Mode d'emploi | Dell Encryption security Manuel utilisateur

Ajouter à Mes manuels
93 Des pages
Mode d'emploi | Dell Encryption security Manuel utilisateur | Fixfr
Dell Security Management Server
Guide d’installation et de migration v10.2.11
Remarques, précautions et avertissements
REMARQUE : Une REMARQUE indique des informations importantes qui peuvent vous aider à mieux utiliser votre
produit.
PRÉCAUTION : Une PRÉCAUTION indique un risque d'endommagement du matériel ou de perte de données et vous
indique comment éviter le problème.
AVERTISSEMENT : Un AVERTISSEMENT indique un risque d'endommagement du matériel, de blessures corporelles ou
même de mort.
© 2012-2020 Dell Inc. All rights reserved.Dell, EMC et les autres marques commerciales mentionnées sont des marques de Dell Inc. ou
de ses filiales. Les autres marques peuvent être des marques commerciales de leurs propriétaires respectifs.
Registered trademarks and trademarks used in the Dell Encryption, Endpoint Security Suite Enterprise, and Data Guardian suite of
documents: Dell™ and the Dell logo, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS®, and KACE™ are trademarks of Dell Inc.
Cylance®, CylancePROTECT, and the Cylance logo are registered trademarks of Cylance, Inc. in the U.S. and other countries. McAfee®
and the McAfee logo are trademarks or registered trademarks of McAfee, Inc. in the US and other countries. Intel®, Pentium®, Intel Core
Inside Duo®, Itanium®, and Xeon® are registered trademarks of Intel Corporation in the U.S. and other countries. Adobe®, Acrobat®,
and Flash® are registered trademarks of Adobe Systems Incorporated. Authen tec® and Eikon® are registered trademarks of Authen tec.
AMD® is a registered trademark of Advanced Micro Devices, Inc. Microsoft®, Windows®, and Windows Server®, Internet Explorer®,
Windows Vista®, Windows 7®, Windows 10®, Azure®, Active Directory®, Access®, BitLocker®, BitLocker To Go®, Excel®, Hyper-V®,
Outlook®, PowerPoint®, Word®, OneDrive®, SQL Server®, and Visual C++® are either trademarks or registered trademarks of
Microsoft Corporation in the United States and/or other countries. VMware® is a registered trademark or trademark of VMware, Inc. in
the United States or other countries. Box® is a registered trademark of Box. Dropbox ℠ is a service mark of Dropbox, Inc. Google™,
Android™, Google™ Chrome™, Gmail™, and Google™ Play are either trademarks or registered trademarks of Google Inc. in the United
States and other countries. Apple®, App Store℠, Apple Remote Desktop™, Boot Camp™, FileVault™, iPad®, iPhone®, iPod®, iPod
touch®, iPod shuffle®, and iPod nano®, Macintosh®, and Safari® are either servicemarks, trademarks, or registered trademarks of
Apple, Inc. in the United States and/or other countries. EnCase™ and Guidance Software® are either trademarks or registered
trademarks of Guidance Software. Entrust® is a registered trademark of Entrust®, Inc. in the United States and other countries. Mozilla®
Firefox® is a registered trademark of Mozilla Foundation in the United States and/or other countries. iOS® is a trademark or registered
trademark of Cisco Systems, Inc. in the United States and certain other countries and is used under license. Oracle® and Java® are
registered trademarks of Oracle and/or its affiliates. Travelstar® is a registered trademark of HGST, Inc. in the United States and other
countries. UNIX® is a registered trademark of The Open Group. VALIDITY™ is a trademark of Validity Sensors, Inc. in the United States
and other countries. VeriSign® and other related marks are the trademarks or registered trademarks of VeriSign, Inc. or its affiliates or
subsidiaries in the U.S. and other countries and licensed to Symantec Corporation. KVM on IP® is a registered trademark of Video
Products. Yahoo!® is a registered trademark of Yahoo! Inc. Bing® is a registered trademark of Microsoft Inc. Ask® is a registered
trademark of IAC Publishing, LLC. Other names may be trademarks of their respective owners.
May 2020
Rév. A01
Table des matières
1 Introduction................................................................................................................................. 5
À propos de Security Management Server........................................................................................................................ 5
Contacter Dell ProSupport...................................................................................................................................................5
2 Configuration requise et architecture............................................................................................ 6
Conception de l'architecture de Security Management Server...................................................................................... 6
Requirements......................................................................................................................................................................... 7
Matériel............................................................................................................................................................................. 8
Logiciel...............................................................................................................................................................................9
Support linguistique pour la Console de gestion...............................................................................................................12
3 Configuration préalable à l'installation.......................................................................................... 13
Configuration........................................................................................................................................................................ 13
4 Installer ou Mettre à niveau/Migrer.............................................................................................. 17
Avant de commencer l'installation ou la mise à niveau/migration..................................................................................17
Nouvelle installation..............................................................................................................................................................17
Installer le serveur principal et une nouvelle base de données................................................................................. 18
Installer le serveur frontal avec une base de données existante............................................................................. 32
Installer un serveur frontal............................................................................................................................................ 47
Mise à niveau/Migration.....................................................................................................................................................57
Avant de commencer la mise à niveau/migration..................................................................................................... 58
Mettre à niveau/Migrer un serveur principal............................................................................................................. 59
Mettre à niveau/Migrer un serveur frontal................................................................................................................66
Installation du mode déconnecté.......................................................................................................................................70
Désinstallation de Security Management Server.............................................................................................................72
5 Configuration postérieure à l'installation...................................................................................... 75
Configuration en mode DMZ..............................................................................................................................................75
Outil de configuration serveur............................................................................................................................................75
Ajouter des certificats nouveaux ou mis à jour.......................................................................................................... 76
Importer un certificat Dell Manager............................................................................................................................ 78
Importer un certificat SSL/TLS bêta.......................................................................................................................... 78
Configuration des paramètres de certificat SSL du serveur....................................................................................79
Configurer les paramètres SMTP................................................................................................................................ 79
Changer le nom de la base de données, l'emplacement, ou les informations d'identification..............................79
Migrer la base de données............................................................................................................................................80
6 Tâches administratives................................................................................................................81
Assigner le rôle d'administrateur Dell................................................................................................................................. 81
Se connecter avec le rôle d'administrateur Dell............................................................................................................... 81
Chargement des licences d'accès client........................................................................................................................... 81
Valider des règles................................................................................................................................................................. 81
Configurer Dell Compliance Reporter............................................................................................................................... 82
Table des matières
3
Réaliser des sauvegardes................................................................................................................................................... 82
Sauvegardes relatives à Security Management Server............................................................................................82
Sauvegardes de SQL Server........................................................................................................................................ 82
Sauvegardes de PostgreSQL Server.......................................................................................................................... 82
7 Ports......................................................................................................................................... 83
8 Meilleures pratiques SQL Server..................................................................................................86
9 Certificats................................................................................................................................. 87
Créer un certificat auto-signé et générer une demande de signature de certificat (CSR)....................................... 87
Générer une nouvelle paire de clés et un certificat auto-signé................................................................................87
Demander un certificat signé par une autorité de certification............................................................................... 88
Importer un certificat racine.........................................................................................................................................88
Exemple de méthode de demande de certificat........................................................................................................89
Exporter un certificat vers .PFX à l'aide de Certificate Management Console...........................................................92
Ajouter un certificat de signature approuvé à Security Server quand un certificat non approuvé a été utilisé
pour SSL...........................................................................................................................................................................93
4
Table des matières
1
Introduction
À propos de Security Management Server
Security Management Server propose les fonctions suivantes :
•
•
•
•
•
•
•
•
Gestion centralisée des périphériques, des utilisateurs et des règles de sécurité
Audit et rapports de conformité centralisés
Division des tâches administratives
Création et gestion de règles de sécurité basées sur des rôles
Application des règles de sécurité lors de la connexion de clients
Récupération de périphérique assistée par l'administrateur
Chemins d'accès approuvés pour la communication entre les composants
Génération de clés de cryptage uniques et blocage automatique de clés sécurisées
Contacter Dell ProSupport
Appelez le 877-459-7304, poste 4310039, afin de recevoir 24h/24, 7j/7 une assistance téléphonique concernant votre produit Dell.
Un support en ligne pour les produits Dell est en outre disponible à l'adresse dell.com/support. Le support en ligne englobe les pilotes, les
manuels, des conseils techniques et des réponses aux questions fréquentes et émergentes.
Aidez-nous à vous mettre rapidement en contact avec l'expert technique approprié en ayant votre numéro de service ou votre code de
service express à portée de main lors de votre appel.
Pour les numéros de téléphone en dehors des États-Unis, consultez l'article Numéros de téléphone internationaux Dell ProSupport.
Introduction
5
2
Configuration requise et architecture
Cette section présente en détail la configuration matérielle et logicielle requise et les recommandations de conception de l'architecture
pour la mise en œuvre de Dell Security Management Server.
Conception de l'architecture de Security
Management Server
Les solutions Encryption Enterprise et Endpoint Security Suite Enterprise sont des produits hautement évolutifs, selon le nombre de points
de terminaison ciblés pour le chiffrement dans votre entreprise.
Composants d'architecture
Les configurations matérielles suggérées ci-après conviennent à la plupart des environnements.
Security Management Server
•
•
•
•
•
Système d’exploitation : Windows Server 2012 R2 (Standard, Datacenter 64 bits), Windows Server 2016 (Standard, Datacenter
64 bits), Windows Server 2019 (Standard, Datacenter)
Machine virtuelle/physique
CPU : 4 cœurs
RAM : 16,00 Go
Disque C : 30 Go d'espace disque disponible pour les journaux et les bases de données d'applications
REMARQUE : Jusqu'à 10 Go peuvent être consommés pour une base de données d'événements locale stockée dans
PostgreSQL.
Serveur proxy
•
•
•
•
•
Système d’exploitation : Windows Server 2012 R2 (Standard, Datacenter 64 bits), Windows Server 2016 (Standard, Datacenter
64 bits), Windows Server 2019 (Standard, Datacenter)
Machine virtuelle/physique
CPU : 2 cœurs
RAM : 8,00 Go
Disque C : 20 Go d'espace disque disponible pour les journaux
Spécifications matérielles de SQL Server
•
•
•
•
CPU : 4 cœurs
RAM : 24,00 Go
Lecteur de données : 100 à 150 Go d'espace disque disponible (cela peut varier en fonction de l'environnement)
Lecteur de journaux : 50 Go d'espace disque disponible (cela peut varier en fonction de l'environnement)
REMARQUE : Dell vous recommande de suivre Les meilleures pratiques relatives à SQL Server, bien que les
informations ci-dessus doivent couvrir la majorité des environnements.
Le déploiement de base ci-dessous est celui de Dell Security Management Server.
6
Configuration requise et architecture
REMARQUE : Si l'entreprise compte plus de 20 000 points de terminaison, veuillez contacter Dell ProSupport pour
obtenir une assistance.
Requirements
Les spécifications matérielles et logicielles pour l'installation du logiciel Security Management Server sont présentées ci-dessous.
Avant de commencer l'installation, assurez-vous que tous les correctifs et mises à jour sont appliqués aux serveurs utilisés
pour l'installation.
Configuration requise et architecture
7
Matériel
Le tableau suivant décrit la configuration matérielle minimale requise pour Security Management Server. Voir Conception de l'architecture
de Security Management Server pour obtenir des informations supplémentaires sur l'adaptation de la configuration par rapport à la taille de
votre déploiement.
Configuration matérielle requise
Processeur
CPU Quad-Core avancé (1,5 GHz au minimum)
RAM
16 Go
Espace disque disponible
20 Go d'espace disque disponible
REMARQUE : Jusqu'à 10 Go peuvent être consommés pour une base de données d'événements locale stockée dans
PostgreSQL
Carte réseau
10/100/1000 au minimum
Divers
Environnement IPv4 ou IPv6 ou IPv4/IPv6 hybride requis
Le tableau suivant décrit la configuration matérielle minimale requise pour un serveur proxy/front-end Security Management Server.
