如何在SEP12.1的管理服务器和客户端之间启用SSL

问题

如何在 SEP 12.1 中的 SEPM 服务器和客户端之间启用安全套接层协议 ----Secure Sockets Layer (SSL)

环境

本文档仅针对于 Symantec Endpoint Protection 12.1

SSL 在 SEP 11.x 版本中，使用的是 IIS 服务器，而不是Apache.

这部分内容请参考 http://www.symantec.com/docs/TECH102371 （ SEP 11.x: Configuring SSL to work with the SEPM on Windows Server 2003.）

解决方案

在管理服务器和客户端之间配置 SSL 包括以下几步:

1. 检查 SSL 的端口是否可用

默认的 SSL 端口是 443，可以通过在命令行模式下输入以下命令来验证端口是否已经被占用。netstat -an | find ":443" 如果有返回结果，则端口已经被占用。我们需要更改占用此端口的程序和服务的配置，或者选择使用另外一个没有被使用的端口。如果端口 443 不可用，可以选择一个范围在 (49152-65535) 的端口。这是IANA 推荐的私有端口使用范围。

2. 如果必要的话，修改 SSL 默认端口。

以下操作仅限 443 端口不可用，或者需要自定义指定 SSL 端口。

■ 在文本编辑器中，打开下列文件：

安装目录>\apache\conf\ssl\sslForClients.conf

注意：默认情况下，SEPM 安装目录应该是

32 位操作系统：C:\Program Files\Symantec\Symantec Endpoint Protection Manager

64 位操作系统：C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager

■ 编辑字符串 Listen 443 和 “”。

例如：如果新指定端口为 53300，那么新字符串应改为 Listen 53300 和

■ 保存文件并关闭文件编辑器。

3. 打开 Apache 的 SSL 端口。

编辑 httpd.config 文件，开启 SEPM 和客户端之间的 SSL 通信。

■ 打开文本编辑器，编辑以下文件。

安装目录>\apache\conf\httpd.conf

注意：默认情况下，SEPM 安装目录应该是

32 位操作系统：C:\Program Files\Symantec\Symantec Endpoint Protection Manager

64 位操作系统：C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager

■ 找到 #Include conf/ssl/sslForClients.conf 这一行。

■ 删除 #，改为 Include conf/ssl/sslForClients.conf。

■ 保存文件，并且退出文本编辑器。

■ 在服务管理器中，重新启动 "Symantec Endpoint Protection Manager Webserver" 服务。同时，此动作将重启依存于该服务的另外一个服务———Symantec Endpoint Protection Manager服务。

4. 启用客户端上的 SSL 通信。

■ 在 SEPM 控制台上，进入策略---策略组件---管理服务器列表

■ 在已存在的列表当中编辑，或者新建一个列表。

■ 选择“使用 HTTPS 协议”选项

■ 确认“当使用 HTTPS 协议时验证身份证书”属性没有被勾选。

■ 在编辑或新添加管理服务器列表时，添加服务器的名称和 IP 地址。在指定 HTTPS 端口，键入 443 或者是其他指定端口号。比如在上面的例子中，我们应该在这里输入 53300。

■ 点击确认。

■ 指派这个策略到客户端组。

■ 当这个客户端组下的客户段得到了新的策略，客户端将会切换到 SSL 指定端口与 SEPM 通信。

5. 验证 SSL 端口工作正常。

打开一个在第四步中接收到新策略的客户段界面，查看帮助---疑难解答---联接状态。这里显示了上一次联接尝试，上一次成功联接，服务器名称和通信端口号等信息，可以确认是否联接成功。如果客户端没有通过 SSL 与服务器联接成功，可点击“联接”按钮，立即突发一个联接请求。

另外，我们也可以通过在客户端 IE 地址栏中键入

https://ServerHostName:/secars/secars.dll?hello,secars

去验证 SSL 通信。在这个 URL 中，ServerHostName 是 SEPM 的计算机名， 是SSL 默认的 443 端口或是其他指定端口。

如果 SSL 通信没有问题，则显示 SSL configuration is successful.

如果显示页面错误，则重复以上步骤。并且验证以上步骤修改配置文件时，添加/删除的语句是否符合格式要求。

同时还要核对是否 URL 地址正确。

注意：如果你看到一个警告提示说这个是非受信站点，是正常的。本篇文章正是描述如何允许SSL 使用非受信的数字证书的。只要您在第四步的 d 步骤中，没有勾选“当使用 HTTPS 协议时验证身份证书”，就应该没有问题。

 

From Symantec

 

专家点评：

首先验证 SSL 端口工作正常在IE上输入

https://ServerHostName:/secars/secars.dll?hello,secars

如果 SSL 通信没有问题，显示的是“OK”。

其次，默认SEPM与SEP正常的通信端口是“8014”。

相关资料如下：

NBU与Netbackup

http://blog.sina.com.cn/s/articlelist_1768282477_15_1.html