端口不可用，或者需要自定義指定 SSL 端口。

■ 在文本編輯器中，打開下列文件：

安裝目錄>\apache\conf\ssl\sslForClients.conf

注意：默認情況下，SEPM 安裝目錄應該是

32 位操作系統：C:\Program Files\Symantec\Symantec Endpoint Protection Manager

64 位操作系統：C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager

■ 編輯字符串 Listen 443 和 “”。

例如：如果新指定端口爲 53300，那麼新字符串應改爲 Listen 53300 和

■ 保存文件並關閉文件編輯器。

3. 打開 Apache 的 SSL 端口。

編輯 httpd.config 文件，開啓 SEPM 和客戶端之間的 SSL 通信。

■ 打開文本編輯器，編輯以下文件。

安裝目錄>\apache\conf\httpd.conf

注意：默認情況下，SEPM 安裝目錄應該是

32 位操作系統：C:\Program Files\Symantec\Symantec Endpoint Protection Manager

64 位操作系統：C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager

■ 找到 #Include conf/ssl/sslForClients.conf 這一行。

■ 刪除 #，改爲 Include conf/ssl/sslForClients.conf。

■ 保存文件，並且退出文本編輯器。

■ 在服務管理器中，重新啓動 "Symantec Endpoint Protection Manager Webserver" 服務。同時，此動作將重啓依存於該服務的另外一個服務———Symantec Endpoint Protection Manager服務。

4. 啓用客戶端上的 SSL 通信。

■ 在 SEPM 控制檯上，進入策略---策略組件---管理服務器列表

■ 在已存在的列表當中編輯，或者新建一個列表。

■ 選擇“使用 HTTPS 協議”選項

■ 確認“當使用 HTTPS 協議時驗證身份證書”屬性沒有被勾選。

■ 在編輯或新添加管理服務器列表時，添加服務器的名稱和 IP 地址。在指定 HTTPS 端口，鍵入 443 或者是其他指定端口號。比如在上面的例子中，我們應該在這裏輸入 53300。

■ 點擊確認。

■ 指派這個策略到客戶端組。

■ 當這個客戶端組下的客戶段得到了新的策略，客戶端將會切換到 SSL 指定端口與 SEPM 通信。

5. 驗證 SSL 端口工作正常。

打開一個在第四步中接收到新策略的客戶段界面，查看幫助---疑難解答---聯接狀態。這裏顯示了上一次聯接嘗試，上一次成功聯接，服務器名稱和通信端口號等信息，可以確認是否聯接成功。如果客戶端沒有通過 SSL 與服務器聯接成功，可點擊“聯接”按鈕，立即突發一個聯接請求。

另外，我們也可以通過在客戶端 IE 地址欄中鍵入

https://ServerHostName:/secars/secars.dll?hello,secars

去驗證 SSL 通信。在這個 URL 中，ServerHostName 是 SEPM 的計算機名， 是SSL 默認的 443 端口或是其他指定端口。

如果 SSL 通信沒有問題，則顯示 SSL configuration is successful.

如果顯示頁面錯誤，則重複以上步驟。並且驗證以上步驟修改配置文件時，添加/刪除的語句是否符合格式要求。

同時還要覈對是否 URL 地址正確。

注意：如果你看到一個警告提示說這個是非受信站點，是正常的。本篇文章正是描述如何允許SSL 使用非受信的數字證書的。只要您在第四步的 d 步驟中，沒有勾選“當使用 HTTPS 協議時驗證身份證書”，就應該沒有問題。

 

From Symantec

 

專家點評：

首先驗證 SSL 端口工作正常在IE上輸入

https://ServerHostName:/secars/secars.dll?hello,secars

如果 SSL 通信沒有問題，顯示的是“OK”。

其次，默認SEPM與SEP正常的通信端口是“8014”。

相關資料如下：

NBU與Netbackup

http://blog.sina.com.cn/s/articlelist_1768282477_15_1.html