Configuration matérielle requise
Processeur
CPU Dual-Core avancé
RAM
8 Go
Espace disque disponible
20 Go d'espace disque disponible pour les fichiers journaux
Carte réseau
10/100/1000 au minimum
Divers
Environnement IPv4 ou IPv6 ou IPv4/IPv6 hybride requis
Virtualization
Security Management Server peut être installé dans un environnement virtuel. Seuls les environnements suivants sont recommandés.
Security Management Server v10.2.11 a été validé sur les plates-formes suivantes.
Hyper-V Server, installation complète ou minimale, ou comme un rôle dans Windows Server 2012, Windows Server 2016 ou
Windows Server 2019.
•
Hyper-V Server
•
•
•
•
8
UC 64 bits x86 requise
Ordinateur hôte avec au moins deux cœurs
Au moins 8 Go de RAM recommandés
Le matériel doit être conforme à la configuration minimale requise par Hyper-V.
Configuration requise et architecture
•
•
•
Au moins 4 Go de RAM pour la ressource d'image dédiée
Doit être exécutée en tant que machine virtuelle de première génération
Voir https://technet.microsoft.com/en-us/library/hh923062.aspx pour obtenir plus d'informations.
Security Management Server v10.2.11 a été validé avec VMWare ESXi 6.0, VMware ESXi 6.5 et VMware ESXi 6.5.
REMARQUE : Lors de l’exécution de VMware ESXi et Windows Server 2012 R2, Windows Server 2016 ou Windows
Server 2019, il est recommandé d’utiliser des adaptateurs Ethernet VMXNET3.
•
VMware ESXi 6.0
•
•
•
•
•
UC 64 bits x86 requise
Ordinateur hôte avec au moins deux cœurs
Au moins 8 Go de RAM recommandés
Reportez-vous à http://www.vmware.com/resources/compatibility/search.php pour obtenir une liste complète des systèmes
d'exploitation hôte pris en charge
• Le matériel doit être conforme à la configuration minimale requise par VMware
• Au moins 4 Go de RAM pour la ressource d'image dédiée
• Voir http://pubs.vmware.com/vsphere-60/index.jsp pour obtenir plus d'informations
VMware ESXi 6.5
•
•
•
•
•
UC 64 bits x86 requise
Ordinateur hôte avec au moins deux cœurs
Au moins 8 Go de RAM recommandés
Voir http://www.vmware.com/resources/compatibility/search.php pour obtenir la liste complète des systèmes d'exploitation hôte
pris en charge
• Le matériel doit être conforme à la configuration minimale requise par VMware
• Au moins 4 Go de RAM pour la ressource d'image dédiée
• Voir http://pubs.vmware.com/vsphere-65/index.jsp pour obtenir plus d'informations
VMware ESXi 6.7
•
•
•
•
•
•
•
UC 64 bits x86 requise
Ordinateur hôte avec au moins deux cœurs
Au moins 8 Go de RAM recommandés
Voir http://www.vmware.com/resources/compatibility/search.php pour obtenir la liste complète des systèmes d'exploitation hôte
pris en charge
Le matériel doit être conforme à la configuration minimale requise par VMware
Au moins 4 Go de RAM pour la ressource d'image dédiée
Voir http://pubs.vmware.com/vsphere-65/index.jsp pour obtenir plus d'informations
REMARQUE : La base de données SQL Server qui héberge Security Management Server doit être exécutée sur un
ordinateur distinct pour des raisons de performance.
SQL Server
Dans les environnements plus volumineux, il est fortement recommandé de faire fonctionner le serveur SQL Database sur un système
redondant, tel qu'un cluster SQL, pour garantir la disponibilité et la continuité des données. Il est également conseillé de procéder à des
sauvegardes quotidiennes complètes avec la journalisation transactionnelle activée pour s'assurer que toute clé récemment générée par
l'activation de l'utilisateur/du dispositif sera récupérable.
Les tâches de maintenance de la base de données doivent comprendre la reconstruction des index de base de données et la collecte de
statistiques.
Logiciel
Le tableau ci-dessous répertorie la configuration logicielle requise pour Security Management Server et le serveur proxy.
REMARQUE : En raison de la nature critique des données présentes sur Security Management Server, et pour appliquer
la règle du moindre privilège, Dell vous recommande d'installer Security Management Server sur son propre système
d'exploitation dédié ou en tant qu'élément d'un serveur d'application associé à des rôles et privilèges limités pour
s'assurer que l'environnement est sécurisé. Il ne faut donc pas installer Security Management Server sur des serveurs
d'infrastructure disposant de privilèges. Voir https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/
Configuration requise et architecture
9
security-best-practices/implementing-least-privilege-administrative-models pour plus d'informations sur la mise en
œuvre de la règle du moindre privilège.
REMARQUE : Le Contrôle de compte d'utilisateur (UAC) doit être désactivé lors de l'installation dans un répertoire
protégé. Une fois l'UAC désactivé, il faut redémarrer le serveur pour que cette modification prenne effet.
REMARQUE : Emplacements dans le registre pour Policy Proxy (si installé) : HKLM\SOFTWARE\Wow6432Node\Dell
REMARQUE : Emplacement dans le registre pour les serveurs Windows : HKLM\SOFTWARE\Dell
Pré-requis
•
Package redistribuable Visual C++ 2010
•
S'il n'est pas installé, le programme d'installation le fera pour vous.
Package redistribuable Visual C++ 2013
•
S'il n'est pas installé, le programme d'installation le fera pour vous.
Package redistribuable Visual C++ 2015
•
•
S'il n'est pas installé, le programme d'installation le fera pour vous.
.NET Framework version 3.5 SP1
.NET Framework version 4.5
•
Microsoft a publié des mises à jour de sécurité pour .NET Framework version 4.5.
SQL Native Client 2012
Si vous utilisez SQL Server 2012 ou SQL Server 2016.
S'il n'est pas installé, le programme d'installation le fera pour vous.
Security Management Server - Serveur principal et Serveur frontal Dell
•
Windows Server 2012 R2
- Édition Standard
•
- Édition Datacenter
Windows Server 2016
- Édition Standard
•
- Édition Datacenter
Windows Server 2019
- Édition Standard
- Édition Datacenter
Référentiel LDAP
•
•
•
Active Directory 2008 R2
Active Directory 2012 R2
Active Directory 2016
Console de gestion et Rapporteur de conformité
•
•
•
Internet Explorer 11.x ou supérieur
Mozilla Firefox 41.x ou supérieur
Google Chrome 46.x ou version supérieure
REMARQUE : Votre navigateur doit accepter les cookies.
Environnements virtuels recommandés pour les composants de Security Management Server
10
Configuration requise et architecture
Security Management Server peut être installé dans un environnement virtuel.
Dell prend actuellement en charge l'hébergement de Dell Security Management Server ou Dell Security Management Server Virtual
au sein d'un environnement IaaS (Infrastructure en tant que service) hébergé dans le Cloud, tel qu'Amazon Web Services, Azure et
d'autres fournisseurs. La prise en charge de ces environnements est limitée au fonctionnement de Security Management Server.
L'administration et la sécurité de ces machines virtuelles sont assurées par l'administrateur de la solution IaaS.
Autres éléments de configuration requis pour l'infrastructure : pour assurer un fonctionnement correct, d'autres éléments (par
exemple, Active Directory et SQL Server) sont toujours requis.
REMARQUE : La base de données SQL Server qui héberge Security Management Server doit être exécutée sur un
ordinateur distinct.
Database
•
•
•
•
SQL Server 2012 - Standard Edition / Business Intelligence / Enterprise Edition
SQL Server 2014 - Standard Edition / Business Intelligence / Enterprise Edition
SQL Server 2016 - Standard Edition / Enterprise Edition
SQL Server 2017 - Standard Edition / Enterprise Edition
REMARQUE : Les versions Express Edition ne sont pas prises en charge pour les environnements de production.
Leur utilisation doit uniquement se limiter à des fins de démonstration de faisabilité ou d'évaluation.
En fonction de votre version de SQL Server, Security Management Server nécessite l’un des éléments suivants :
•
•
•
Indexation en texte intégral
Filtre de texte intégral
Extractions complètes et sémantiques pour la recherche
Pour plus d’informations sur les erreurs rencontrées lorsque les fonctionnalités ci-dessus ne sont pas activées pour le SQL Server en
cours d’utilisation, consultez l’article de la base de connaissances SLN308557.
Pour plus d’informations sur la configuration des autorisations et des fonctions de Microsoft SQL Server pour Security Management
Server, consultez l’article de la base de connaissances SLN307771.
REMARQUE : Les conditions ci-dessous sont requises pour les autorisations SQL. L'utilisateur effectuant l'installation
et fournissant les services doit disposer des droits d'administrateur local. En outre, les droits d'administrateur local sont
requis pour le compte de service gérant les services de Dell Security Management Server.
Tapez
Action
Scénario
Privilège SQL requis
Back-end
Mise à niveau
De par leur nature, les mises à
db_owner
niveau possèdent déjà une base
de données et une connexion/un
utilisateur définis
Back-end
Restauration de l'installation
La restauration implique une
base de données et une
connexion existantes.
db_owner
Back-end
Nouvelle installation
Utiliser la base de données
existante
db_owner
Back-end
Nouvelle installation
Créer une base de données
dbcreator, db_owner
Back-end
Nouvelle installation
Utiliser une connexion existante
db_owner
Back-end
Nouvelle installation
Créer une connexion
securityadmin
Back-end
Désinstaller
S/O
S/O
Proxy frontal
N'importe lequel
S/O
S/O
REMARQUE : Si Contrôle de compte d’utilisateur (UAC) est activé, vous devez le désactiver avant l’installation sous
Windows Server 2012 R2 lorsque l’installation a lieu dans C:\Program Files. Il faut redémarrer le serveur pour que
cette modification prenne effet.
Au cours de l'installation, les identifiants d'authentification Windows ou SQL sont requis pour permettre la configuration de la base de
données. Quel que soit le type d'identifiants utilisés, le compte doit disposer des privilèges appropriés pour l'action en cours d'exécution. Le
Configuration requise et architecture
11
tableau ci-dessus détaille les privilèges requis pour chaque type d'installation. De plus, le schéma par défaut du compte utilisé pour créer et
configurer la base de données doit être défini sur dbo.
Ces privilèges sont uniquement requis lors de l'installation pour configurer la base de données. Une fois que Security Management Server
est installé, le compte utilisé pour gérer l'accès à SQL peut être limité au propriétaire de la base de données et aux rôles publics.
Si vous n'êtes pas sûr des privilèges d'accès ou de la connectivité à la base de données, avant de lancer l'installation, demandez à votre
administrateur de base de données de confirmer ces privilèges.
Support linguistique pour la Console de gestion
La Console de gestion est une interface utilisateur multilingue qui est conforme et qui prend en charge les langues suivantes :
Langues prises en charge
EN : anglais
JA : japonais
ES : espagnol
KO : coréen
FR : français
PT-BR : portugais brésilien
IT : italien
PT-PT : portugais du Portugal (ibère)
DE : allemand
12
Configuration requise et architecture
3
Configuration préalable à l'installation
Avant de commencer, lisez les Conseils techniques concernant Security Management Server pour connaître les solutions palliatives ou
problèmes connus relatifs à Security Management Server.
La configuration préalable à l'installation du ou des serveurs sur lesquels vous voulez installer Security Management Server est très
importante. Lisez attentivement cette section pour installer correctement Security Management Server.
Configuration
Accès à la console de gestion
Il est possible qu’Internet Explorer ne puisse pas accéder correctement à la console de gestion sur un système d’exploitation
Windows Server. Si elle est activée, désactivez la configuration de sécurité renforcée (ESC) d’Internet Explorer. Ajoutez l’URL du
Dell Server aux sites de confiance dans les options de sécurité du navigateur, puis redémarrez le serveur.
Configuration des ports et du pare-feu
Communication entre le client et le serveur et le public (sortant)
Les services et les ports ci-dessous sont obligatoires pour que le Dell Server communique avec les terminaux gérés. Ces ports et ces
services doivent pouvoir établir des communications sortantes et les URL nécessitent d’être exclues de l’inspection SSL et des services
proxy s’ils sont en cours d’utilisation.
•
•
Validation d’un droit intégré
•
URL de destination
•
• cloud.dell.com
Port
•
• 443
Appareil sortant
•
• Security Management Server ou Security Management Server virtuel, configuré comme serveur principal
Service d’origine
•
• Dell Security Server
Port d’origine
• 8443
Communication avec les clients Advanced Threat Prevention
•
URL de destination
•
Amérique du Nord
•
• login.cylance.com
• protect.cylance.com
• data.cylance.com
• update.cylance.com
• api.cylance.com
• protect-api.cylance.com
• download.cylance.com
Amérique du Sud
•
•
•
•
•
•
•
login-sae1.cylance.com
protect-sae1.cylance.com
data-sae1.cylance.com
update-sae1.cylance.com
api-sae1.cylance.com
protect-api-sae1.cylance.com
download-sae1.cylance.com
Configuration préalable à l'installation
13
•
Europe
•
• login-euc1.cylance.com
• protect-euc1.cylance.com
• data-euc1.cylance.com
• update-euc1.cylance.com
• api-euc1.cylance.com
• protect-api-euc1.cylance.com
• download-euc1.cylance.com
Moyen-Orient et Asie
•
• login-au.cylance.com
• protect-au.cylance.com
• data-au.cylance.com
• update-au.cylance.com
• api-au.cylance.com
• protect-api-au.cylance.com
• download-au.cylance.com
Japon, Australie et Nouvelle-Zélande
•
•
•
•
•
•
•
•
Port
•
• 443
Appareil sortant
•
• Tous les terminaux gérés
Service sortant
•
• CylanceSVC
Port d’origine
•
login-apne1.cylance.com
protect-apne1.cylance.com
data-apne1.cylance.com
update-apne1.cylance.com
api-apne1.cylance.com
protect-api-apne1.cylance.com
download-apne1.cylance.com
443
Communication d’un serveur public vers un serveur front-end (si nécessaire)
Ce type de communication se rapporte aux informations qui transitent entre Internet et le serveur front-end. Les ports du pare-feu ou de
routage doivent être configurés sur comme ports entrants pour communiquer depuis une connexion publique/Internet vers des serveurs
frontaux ou vers un équilibreur de charge.
•
•
•
•
Dell Core Server Proxy : HTTPS/8888
Dell Device Server : HTTPS/8081
Dell Policy Proxy : TCP/8000
Dell Security Server : HTTPS/8443
Communication d’un serveur DMZ/front-end vers un serveur principal (si nécessaire)
Les services et les ports ci-dessous communiquent depuis n’importe quel Security Management Server configuré en mode front-end avec
le Security Management Server configuré en mode back-end. Les ports du pare-feu ou du routage doivent être configurés sur entrants
pour communiquer des serveurs frontaux ou des équilibreurs de charge vers le serveur principal.
•
•
•
•
Du Dell Policy Proxy et du Dell Beacon Server frontaux vers le Dell Message Broker principal : STOMP/61613
Du Dell Security Server Proxy principal vers le Dell Security Server principal : HTTPS/8443
Du proxi de serveur Dell Core front-end vers le serveur Dell Core principal : HTTPS/8888
Du serveur Dell Device front-end vers le serveur Dell Security principal : HTTPS/8443
Du serveur principal vers le réseau interne
Les services et les ports ci-dessous sont utilisés pour les communications internes avec les différents services par les clients du domaine
ou connectés via VPN. Dell vous recommande de ne pas transférer à l’extérieur du réseau plusieurs de ces services, ou de filtrer le service
dans la configuration par défaut du serveur front-end. Les ports du pare-feu ou de routage doivent être configurés comme ports entrants
pour communiquer du réseau interne vers le serveur principal de gestion de sécurité.
14
Configuration préalable à l'installation
•
•
•
•
•
•
•
•
Console de gestion hébergée sur le serveur de sécurité Dell : HTTPS/8443
Rapports fournis par Dell Compliance Reporter : HTTP(S)/8084
REMARQUE : Ce service est désactivé par défaut et est remplacé par les rapports gérés, disponibles dans la console
de gestion hébergée par le serveur de sécurité Dell. Pour plus d’informations sur l’activation de
Dell Compliance Reporter pour créer des historiques de rapports, consultez l’article de la base de connaissances
SLN314792.
Dell Core Server : HTTPS/8888
Serveur Dell Device : HTTP(S)/8081
REMARQUE : Il s’agit d’un service hérité uniquement obligatoire pour les clients Dell Encryption disposant d’une
version antérieure à la version 8.x. Ce service peut être désactivé en toute sécurité si tous les clients de
l’environnement disposent d’une version 8.0 ou d’une version ultérieure.
Key Server : TCP/8050
Dell Policy Proxy : TCP/8000
Dell Security Server : HTTPS/8443
Authentification basée sur les certificats hébergée sur le serveur de sécurité Dell : HTTPS/8449
REMARQUE : Cette fonctionnalité est utilisée par les clients Dell Encryption disposant d’une version installée sur des
systèmes d’exploitation Windows Server ou disposant d’une version installée en mode serveur. Pour plus
d’informations sur l’installation d’une version en mode serveur, reportez-vous à la section Guide d’installation
avancée d’Encryption Enterprise.
Communication avec l’infrastructure
•
•
•
Active Directory, utilisé pour l’authentification utilisateur avec Dell Encryption TCP/389/636 (contrôleur de domaine local), TCP/
3268/3269 (catalogue global), TCP/135/49125+ (RPC)
Communication par e-mail (facultatif) : 25/587
Microsoft SQL Server : 1433 (port par défaut)
Création et gestion de la base de données Microsoft SQL
Création d’une base de données de Dell Server :
Ces instructions sont facultatives. Le programme d’installation crée une base de données par défaut si aucune base de données n’existe. Si
vous préférez configurer une base de données avant d’installer le Security Management Server, suivez les instructions ci-dessous pour
créer la base de données SQL et l’utilisateur SQL dans SQL Management Studio. Assurez-vous que les autorisations appropriées sont
définies pour les bases de données SQL qui ne sont pas créées automatiquement lors de l’installation du Security Management Server.
Pour afficher la liste des autorisations requises, reportez-vous à la section Configuration logicielle requise.
Lorsque vous précréez la base de données, suivez les instructions de la section Installer le serveur principal avec une base de données
existante.
Le Security Management Server est configuré pour l’authentification SQL et Windows.
REMARQUE : Le classement attendu, autre que celui par défaut, pris en charge pour votre base de données SQL ou
instance SQL est le classement « SQL_Latin1_General_CP1_CI_AS » . Le classement doit être sensible à la casse et aux
accents.
Prérequis de l’installation
Les conditions préalables sont installées par défaut lors de l’installation de Security Management Server sur les systèmes d’exploitation
Windows Server. Les conditions préalables ci-dessous peuvent éventuellement être installées avant d’installer le
Security Management Server afin de contourner les exigences de redémarrage.
Installation de Visual C++ Redistributable Package
Si ce n’est pas déjà fait, installez les packages Visual C++ Redistributable Package 2010, 2013, et 2015 (ou versions ultérieures). Si vous le
souhaitez, vous pouvez permettre au programme d'installation de Security Management Server d'installer ces composants.
REMARQUE : L’installation des packages Visual C++ Redistributable Package Microsoft peut nécessiter de redémarrer
l’appareil.
Windows Server 2012 R2, Windows Server 2016 ou Windows Server 2019 - https://support.microsoft.com/en-us/help/2977003/thelatest-supported-visual-c-downloads
Installation de .NET Framework 4.5
.NET Framework 4,5 est préinstallé sur Windows Server 2012 R2 et versions ultérieures comme fonctionnalité du Server Manager.
Installation de SQL Native Client 2012
Configuration préalable à l'installation
15
Si vous utilisez SQL Server 2012 ou SQL Server 2016, installez SQL Native Client 2012. Si vous le souhaitez, vous pouvez permettre au
programme d'installation de Security Management Server d'installer ce composant. http://www.microsoft.com/en-us/download/
details.aspx?id=35580
Importation de la licence d’installation du serveur
Pour une nouvelle installation : copiez votre clé de produit (le nom du fichier est EnterpriseServerInstallKey.ini) vers C:\Windows
pour renseigner automatiquement la clé de produit de 32 caractères dans le programme d'installation de Security Management Server.
REMARQUE : Le fichier EnterpriseServerInstallKey.ini est inclus dans le package de téléchargement de
Security Management Server, disponible ici.
La configuration préalable à l'installation du serveur est terminée. Passez à Installer ou mettre à niveau/Migrer.
16
Configuration préalable à l'installation
4
Installer ou Mettre à niveau/Migrer
Ce chapitre fournit les instructions concernant :
•
•
•
une nouvelle installation : pour installer un nouveau serveur Security Management Server.
la mise à niveau et la migration : pour une mise à niveau à partir d'une version existante et fonctionnelle d'Enterprise Server v9.2 ou
version ultérieure.
la désinstallation de Security Management Server : pour supprimer l'installation actuelle, si nécessaire.
Si votre installation doit comprendre plusieurs serveurs back-end, contactez votre représentant du service Dell ProSupport.
Avant de commencer l'installation ou la mise à
niveau/migration
Avant de commencer, veillez à exécuter les étapes Configuration préalable à l'installation de configuration de préinstallation.
Lisez les conseils techniques concernant Security Management Server pour connaître les solutions palliatives ou les problèmes connus
relatifs à l'installation de Security Management Server.
L’antivirus et le programme anti-logiciel malveillant doivent être désactivés lors de l’installation ou de la mise à niveau de
Security Management Server afin d’éviter tout impact sur le temps d’exécution des programmes d’installation Microsoft C++, des activités
Java (création et manipulation de certificat) et sur la création et les modifications de PostgreSQL. Tous ces éléments sont déclenchés par
des exécutables ou des scripts.
Comme solution de contournement, vous pouvez exclure :
•
•
•
[CHEMIN D’INSTALLATION]: \Dell\Enterprise Edition
C:\Windows\Installer
Chemin de fichier depuis lequel le programme d'installation est exécuté
Dell recommande d'appliquer les meilleures pratiques pour les bases de données Dell Server et d'inclure le logiciel Dell dans le programme
de reprise après sinistre de votre société.
Si vous prévoyez de déployer des composants Dell dans la zone DMZ, veillez à les protéger correctement contre les attaques.
Pour l'environnement de production, Dell recommande fortement d'installer SQL Server sur un serveur dédié.
La meilleure pratique consiste à installer le serveur back-end avant d'installer et de configurer tout serveur front-end.
Les fichiers journaux d'installation se trouvent dans ce répertoire : C:\Users\<UtilisateurConnecté>\AppData\Local\Temp
Nouvelle installation
Sélectionnez l'une des deux options d'installation du serveur back-end :
•
•
Installer un serveur principal et une nouvelle base de données : permet d'installer un nouveau serveur Security Management Server et
une nouvelle base de données.
Installer un serveur principal avec une base de données existante : permet d'installer un nouveau serveur Security Management Server
et de vous connecter à une base de données SQL créée au cours de la configuration préalable à l'installation, ou à une base de données
SQL existante v9.x ou version ultérieure, lorsque la version de schéma correspond à celle du serveur Security Management Server à
installer. Vous devez migrer une base de données v9.2 ou version ultérieure vers le dernier schéma à l'aide de la dernière version de
Server Configuration Tool (Outil de configuration de serveur). Pour savoir comment migrer une base de données à l'aide de l'outil de
configuration de serveur, reportez-vous à Migrer la base de données. Pour obtenir la dernière version de Server Configuration Tool
(Outil de configuration de serveur), ou pour migrer une base de données antérieure à la version 9.2, contactez Dell ProSupport pour
obtenir une assistance.
REMARQUE :
Si vous disposez d'un serveur Enterprise Server v9.2 ou version ultérieure fonctionnel, reportez-vous aux instructions
figurant dans Mettre à niveau/Migrer un serveur principal.
Installer ou Mettre à niveau/Migrer
17
Si vous installez un serveur front-end, effectuez l'installation une fois le serveur back-end installé :
•
Installer un serveur front-end : instructions pour installer un serveur front-end pour communiquer avec un serveur back-end.
Installer le serveur principal et une nouvelle base de
données
1. Sur le support d'installation Dell, accédez au répertoire Security Management Server. Décompressez (SANS copier/coller ou glisser/
déposer) Security Management Server-x64 dans le répertoire racine du serveur où vous comptez installer Security Management
Server. Les opérations de copier/coller ou glisser/déposer produisent des erreurs et empêchent l'installation.
2. Double-cliquez sur setup.exe.
3. Sélectionnez la langue de l'installation, puis cliquez sur OK.
4. Si les composants requis n'ont pas déjà été installés, un message s'affiche, vous informant des composants requis à installer. Cliquez
sur Installer.
5. Dans la boîte de dialogue Accueil, cliquez sur Suivant.
18
Installer ou Mettre à niveau/Migrer
6. Lisez le contrat de licence, acceptez-en les termes, puis cliquez sur Suivant.
7. Si vous avez copié le fichier EnterpriseServerInstallKey.ini dans C:\Windows (opération facultative) comme indiqué
dans la rubrique Configuration préalable à l'installation, cliquez sur Suivant. Sinon, saisissez la clé de produit de 32 caractères, puis
cliquez sur Suivant. La clé du produit se trouve dans le fichier EnterpriseServerInstallKey.ini.
Installer ou Mettre à niveau/Migrer
19
8. Sélectionnez Installation principale, puis cliquez sur Suivant.
9. Pour installer Security Management Server dans l'emplacement par défaut C:\Program Files\Dell, cliquez sur Suivant. Sinon,
cliquez sur Modifier pour sélectionner un autre emplacement, puis cliquez sur Suivant.
20
Installer ou Mettre à niveau/Migrer
10. Pour sélectionner un emplacement où stocker les fichiers de configuration de sauvegarde, cliquez sur Modifier, naviguez vers le
dossier de votre choix, puis cliquez sur Suivant.
Dell vous recommande de sélectionner un emplacement sur un réseau distant ou un disque externe pour la sauvegarde.
Après l'installation, tout changement apporté aux fichiers de configuration, y compris les changements effectués à l'aide de l'outil de
configuration du serveur, doit être sauvegardé manuellement dans ces dossiers. Les fichiers de configuration sont un élément
important de l'ensemble des informations utilisées pour restaurer manuellement le Dell Server, le cas échéant.
REMARQUE : La structure de dossiers créée par le programme d'installation lors de cette étape de l'installation (cidessous) doit rester inchangée.
Installer ou Mettre à niveau/Migrer
21
11. Vous avez le choix entre différents types de certificats numériques. Il est vivement recommandé d'utiliser un certificat
numérique provenant d'une autorité de certification fiable.
Sélectionnez l'option « a » ou « b » ci-dessous :
a) Pour utiliser un certificat existant acheté auprès d'une autorité de certification, sélectionnez Importer un certificat existant, puis
cliquez sur Suivant.
Cliquez sur Parcourir pour saisir le chemin du certificat.
Saisissez le mot de passe associé au certificat. Le fichier de magasin de clés doit avoir le suffixe .p12 ou pfx. Pour obtenir des
instructions, voir la section Exporter un certificat vers .PFX à l'aide de la console de gestion des certificats.
Cliquez sur Suivant.
REMARQUE :
Pour utiliser ce paramètre, le certificat de l'autorité de certification exporté qui est importé doit contenir la
chaîne complète d'approbation. En cas de doute, ré-exportez le certificat de l'autorité de certification et vérifiez
que les options suivantes sont sélectionnées dans l'« Assistant d'exportation de certificat » :
22
Installer ou Mettre à niveau/Migrer
•
Échange d'informations personnelles - PKCS#12 (.PFX)
•
Inclure tous les certificats dans le chemin de certification, si possible
•
Exporter toutes les propriétés étendues
OU
b) Pour créer un certificat auto-signé, sélectionnez Créer un certificat auto-signé et l'importer dans un magasin de clés, puis
cliquez sur Suivant.
Dans la boîte de dialogue Créer un certificat auto-signé, saisissez les informations suivantes :
Nom complet de l'ordinateur (par exemple : nomordinateur.domaine.com)
Organisation
Service (exemple : Sécurité)
Ville
État (nom complet)
Pays : code de deux lettres du pays
Cliquez sur Suivant.
REMARQUE : Par défaut, le certificat expire dans dix ans.
Installer ou Mettre à niveau/Migrer
23
12. Pour Server Encryption, vous avez le choix entre différents types de certificats numériques. Il est vivement recommandé d'utiliser un
certificat numérique provenant d'une autorité de certification fiable.
Sélectionnez l'option « a » ou « b » ci-dessous :
a) Pour utiliser un certificat existant acheté auprès d'une autorité de certification, sélectionnez Importer un certificat existant, puis
cliquez sur Suivant.
Cliquez sur Parcourir pour saisir le chemin du certificat.
Saisissez le mot de passe associé au certificat. Le fichier de magasin de clés doit avoir le suffixe .p12 ou pfx. Pour obtenir des
instructions, voir la section Exporter un certificat vers .PFX à l'aide de la console de gestion des certificats.
Cliquez sur Suivant.
24
Installer ou Mettre à niveau/Migrer
REMARQUE :
Pour utiliser ce paramètre, le certificat de l'autorité de certification exporté qui est importé doit contenir la
chaîne complète d'approbation. En cas de doute, ré-exportez le certificat de l'autorité de certification et vérifiez
que les options suivantes sont sélectionnées dans l'« Assistant d'exportation de certificat » :
•
Échange d'informations personnelles - PKCS#12 (.PFX)
•
Inclure tous les certificats dans le chemin de certification, si possible
•
Exporter toutes les propriétés étendues
OU
b) Pour créer un certificat auto-signé, sélectionnez Créer un certificat auto-signé et l'importer dans un magasin de clés, puis
cliquez sur Suivant.
Dans la boîte de dialogue Créer un certificat auto-signé, saisissez les informations suivantes :
Nom complet de l'ordinateur (par exemple : nomordinateur.domaine.com)
Organisation
Service (exemple : Sécurité)
Ville
État (nom complet)
Pays : code de deux lettres du pays
Cliquez sur Suivant.
REMARQUE : Par défaut, le certificat expire dans dix ans.
Installer ou Mettre à niveau/Migrer
25
13. Depuis la boîte de dialogue Configuration de l'installation du serveur principal, vous pouvez afficher ou modifier les noms d'hôte et les
ports.
•
•
•
Pour accepter les noms d'hôte et les ports par défaut, dans la boîte de dialogue Configuration de l'installation du serveur frontal,
cliquez sur Suivant.
Si vous utilisez un serveur front-end, sélectionnez Fonctionne avec le serveur front-end pour communiquer avec les clients
en interne dans votre réseau ou en externe dans le DMZ, puis entrez le nom d'hôte du serveur de sécurité front-end (par
exemple, serveur.domaine.com).
Pour afficher ou modifier les noms d'hôtes, cliquez sur Modifier les noms d'hôte. Modifiez les noms d'hôte uniquement si
nécessaire. Dell recommande l'utilisation des paramètres par défaut.
REMARQUE : Un nom d'hôte ne doit pas contenir de caractère de soulignement (« _ »).
26
Installer ou Mettre à niveau/Migrer
Une fois que vous avez terminé, cliquez sur OK.
•
Pour afficher ou modifier les ports, cliquez sur Modifier les ports. Modifier les ports uniquement si nécessaire. Dell recommande
l'utilisation des paramètres par défaut. Une fois que vous avez terminé, cliquez sur OK.
Installer ou Mettre à niveau/Migrer
27
14. Pour créer une nouvelle base de données, procédez comme suit :
a) Cliquez sur Parcourir pour sélectionner le serveur sur lequel installer la base de données.
b) Sélectionnez la méthode d'authentification du programme d'installation à utiliser pour configurer la base de données Dell Server.
Après l'installation, le produit installé n'utilise pas les données d'identification spécifiées ici.
•
Identifiants d'authentification Windows de l'utilisateur actuel
Si vous choisissez Authentification Windows, les identifiants utilisés pour vous connecter à Windows sont utilisés pour
l'authentification (les champs Nom d'utilisateur et Mot de passe ne peuvent pas être modifiés). Assurez-vous que le compte
dispose de droits d'administrateur sur le système et de la possibilité de gérer le serveur SQL.
28
Installer ou Mettre à niveau/Migrer
•
OU
Authentification de SQL Server à l'aide des informations situées ci-dessous
Si vous utilisez l'authentification SQL, le compte SQL utilisé doit posséder des droits d'administrateur système sur SQL Server.
Le programme d'installation doit s'authentifier sur le serveur SQL avec ces autorisations : création d'une base de données, ajout
d'utilisateur, attribution d'autorisations.
c) Identifiez le catalogue de bases de données :
Saisissez le nom d'un nouveau catalogue de bases de données. Vous êtes invité dans la boîte de dialogue suivante à créer le
nouveau catalogue.
d) Cliquez sur Suivant.
e) Pour confirmer que vous voulez que le programme d'installation crée une base de données, cliquez sur Oui. Pour revenir à l'écran
précédent pour effectuer des modifications, cliquez sur Non.
15. Sélectionnez la méthode d'authentification correspondant au produit à utiliser. Cette étape connecte un compte au produit.
•
Authentification Windows
Installer ou Mettre à niveau/Migrer
29
Sélectionnez Authentification Windows à l'aide des informations d'identification ci-dessous, entrez les informations
d'identification du produit à utiliser, puis cliquez sur Suivant.
Assurez-vous que le compte dispose de droits d'administrateur sur le système et de la possibilité de gérer le serveur SQL. Le
compte utilisateur doit posséder le Schéma par défaut de permissions du serveur SQL : dbo et Database Role
Membership : dbo_owner, public.
Ces informations d'identification sont également utilisées par les services Dell lorsqu'ils utilisent Security Management Server.
•
OU
Authentification de SQL Server
Sélectionnez Authentification de SQL Server à l'aide des données d'identification ci-dessous, entrez les identifiants SQL
Server que les services Dell utilisent lorsqu'ils travaillent avec Security Management Server, puis cliquez sur Suivant.
Le compte utilisateur doit posséder le Schéma par défaut de permissions du serveur SQL : dbo et Database Role
Membership : dbo_owner, public.
30
Installer ou Mettre à niveau/Migrer
16. Dans la boîte de dialogue Prêt à installer le programme, cliquez sur Installer.
Une boîte de dialogue d'avancement affiche le statut pendant le processus d'installation.
Installer ou Mettre à niveau/Migrer
31
17. Une fois l'installation terminée, cliquez sur Terminer.
Les tâches d'installation du serveur principal sont terminées.
Dell Services redémarre à la fin de l'installation. Il n'est pas nécessaire de redémarrer le Dell Server.
Installer le serveur frontal avec une base de données
existante
REMARQUE :
32
Installer ou Mettre à niveau/Migrer
Si vous disposez d'un serveur Dell Server v9.2 ou version ultérieure fonctionnel, reportez-vous aux instructions
disponibles dans Mettre à niveau/Migrer un serveur principal.
Vous pouvez installer un nouveau serveur Security Management Server et vous connecter à une base de données SQL existante créée
pendant la configuration préalable à l'installation, ou une base de données SQL existante v9.x ou version ultérieure, lorsque la version du
schéma correspond à la version du serveur Security Management Server à installer.
Des privilèges de propriétaire de base de données sur la base de données SQL doivent être associés au compte d'utilisateur à partir duquel
l'installation est effectuée. Si vous n'êtes pas sûr des privilèges d'accès ou de la connectivité à la base de données, avant de lancer
l'installation, demandez à votre administrateur de base de données de confirmer ces privilèges.
Si la base de données existante a déjà été installée avec Security Management Server, avant de lancer l'installation, vérifiez que la base de
données, les fichiers de configuration et le secretKeyStore sont sauvegardés et accessibles depuis le serveur sur lequel vous installez
Security Management Server. L'accès à ces fichiers est nécessaire pour configurer Security Management Server et la base de données
existante. La structure de dossiers créée par le programme d'installation lors de l'installation (ci-dessous) doit rester inchangée.
1. Sur le support d'installation Dell, accédez au répertoire Security Management Server. Décompressez (SANS copier/coller ou glisser/
déposer) Security Management Server-x64 dans le répertoire racine du serveur où vous comptez installer Security Management
Server. Les opérations de copier/coller ou glisser/déposer produisent des erreurs et empêchent l'installation.
2. Double-cliquez sur setup.exe.
3. Sélectionnez la langue de l'installation, puis cliquez sur OK.
4. Si les composants requis n'ont pas déjà été installés, un message s'affiche, vous informant des composants requis à installer. Cliquez
sur Installer.
Installer ou Mettre à niveau/Migrer
33
5. Dans la boîte de dialogue Accueil, cliquez sur Suivant.
6. Lisez le contrat de licence, acceptez-en les termes, puis cliquez sur Suivant.
34
Installer ou Mettre à niveau/Migrer
7. Si vous avez copié (facultatif) votre fichier EnterpriseServerInstallKey.ini sur C:\Windows comme indiqué dans la
rubrique Configuration préalable à l'installation, cliquez sur Suivant. Sinon, saisissez la clé de produit de 32 caractères, puis cliquez sur
Suivant. La clé du produit se trouve dans le fichier EnterpriseServerInstallKey.ini.
8. Sélectionnez Installation principale et Installation de la récupération, puis cliquez sur Suivant.
Installer ou Mettre à niveau/Migrer
35
9. Pour installer Security Management Server dans l'emplacement par défaut C:\Program Files\Dell, cliquez sur Suivant. Sinon,
cliquez sur Modifier pour sélectionner un autre emplacement, puis cliquez sur Suivant.
10. Pour sélectionner un emplacement où stocker les fichiers de récupération de la configuration de sauvegarde, cliquez sur Modifier,
naviguez vers le dossier de votre choix, puis cliquez sur Suivant.
Dell vous recommande de sélectionner un emplacement sur un réseau distant ou un disque externe pour la sauvegarde.
36
Installer ou Mettre à niveau/Migrer
Après l'installation, tout changement apporté aux fichiers de configuration, y compris les changements effectués à l'aide de l'outil de
configuration du serveur, doit être sauvegardé manuellement dans ces dossiers. Les fichiers de configuration sont un élément
important de l'ensemble des informations utilisées pour restaurer manuellement le serveur Dell Server.
REMARQUE : La structure de dossiers créée par le programme d'installation lors de l'installation (ci-dessous) doit
rester inchangée.
11. Vous avez le choix entre différents types de certificats numériques. Il est vivement recommandé d'utiliser un certificat
numérique provenant d'une autorité de certification fiable.
Sélectionnez l'option « a » ou « b » ci-dessous :
a) Pour utiliser un certificat existant acheté auprès d'une autorité de certification, sélectionnez Importer un certificat existant, puis
cliquez sur Suivant.
Installer ou Mettre à niveau/Migrer
37
Cliquez sur Parcourir pour saisir le chemin du certificat.
Saisissez le mot de passe associé au certificat. Le fichier de magasin de clés doit avoir le suffixe .p12 ou pfx. Pour obtenir des
instructions, voir la section Exporter un certificat vers .PFX à l'aide de la console de gestion des certificats.
Cliquez sur Suivant.
REMARQUE :
Pour utiliser ce paramètre, le certificat de l'autorité de certification exporté qui est importé doit contenir la
chaîne complète d'approbation. En cas de doute, ré-exportez le certificat de l'autorité de certification et vérifiez
que les options suivantes sont sélectionnées dans l'« Assistant d'exportation de certificat » :
38
•
Échange d'informations personnelles - PKCS#12 (.PFX)
•
Inclure tous les certificats dans le chemin de certification, si possible
•
Exporter toutes les propriétés étendues
Installer ou Mettre à niveau/Migrer
OU
b) Pour créer un certificat auto-signé, sélectionnez Créer un certificat auto-signé et l'importer dans un magasin de clés, puis
cliquez sur Suivant.
Dans la boîte de dialogue Créer un certificat auto-signé, saisissez les informations suivantes :
Nom complet de l'ordinateur (par exemple : nomordinateur.domaine.com)
Organisation
Service (exemple : Sécurité)
Ville
État (nom complet)
Pays : code de deux lettres du pays
Cliquez sur Suivant.
REMARQUE : Par défaut, le certificat expire dans dix ans.
Installer ou Mettre à niveau/Migrer
39
12. Depuis la boîte de dialogue Configuration de l'installation du serveur principal, vous pouvez afficher ou modifier les noms d'hôte et les
ports.
•
•
•
Pour accepter les noms d'hôte et les ports par défaut, dans la boîte de dialogue Configuration de l'installation du serveur frontal,
cliquez sur Suivant.
Si vous utilisez un serveur front-end, sélectionnez Fonctionne avec le serveur front-end pour communiquer avec les clients
en interne dans votre réseau ou en externe dans le DMZ, puis entrez le nom d'hôte du serveur de sécurité front-end (par
exemple, serveur.domaine.com).
Pour afficher ou modifier les noms d'hôtes, cliquez sur Modifier les noms d'hôte. Modifiez les noms d'hôte uniquement si
nécessaire. Dell recommande l'utilisation des paramètres par défaut.
REMARQUE : Un nom d'hôte ne doit pas contenir de caractère de soulignement (« _ »).
40
Installer ou Mettre à niveau/Migrer
Une fois que vous avez terminé, cliquez sur OK.
•
Pour afficher ou modifier les ports, cliquez sur Modifier les ports. Modifier les ports uniquement si nécessaire. Dell recommande
l'utilisation des paramètres par défaut. Une fois que vous avez terminé, cliquez sur OK.
Installer ou Mettre à niveau/Migrer
41
13. Choisissez la méthode d'authentification correspondant au programme d'installation à utiliser.
a) Cliquez sur Parcourir pour sélectionner le serveur où se trouve la base de données.
b) Sélectionnez le type d'authentification.
•
Identifiants d'authentification Windows de l'utilisateur actuel
Si vous choisissez Authentification Windows, les identifiants utilisés pour vous connecter à Windows sont utilisés pour
l'authentification (les champs Nom d'utilisateur et Mot de passe ne peuvent pas être modifiés). Assurez-vous que le compte
dispose de droits d'administrateur sur le système et de la possibilité de gérer le serveur SQL.
42
Installer ou Mettre à niveau/Migrer
•
OU
Authentification de SQL Server à l'aide des informations situées ci-dessous
Si vous utilisez l'authentification SQL, le compte SQL utilisé doit posséder des droits d'administrateur système sur SQL Server.
Le programme d'installation doit s'authentifier sur le serveur SQL avec ces autorisations : création d'une base de données, ajout
d'utilisateur, attribution d'autorisations.
c) Cliquez sur Parcourir pour sélectionnez le nom d'un catalogue de base de données existant.
d) Cliquez sur Suivant.
14. Si la boîte de dialogue Erreur dans la base de données existante s'affiche, sélectionnez l'option appropriée.
Si le programme d'installation détecte un problème au niveau de la base de données, une boîte de dialogue Erreur dans la base de
données existante s'affiche. Les options de la boîte de dialogue dépendent des circonstances :
•
•
Le schéma de la base de données provient d'une version antérieure. (Reportez-vous à l'étape a.)
La base de données dispose déjà d'un schéma de base de données qui correspond à la version actuellement installée. (Reportezvous à l'étape b.)
a) Lorsque le schéma de base est d'une version antérieure, sélectionnez Quitter le programme d'installation pour mettre fin
cette installation. Vous devez ensuite sauvegarder la base de données.
Installer ou Mettre à niveau/Migrer
43
Les options suivantes DOIVENT être utilisées uniquement avec l'aide de Dell ProSupport :
•
l'option Migrer cette base de données vers le schéma actuel permet de récupérer une bonne base de données depuis une
implémentation de serveur défectueux. Cette option utilise les fichiers de récupération dans le dossier \Backup pour se
reconnecter à la base de données, puis migre la base de données vers le schéma actuel. Cette option ne doit être utilisée
qu'après avoir d'abord tenté de réinstaller la version correcte de Security Management Server, puis exécuté le dernier
programme d'installation pour procéder à une mise à niveau.
• L'option Poursuivre sans migrer la base de données installe les fichiers Security Management Server sans configurer
complètement la base de données. La configuration de la base de données devra être terminée plus tard, manuellement, à l'aide
de l'outil de configuration du serveur, et requiert d'autres changements manuels.
b) Lorsque le schéma de base possède déjà la version actuelle du schéma et qu'il n'est pas connecté à un serveur principal Security
Management Server, il est considéré correspondre à une récupération. Si Installation de la récupération n'a pas été
sélectionnée lors de cette étape, cette boîte de dialogue s'affiche :
• Sélectionnez Mode d'installation de récupération pour poursuivre l'installation avec la base de données sélectionnée.
• Choisissez Sélectionner une nouvelle base de données pour choisir une autre base de données.
• Sélectionnez Quitter le programme d'installation afin de mettre fin à cette installation.
c) Cliquez sur Suivant.
44
Installer ou Mettre à niveau/Migrer
15. Sélectionnez la méthode d'authentification correspondant au produit à utiliser. Il s'agit du compte utilisé par le produit pour s'engager
avec la base de données et les services Dell.
•
Pour utiliser l'authentification Windows
Sélectionnez Authentification Windows à l'aide des identifiants ci-dessous, saisissez les identifiants du compte que le
produit peut utiliser, puis cliquez sur Suivant.
Assurez-vous que le compte dispose de droits d'administrateur sur le système et de la possibilité de gérer le serveur SQL. Le
compte utilisateur doit posséder le Schéma par défaut de permissions du serveur SQL : dbo et Database Role
Membership : dbo_owner, public.
•
OU
Pour utiliser l'authentification SQL Server
Sélectionnez Authentification de SQL Server à l'aide des informations ci-dessous, entrez les identifiants SQL Server, puis
cliquez sur Suivant.
Le compte utilisateur doit posséder le Schéma par défaut de permissions du serveur SQL : dbo et Database Role
Membership : dbo_owner, public.
Installer ou Mettre à niveau/Migrer
45
16. Dans la boîte de dialogue Prêt à installer le programme, cliquez sur Installer.
Une boîte de dialogue d'avancement affiche le statut pendant le processus d'installation.
46
Installer ou Mettre à niveau/Migrer
Une fois l'installation terminée, cliquez sur Terminer.
Les tâches d'installation du serveur principal sont terminées.
Dell Services redémarre à la fin de l'installation. Il n'est pas nécessaire de redémarrer le serveur.
Installer un serveur frontal
L'installation du serveur front-end fournit une option front-end (mode DMZ) à utiliser avec Security Management Server. Si vous
prévoyez de déployer des composants Dell dans la zone DMZ, veillez à les protéger correctement contre les attaques.
Installer ou Mettre à niveau/Migrer
47
Pour effectuer cette installation, vous aurez besoin du nom d'hôte entièrement qualifié du serveur DMZ.
1. Sur le support d'installation Dell, accédez au répertoire Security Management Server. Décompressez (SANS copier/coller ou glisser/
déposer) Security Management Server-x64 dans le répertoire racine du serveur où vous comptez installer Security Management
Server. Les opérations de copier/coller ou glisser/déposer produisent des erreurs et empêchent l'installation.
2. Double-cliquez sur setup.exe.
3. Sélectionnez la langue de l'installation, puis cliquez sur OK.
4. Si les composants requis n'ont pas déjà été installés, un message s'affiche, vous informant des composants requis à installer. Cliquez
sur Installer.
5. Cliquez sur Suivant sur l'écran Bienvenue.
48
Installer ou Mettre à niveau/Migrer
6. Lisez le contrat de licence, acceptez-en les termes, puis cliquez sur Suivant.
7. Si vous avez copié (facultatif) votre fichier EnterpriseServerInstallKey.ini sur C:\Windows comme indiqué dans la
rubrique Configuration préalable à l'installation, cliquez sur Suivant. Sinon, saisissez la clé de produit de 32 caractères, puis cliquez sur
Suivant. La clé du produit se trouve dans le fichier EnterpriseServerInstallKey.ini.
Installer ou Mettre à niveau/Migrer
49
8. Sélectionnez Installation principale, puis cliquez sur Suivant.
9. Pour installer le serveur front-end dans l'emplacement par défaut C: \Program Files\Dell, cliquez sur Suivant. Sinon, cliquez
sur Modifier pour sélectionner un autre emplacement, puis cliquez sur Suivant.
50
Installer ou Mettre à niveau/Migrer
10. Vous avez le choix entre différents types de certificats numériques.
REMARQUE : Il est vivement recommandé d'utiliser un certificat numérique provenant d'une autorité de certification
fiable.
Sélectionnez l'option « a » ou « b » ci-dessous :
a) Pour utiliser un certificat existant acheté auprès d'une autorité de certification, sélectionnez Importer un certificat existant, puis
cliquez sur Suivant.
Cliquez sur Parcourir pour saisir le chemin du certificat.
Saisissez le mot de passe associé au certificat. Le fichier de magasin de clés doit avoir le suffixe .p12 ou pfx. Pour obtenir des
instructions, voir la section Exporter un certificat vers .PFX à l'aide de la console de gestion des certificats.
Installer ou Mettre à niveau/Migrer
51
Cliquez sur Suivant.
REMARQUE :
Pour utiliser ce paramètre, le certificat de l'autorité de certification exporté qui est importé doit contenir la
chaîne complète d'approbation. En cas de doute, ré-exportez le certificat de l'autorité de certification et vérifiez
que les options suivantes sont sélectionnées dans l'« Assistant d'exportation de certificat » :
•
Échange d'informations personnelles - PKCS#12 (.PFX)
•
Inclure tous les certificats dans le chemin de certification, si possible
•
Exporter toutes les propriétés étendues
b) Pour créer un certificat auto-signé, sélectionnez Créer un certificat auto-signé et l'importer dans un magasin de clés, puis
cliquez sur Suivant.
Dans la boîte de dialogue Créer un certificat auto-signé, saisissez les informations suivantes :
Nom complet de l'ordinateur (par exemple : nomordinateur.domaine.com)
Organisation
Service (exemple : Sécurité)
Ville
État (nom complet)
Pays : code de deux lettres du pays
Cliquez sur Suivant.
REMARQUE : Par défaut, le certificat expire dans dix ans.
52
Installer ou Mettre à niveau/Migrer
11. Dans la boîte de dialogue Configuration du serveur front-end, entrez le nom d'hôte complet ou l'alias DNS du serveur back-end,
sélectionnez Dell Security Management Server, puis cliquez sur Suivant.
12. Depuis la boîte de dialogue Configuration de l'installation du serveur frontal, vous pouvez afficher ou modifier les noms d'hôte et les
ports.
•
Pour accepter les noms d'hôte et les ports par défaut, dans la boîte de dialogue de configuration de l'installation du serveur frontal,
cliquez sur Suivant.
Installer ou Mettre à niveau/Migrer
53
•
Pour afficher ou modifier les noms d'hôtes, dans la boîte de configuration du serveur frontal cliquez sur Modifier les noms
d'hôte. Modifiez les noms d'hôte uniquement si nécessaire. Dell recommande l'utilisation des paramètres par défaut.
REMARQUE :
Un nom d'hôte ne doit pas contenir de caractère de soulignement (« _ »).
Désélectionnez un proxy uniquement si vous êtes certain de ne pas vouloir le configurer en vue de son installation. Si vous
désélectionnez un proxy dans cette boîte de dialogue, il ne sera pas installé.
Une fois que vous avez terminé, cliquez sur OK.
54
Installer ou Mettre à niveau/Migrer
•
Pour afficher ou modifier les ports, dans la boîte de dialogue Configuration du serveur frontal, cliquez sur Modifier les ports
externes ou Modifier les ports de connexion internes. Modifier les ports uniquement si nécessaire. Dell recommande
l'utilisation des paramètres par défaut.
Si vous déselectionnez un proxy dans la boîte de dialogue Modifier les noms d'hôte frontaux, le port correspondant ne s'affiche pas
dans les boîtes de dialogue Ports externes ou Ports internes.
Une fois que vous avez terminé, cliquez sur OK.
Installer ou Mettre à niveau/Migrer
55
13. Dans la boîte de dialogue Prêt à installer le programme, cliquez sur Installer.
Une boîte de dialogue d'avancement affiche le statut pendant le processus d'installation.
56
Installer ou Mettre à niveau/Migrer
14. Une fois l'installation terminée, cliquez sur Terminer.
Les tâches d'installation du serveur frontalsont terminées.
Mise à niveau/Migration
Vous pouvez mettre à niveau Enterprise Server v9.2 et les versions ultérieures vers Security Management Server v10.x. Si la version de
votre Dell Server est antérieure à v9.2, vous devez d’abord effectuer une mise à niveau vers v9.2, puis vers les versions ultérieures.
Installer ou Mettre à niveau/Migrer
57
Avant de commencer la mise à niveau/migration
Avant de commencer, veillez à exécuter toutes les étapes de configuration préalable à l'installation.
Lisez les conseils techniques concernant Security Management Server pour connaître les solutions palliatives ou les problèmes connus
relatifs à l'installation de Security Management Server.
Des privilèges de propriétaire de base de données sur la base de données SQL doivent être associés au compte d'utilisateur à partir duquel
l'installation est effectuée. Si vous n'êtes pas sûr des privilèges d'accès ou de la connectivité à la base de données, avant de lancer
l'installation, demandez à votre administrateur de base de données de confirmer ces privilèges.
Dell recommande d'appliquer les meilleures pratiques pour les bases de données Dell Server et d'inclure le logiciel Dell dans le programme
de reprise après sinistre de votre société.
Si vous prévoyez de déployer des composants Dell dans la zone DMZ, veillez à les protéger correctement contre les attaques.
Pour l'environnement de production, Dell recommande d'installer SQL Server sur un serveur dédié.
Pour utiliser pleinement les fonctionnalités des règles, Dell recommande d’effectuer une mise à jour vers les dernières versions du serveur
Security Management Server et des clients.
Security Management Server v10.x prend en charge :
•
•
•
•
Encryption Enterprise :
• Clients Windows v8.x/v10.x
• Clients Mac v8.x/v10.x
• SED Management v8.x/v10.x
• BitLocker Manager v8.x/10.x
Endpoint Security Suite Pro v1.x
Endpoint Security Suite Enterprisev1.x/v2.x
Mise à niveau/migration depuis Security Management Server v9.2 ou version ultérieure. (En cas de migration depuis un serveur
Security Management Server antérieur à la version 9.2, contactez Dell ProSupport pour obtenir de l'aide.)
Lorsque vous mettez à niveau/migrez Security Management Server vers une version incluant de nouvelles règles qui lui sont propres,
validez la règle mise à jour après la mise à niveau/migration afin de mettre en œuvre vos paramètres de règle préférentiels pour les
nouvelles règles et non pas les valeurs par défaut.
En général, nous conseillons de commencer par mettre à niveau/migrer Security Management Server et ses composants, puis d'installer/
mettre à niveau le client.
Appliquer les modifications de règles
1.
2.
3.
4.
5.
Connectez-vous à la console de gestion en tant qu'administrateur Dell.
Dans le menu de gauche, cliquez sur Gestion > Valider.
Dans Commentaire, entrez une description de la modification.
Cliquez sur Valider les règles.
Une fois la validation effectuée, déconnectez-vous de la console de gestion.
S'assurer que Dell Services est en cours d'exécution
6. Depuis le menu Démarrer de Windows, cliquez sur Démarrer > Exécuter. Tapez services.msc et cliquez sur OK. Lorsque Services
s'ouvre, accédez à chaque service et, si nécessaire, cliquez sur Démarrer le service.
Sauvegarder l'installation existante
7. Sauvegardez l'ensemble de l'installation existante dans un autre emplacement. La sauvegarde doit comprendre la base de données
SQL, secretKeyStore et les fichiers de configuration. Vous avez besoin de plusieurs fichiers de l'installation existante une fois le
processus de mise à niveau/migration terminé.
REMARQUE :
La structure de dossiers créée par le programme d'installation lors de l'installation (ci-dessous) doit rester
inchangée.
58
Installer ou Mettre à niveau/Migrer
Mettre à niveau/Migrer un serveur principal
1. Sur le support d'installation Dell, accédez au répertoire Security Management Server. Décompressez (SANS copier/coller ou glisser/
déposer) Security Management Server-x64 dans le répertoire racine du serveur où vous comptez installer Security Management
Server. Les opérations de copier/coller ou glisser/déposer produisent des erreurs et empêchent l'installation.
2. Double-cliquez sur setup.exe.
3. Sélectionnez la langue de l'installation, puis cliquez sur OK.
4. Dans la boîte de dialogue Accueil, cliquez sur Suivant.
Installer ou Mettre à niveau/Migrer
59
5. Lisez le contrat de licence, acceptez-en les termes, puis cliquez sur Suivant.
6. Pour sélectionner un emplacement où stocker les fichiers de configuration de sauvegarde, cliquez sur Modifier, naviguez vers le
dossier de votre choix, puis cliquez sur Suivant.
Dell vous recommande de sélectionner un emplacement sur un réseau distant ou un disque externe pour la sauvegarde.
60
Installer ou Mettre à niveau/Migrer
La structure de dossiers créée par le programme d'installation lors de l'installation (ci-dessous) doit rester inchangée.
7. Lorsque le programme d'installation localise correctement la base de données existante, la boîte de dialogue est préremplie.
Installer ou Mettre à niveau/Migrer
61
Pour vous connecter à la base de dialogue existante, spécifiez la méthode d'authentification à utiliser. Après l'installation, le produit
installé n'utilise pas les données d'identification spécifiées ici.
a) Sélectionnez le type d'authentification de la base de données :
•
Identifiants d'authentification Windows de l'utilisateur actuel
Si vous choisissez Authentification Windows, les identifiants utilisés pour vous connecter à Windows sont utilisés pour
l'authentification (les champs Nom d'utilisateur et Mot de passe ne peuvent pas être modifiés).
Assurez-vous que le compte dispose de droits d'administrateur sur le système et de la possibilité de gérer le serveur SQL. Le
compte utilisateur doit posséder le Schéma par défaut de permissions du serveur SQL : dbo et Database Role
Membership : dbo_owner, public.
•
OU
Authentification de SQL Server à l'aide des informations situées ci-dessous
Si vous utilisez l'authentification SQL, le compte SQL utilisé doit posséder des droits d'administrateur système sur SQL Server.
Le programme d'installation doit s'authentifier sur le serveur SQL avec ces autorisations : création d'une base de données, ajout
d'utilisateur, attribution d'autorisations.
b) Cliquez sur Suivant.
8. Si la boîte de dialogue « Informations concernant le compte Service Runtime » n'est pas pré-renseignée, spécifiez la méthode
d'authentification du produit à utiliser après installation.
a) Sélectionnez le type d'authentification.
b) Saisissez le nom d'utilisateur et le mot de passe du compte du service de domaine qu'utiliseront les services Dell pour accéder à
SQL Server, puis cliquez sur Suivant.
Le compte utilisateur doit être au format DOMAINE\Nomd'utilisateur et doit posséder le Schéma par défaut de permissions du
serveur SQL : dbo et Database Role Membership : dbo_owner, public.
62
Installer ou Mettre à niveau/Migrer
9. Si la base de données n'est pas sauvegardé, vous devez la sauvegarder avant de continuer l'installation. L'opération de mise à
niveau de la base de données ne peut pas être annulée. Sélectionnez Oui, la base de données a été sauvegardée après avoir
sauvegardée la base de données, puis cliquez sur Suivant.
10. Cliquez sur Installer pour démarrer l'installation.
Installer ou Mettre à niveau/Migrer
63
Une boîte de dialogue de progression affiche le statut pendant le processus de mise à niveau.
11. Une fois l'installation terminée, cliquez sur Terminer.
64
Installer ou Mettre à niveau/Migrer
Dell Services redémarre à la fin de la migration. Il n'est pas nécessaire de redémarrer le Dell Server.
Le programme d'installation effectue les étapes 12 et 13 pour vous. Une bonne pratique consiste à vérifier ces valeurs afin de vous
assurer que les modifications ont été correctement effectuées.
12. Dans votre installation de sauvegarde, copiez/collez : <Rép. d'installation de Compatibility Server>\conf\secretKeyStore vers la
nouvelle installation :
<Compatibility Server install dir>\conf\secretKeyStore
13. Dans la nouvelle installation, ouvrez le fichier <Compatibility Server install dir>\conf\server_config.xml, puis remplacez la valeur
server.pass par celle du fichier sauvegardé <Compatibility Server install dir>\conf\server_config.xml, en procédant comme suit :
Instructions pour server.pass :
Si vous connaissez le mot de passe, reportez-vous au fichier d'exemple server_config.xml de et apportez les modifications
suivantes :
•
•
•
Remplacez la valeur de KeyName CFG_KEY par aucun.
Saisissez le mot de passe en clair et placez-le entre <value> </value>, par exemple, ici <value>changeit</value>.
Lorsque Security Management Server démarre, le mot de passe en clair est crypté et la valeur cryptée remplace le texte en clair.
Mot de passe connu
Si vous ne connaissez pas le mot de passe, coupez et collez la section similaire à la section de la figure 4-2, du fichier sauvegardé
sauvegardé <Compatibility Server install dir>\conf\server_config.xml file vers la section correspondante dans le nouveau fichier
server_config.xml.
Mot de passe inconnu
Installer ou Mettre à niveau/Migrer
65
Enregistrez le fichier, puis fermez-le.
REMARQUE :
N'essayez pas de changer le mot de passe de Security Management Server en modifiant la valeur server.pass dans le
fichier server_config.xml à tout autre moment. Si vous modifiez cette valeur, vous n'aurez plus accès à la base de
données.
Les tâches de migration du serveur principal sont terminées.
Mettre à niveau/Migrer un serveur frontal
1. Sur le support d'installation Dell, accédez au répertoire Security Management Server. Décompressez (SANS copier/coller ou glisser/
déposer) Security Management Server-x64 dans le répertoire racine du serveur où vous comptez installer Security Management
Server. Les opérations de copier/coller ou glisser/déposer produisent des erreurs et empêchent l'installation.
2. Double-cliquez sur setup.exe.
3. Sélectionnez la langue de l'installation, puis cliquez sur OK.
4. Si les composants requis n'ont pas déjà été installés, un message s'affiche, vous informant des composants requis à installer. Cliquez
sur Installer.
66
Installer ou Mettre à niveau/Migrer
5. Dans la boîte de dialogue Accueil, cliquez sur Suivant.
6. Lisez le contrat de licence, acceptez-en les termes, puis cliquez sur Suivant.
Installer ou Mettre à niveau/Migrer
67
7. Dans la boîte de dialogue Prêt à installer le programme, cliquez sur Installer.
Une boîte de dialogue d'avancement affiche le statut pendant le processus d'installation.
68
Installer ou Mettre à niveau/Migrer
8. Une fois l'installation terminée, cliquez sur Terminer.
9. Définissez le serveur principal pour communiquer avec le serveur avant.
a) Sur le serveur principal, allez à <Rép. d'installation de Security Server>\conf\ et ouvrez le fichier application.properties.
b) Localisez publicdns.server.host et configurez le nom en un nom d'hôte résolvable en externe.
c) Localisez publicdns.server.port et configurez le port (le port par défaut est 8443).
Dell Services redémarre à la fin de l'installation. Il n'est pas nécessaire de redémarrer le Dell Server avant la fin des tâches de
configuration post-installation.
Installer ou Mettre à niveau/Migrer
69
Installation du mode déconnecté
Le mode Déconnecté isole Security Management Server d'Internet et d'un LAN ou autre réseau non sécurisé. Une fois Security
Management Server installé en mode Déconnecté, il reste dans ce mode et ne peut pas revenir au mode Connecté.
Security Management Server est installé en mode Déconnecté sur la ligne de commande.
Le tableau suivant répertorie les commutateurs disponibles.
Commutateur
Signification
/v
Transmission des variables au fichier .msi dans le fichier .exe
/s
Mode Silencieux
Le tableau suivant répertorie les options d'affichage disponibles.
Option
Signification
/q
Boîte de dialogue Aucune progression, se réinitialise après la fin du processus
/qb
Boîte de dialogue de progression dotée du bouton Annuler
/qn
Pas d'interface utilisateur
Le tableau suivant indique les paramètres disponibles dans le cadre de l'installation. Vous pouvez spécifier ces paramètres dans la ligne de
commande ou les appeler à partir d'un fichier à l'aide de la propriété suivante :
INSTALL_VALUES_FILE=\"<file_path>\" "
Paramètres
AGREE_TO_LICENSE=Yes : cette valeur doit être définie sur « Oui ».
PRODUCT_SN=xxxxx : facultatif si les informations de licence figurent dans un emplacement de stockage standard; sinon saisissez
cette propriété.
INSTALLDIR=<chemin d'accès> : facultatif.
BACKUPDIR=<chemin d'accès> : emplacement de stockage du fichier de récupération.
REMARQUE : La structure de dossiers créée par le programme d'installation lors de cette étape de l'installation (cidessous) doit rester inchangée.
AIRGAP=1 : cette valeur doit être définie sur « 1 » pour installer Security Management Server en mode Déconnecté.
SSL_TYPE=n : où n est défini sur 1 pour importer un certificat existant acheté auprès d'une autorité de certification et sur 2 pour
créer un certificat auto-signé. La valeur SSL_TYPE détermine les propriétés SSL requises.
Les éléments suivants sont requis avec la valeur SSL_TYPE=1 :
SSL_CERT_PASSWORD=xxxxx
SSL_CERT_PATH=xxxxx
Les éléments suivants sont requis avec la valeur SSL_TYPE=2 :
SSL_CITYNAME
SSL_DOMAINNAME
SSL_ORGNAME
SSL_UNITNAME
SSL_COUNTRY : facultatif (« US » par défaut).
SSL_STATENAME
70
Installer ou Mettre à niveau/Migrer
Paramètres
SSOS_TYPE=n : où n est défini sur 1 pour importer un certificat existant acheté auprès d'une autorité de certification et sur 2 pour
créer un certificat auto-signé. La valeur SSOS_TYPE détermine les propriétés SSOS requises.
Les éléments suivants sont requis avec la valeur SSOS_TYPE=1 :
SSOS_CERT_PASSWORD=xxxxx
SSOS_CERT_PATH=xxxxx
Les éléments suivants sont requis avec la valeur SSOS_TYPE=2 :
SSOS_CITYNAME
SSOS_DOMAINNAME
SSOS_ORGNAME
SSOS_UNITNAME
SSOS_COUNTRY : facultatif (« US » par défaut).
SSOS_STATENAME
DISPLAY_SQLSERVER : cette valeur est analysée afin d'obtenir les informations d'instance et de port de SQL Server.
Exemple :
DISPLAY_SQLSERVER=SQL_server\Server_instance, port
IS_AUTO_CREATE_SQLSERVER=FALSE : facultatif. La valeur par défaut est FALSE, ce qui signifie que la base de données n'est
pas créée. La base de données doit déjà exister sur le serveur.
Pour créer une nouvelle base de données, définissez cette valeur sur TRUE.
IS_SQLSERVER_AUTHENTICATION=0 : facultatif. La valeur par défaut est 0 ; elle indique que les informations d'authentification
Windows de l'utilisateur actuellement connecté servent à authentifier SQL Server. Pour utiliser l'authentification SQL, définissez
cette valeur sur 1.
REMARQUE : Le programme d'installation doit s'authentifier auprès du serveur SQL avec ces
permissions : création d'une base de données, ajout d'utilisateur, attribution de permissions. Les informations
d'identification sont définies au moment de l'installation, et non au moment de l'exécution.
Les éléments suivants sont requis pour l'authentification SQL :
IS_SQLSERVER_USERNAME
IS_SQLSERVER_PASSWORD
EE_SQLSERVER_AUTHENTICATION : obligatoire. Choisissez la méthode d'authentification correspondant au produit à utiliser.
Cette étape connecte un compte au produit. Ces informations d'identification sont également utilisées par les services Dell lorsqu'ils
impliquent Security Management Server. Pour l'authentification Windows, définissez cette valeur sur 0. Pour l'authentification SQL,
définissez la valeur sur 1.
REMARQUE : Assurez-vous que le compte dispose de droits d'administrateur sur le système et de la possibilité de
gérer le serveur SQL. Le compte d'utilisateur doit posséder le Schéma par défaut de permissions du serveur SQL :
dbo et Database Role Membership : dbo_owner, public.
SQL_EE_USERNAME : obligatoire. Avec l'authentification Windows, utilisez le format suivant : DOMAINE/Nomd'utilisateur. Avec
l'authentification SQL, spécifiez le nom d'utilisateur.
SQL_EE_PASSWORD : obligatoire. Spécifiez le mot de passe associé au nom d'utilisateur Windows ou SQL.
Les éléments suivants sont valides pour l'authentification SQL (EE_SQLSERVER_AUTHENTICATION=1) :
RUNAS_KEYSERVER_USER : définissez le nom d'utilisateur Windows « run as » du Key Server en utilisant le format Domaine
\Utilisateur. Il doit s'agit d'un compte d'utilisateur Windows.
RUNAS_KEYSERVER_PSWD : définissez le mot de passe Windows « run as » du Key Server qui est associé au compte d'utilisateur
Windows.
SQL_ADD_LOGIN=T : facultatif. La valeur par défaut est nulle (cette session n'est pas ajoutée). Lorsque la valeur est définie sur T,
si la valeur SQL_EE_USERNAME n'est pas une session ou un utilisateur de la base de données, le programme d'installation tente
Installer ou Mettre à niveau/Migrer
71
Paramètres
d'ajouter les informations d'authentification SQL de l'utilisateur et de définir les privilèges afin que les informations d'authentification
puissent être utilisées par le produit.
Les paramètres des noms d'hôte sont les suivants. Modifiez les noms d'hôte uniquement si nécessaire. Dell recommande l'utilisation
des paramètres par défaut. Le format doit être le suivant : serveur.domaine.com.
REMARQUE : Un nom d'hôte ne doit pas contenir de caractère de soulignement (« _ »).
CORESERVERHOST : facultatif. Nom d'hôte du Core Server.
RMIHOST : facultatif. Nom d'hôte du Compatibility Server.
REPORTERHOST : facultatif. Nom d'hôte du Compliance Reporter.
DEVICEHOST : facultatif. Nom d'hôte du Device Server.
KEYSERVERHOST : facultatif. Nom d'hôte du Key Server.
TIGAHOST : facultatif. Nom d'hôte du Security Server.
SMTP_HOST : facultatif. Nom d'hôte du serveur SMTP.
ACTIVEMQHOST : facultatif. Nom d'hôte du Message Broker.
Les paramètres des ports sont les suivants. Modifier les ports uniquement si nécessaire. Dell recommande l'utilisation des
paramètres par défaut.
SERVERPORT_CLIENTAUTH : facultatif.
REPORTERPORT : facultatif.
DEVICEPORT : facultatif.
KEYSERVERPORT : facultatif.
GKPORT : facultatif.
TIGAPORT : facultatif.
SMTP_PORT : facultatif.
ACTIVEMQ_TCP : facultatif.
ACTIVEMQ_STOMP : facultatif.
Installation de Security Management Server en mode
Déconnecté
Dans l'exemple suivant, Security Management Server est installé en mode silencieux avec une boîte de dialogue de progression, à l'aide des
paramètres d'installation indiqués dans le fichier C:\mysetups\eeoptions.txt\" "
Setup.exe /s /v"/qb INSTALL_VALUES_FILE=\"C:\mysetups\eeoptions.txt\" "
Désinstallation de Security Management Server
1. Sur le support d'installation Dell, accédez au répertoire Security Management Server. Décompressez (SANS copier/coller ou glisser/
déposer) Security Management Server-x64 dans le répertoire racine du serveur où vous comptez désinstaller Security Management
Server. Les opérations de copier/coller ou glisser/déposer produisent des erreurs et empêchent l'installation.
2. Double-cliquez sur setup.exe.
72
Installer ou Mettre à niveau/Migrer
3. Dans la boîte de dialogue Accueil, cliquez sur Suivant.
4. Dans la boîte de dialogue Supprimer le programme, cliquez sur Supprimer.
Une boîte de dialogue de progression affiche le statut pendant le processus de désinstallation.
Installer ou Mettre à niveau/Migrer
73
5. Une fois la désinstallation terminée, cliquez sur Terminer.
74
Installer ou Mettre à niveau/Migrer
5
Configuration postérieure à l'installation
Lisez le document Conseils techniques concernant Security Management Server pour connaître les solutions palliatives ou les problèmes
connus relatifs à la configuration de Security Management Server.
Que vous installiez Security Management Server pour la première fois ou que vous mettiez à niveau une installation existante, certains
composants de votre environnement doivent être configurés.
Après avoir installé Security Management Server, les paramètres par défaut suivants doivent être modifiés :
•
Modifiez le mot de passe du serveur principal à l’emplacement suivant :
•
C:\Program Files\Dell\Enterprise Edition\Message Broker\conf\application.properties
Modifiez le mot de passe de chaque serveur frontal dans votre environnement à l’emplacement suivant :
C:\Program Files\DELL\Enterprise Edition\Beac\conf\application.properties
Le mot de passe s’affiche comme suit : proxy-server.password=ENC(<texthere>)
Pour modifier le mot de passe :
1. Sélectionnez : ENC(<texthere>)
2. Remplacez le texte sélectionné par : CLR(<newpasswordhere>)
Après le redémarrage du service, la ligne modifiée passe de ENC à CLR et le mot de passe est chiffré.
Remarque : proxy-server.username peut également être modifié, mais cette modification doit avoir une correspondance dans le fichier
application.properties du courtier de messages et tous les serveurs frontaux actifs.
Configuration en mode DMZ
Si Security Server est déployé dans une zone DMZ et un réseau privé, et que seul le serveur DMZ possède un certificat de domaine d'une
autorité de certification (CA) approuvée, certaines étapes manuelles sont nécessaires pour ajouter le certificat approuvé dans le magasin
de clés Java de Security Server du réseau privé.
Si un certificat approuvé est utilisé, ignorez cette section.
REMARQUE : Dell vous recommande vivement d'utiliser des certificats de domaine d'une autorité de certification
approuvée pour les serveurs DMZ et de réseau privé.
Pour plus d'informations sur la mise à jour du certificat de Dell Encryption avec un certificat existant dans le magasin de clés Microsoft,
voir http://www.dell.com/support/article/us/en/19/sln297240/.
Outil de configuration serveur
Lorsqu'il devient nécessaire de configurer votre environnement, une fois l'installation terminée, utilisez l'outil de configuration de serveur
pour apporter les modifications.
Le Server Configuration Tool vous permet d'effectuer les tâches suivantes :
•
•
•
•
•
•
•
Ajouter des certificats nouveaux ou mis à jour
Importer un certificat Dell Manager.
Importer un certificat d'identité
Configuration des paramètres de certificat SSL du serveur
Configurer les paramètres SMTP pour les services de messagerie
Changer le nom de la base de données, l'emplacement, ou les informations d'identification
Migrer la base de données
Les services Dell Core Server et Compatibility Server ne peuvent pas s'exécuter en même temps que l'outil de configuration serveur.
Arrêtez le service Core Server et le service Compatibility Server dans Services (Démarrer > Exécuter. Tapez services.msc) avant
de démarrer l'outil de configuration serveur.
Pour lancer l'outil de configuration de serveur, accédez à Démarrer > Dell > Exécuter l'outil de configuration de serveur.
Configuration postérieure à l'installation
75
Les journaux de l'outil de configuration de serveur sont sauvegardés dans C:\Program Files\Dell\Enterprise Edition
\Server Configuration Tool\Logs.
Ajouter des certificats nouveaux ou mis à jour
Vous pouvez choisir le type de certificats à utiliser : auto-signé ou signé :
•
•
Les certificats auto-signés sont signés par leur propre créateur. Les certificats auto-signés conviennent aux projets pilotes, aux
démonstrations de faisabilité, etc. Dans un environnement de production, Dell recommande d'utiliser des certificats signés par une
autorité de certification publique ou un domaine.
Les certificats signés (qu'il s'agisse de certificats signés par une autorité de certification publique ou un domaine) sont signés par une
autorité de certification publique ou un domaine. Si les certificats sont signés par une autorité de certification publique (CA), le
certificat de l'autorité de certification signataire existera généralement déjà dans le magasin de certificats Microsoft. Par conséquent,
la chaîne d'approbation est automatiquement établie. En ce qui concerne les certificats signés par une autorité de certification de
domaine, si la station de travail a été associée au domaine, le certificat de l'autorité de certification signataire du domaine aura été
ajouté au magasin de certificats Microsoft de la station de travail, créant ainsi également une chaîne d'approbation.
Composants concernés par la configuration de certificats :
•
•
•
•
•
Services Java (par exemple, Device Server, etc.)
Applications .NET (Core Server)
Validation de cartes à puce utilisées pour l'authentification de préamorçage (Security Server)
Importation de clés de cryptage privées destinée à la signature d'ensembles de stratégies envoyés à Dell Manager. Dell Manager
effectue la validation SSL pour les clients Encryption gérés avec des disques à cryptage automatique, ou BitLocker Manager.
Postes de travail client :
•
•
•
Postes de travail exécutant BitLocker Manager
Postes de travail exécutant Encryption Enterprise (Windows)
Postes de travail exécutant Endpoint Security Suite Enterprise
Informations concernant le type de certificats à utiliser :
L'authentification de préamorçage à l'aide de cartes à puce exige une validation SSL avec le Security Server. Dell Manager effectue la
validation SSL lors de la connexion au Dell Core Server. Pour ces types de connexions, l'autorité de certification signataire doit se trouver
dans le magasin de clés (c'est-à-dire le magasin de clés Java ou Microsoft, selon le composant Dell Server concerné). Si vous choisissez
les certificats auto-signés, vous disposerez des options suivantes :
•
Validation de cartes à puce utilisées pour Preboot Authentication (authentification de préamorçage) :
•
Importez le certificat de signature « Root Agency » et la chaîne de confiance complète dans le magasin de clés Java de Security
Server. La chaîne de confiance complète doit être importée.
Dell Manager :
•
•
Insérez le certificat de signature « Root Agency » (à partir du certificat auto-signé généré) dans la rubrique « Autorités de certification
racines d'approbation » du poste de travail (pour l'« ordinateur local ») dans le magasin de clés Microsoft.
Modifiez le comportement de la validation SSL du côté serveur. Pour désactiver la validation d'approbation SSL du côté serveur,
sélectionnez Désactiver la vérification de la chaîne d'approbation dans l'onglet Paramètres.
Il existe deux méthodes pour créer un certificat : Expresse et Avancée.
Choisissez une méthode :
•
•
Expresse : choisissez cette méthode pour générer un certificat auto-signé pour tous les composants. Il s'agit de la méthode la plus
simple, mais les certificats auto-signés conviennent aux projets pilotes, aux démonstrations de faisabilité, etc, uniquement Dans un
environnement de production, Dell recommande d'utiliser des certificats signés par une autorité de certification publique ou un
domaine.
Avancée : choisissez cette méthode pour configurer chaque composant séparément.
Express
1. Dans le menu supérieur, sélectionnez Actions > Configurer les certificats.
2. Au lancement de l'Assistant Configuration, sélectionnez Express, puis cliquez sur Suivant. Les informations du certificat auto-signé
qui a été créé lors de l'installation de Security Management Server sont utilisées, si disponibles.
3. Dans le menu supérieur, sélectionnez Configuration > Enregistrer. Confirmez l'enregistrement si vous y êtes invité.
La configuration du certificat est terminée. Le reste de cette section décrit la méthode avancée de création d'un certificat.
Avancé
76
Configuration postérieure à l'installation
Deux chemins d'accès sont disponibles pour créer un certificat : Générer un certificat auto-signé et Utiliser les paramètres actuels.
Choisissez une seule méthode :
•
•
Méthode 1 : Générer un certificat auto-signé
Méthode 2 : Utiliser les paramètres actuels
Méthode 1 : Générer un certificat auto-signé
1. Dans le menu supérieur, sélectionnez Actions > Configurer les certificats.
2. Lors du démarrage de l'assistant de configuration, sélectionnez Avancée et cliquez sur Suivant.
3. Sélectionnez Générer un certificat auto-signé et cliquez sur Suivant. Les informations du certificat auto-signé qui a été créé lors
de l'installation de Security Management Server sont utilisées, si disponibles.
4. Dans le menu supérieur, sélectionnez Configuration > Enregistrer. Confirmez l'enregistrement si vous y êtes invité.
La configuration du certificat est terminée. Le reste de cette section décrit l'autre méthode de création d'un certificat.
Méthode 2 : Utiliser les paramètres actuels
1.
2.
3.
4.
Dans le menu supérieur, sélectionnez Actions > Configurer les certificats.
Lors du démarrage de l'assistant de configuration, sélectionnez Avancée et cliquez sur Suivant.
Sélectionnez Utiliser les paramètres actuels et cliquez sur Suivant.
Dans la fenêtre Certificat SSL du Compatibility Server, sélectionnez Générer un certificat auto-signé et cliquez sur Suivant. Les
informations du certificat auto-signé qui a été créé lors de l'installation de Security Management Server sont utilisées, si disponibles.
Cliquez sur Suivant.
5. Dans la fenêtre Certificat SSL de Core Server, sélectionnez l'une des options suivantes :
•
Sélectionner un certificat : sélectionnez cette option pour utiliser un certificat existant. Cliquez sur Suivant.
Accédez à l'emplacement du certificat existant, saisissez le mot de passe associé du certificat existant et cliquez sur Suivant.
•
Cliquez sur Terminer lorsque vous avez terminé.
Générer un certificat auto-signé : les informations du certificat auto-signé qui a été créé lors de l'installation de Security
Management Server sont utilisées, si disponibles. Si vous sélectionnez cette option, la fenêtre Certificat de sécurité des messages
ne s'affiche pas (la fenêtre ne s'affiche que si vous sélectionnez l'option Utiliser les paramètres actuels) et que le certificat créé
pour Compatibility Server est utilisé.
Vérifiez que le nom complet de l'ordinateur est correct. Cliquez sur Suivant.
Un message d'avertissement vous indique qu'il existe déjà un certificat du même nom. Lorsqu'un message vous demande si vous
voulez l'utiliser, cliquez sur Oui.
•
Cliquez sur Terminer lorsque vous avez terminé.
Utiliser les paramètres actuels : sélectionnez cette option pour modifier le paramètre d'un certificat à tout moment après la
configuration initiale de Security Management Server. Cette option ne modifie pas le certificat que vous avez déjà configuré.
Sélectionnez cette option pour accéder à la fenêtre Certificat de sécurité des messages.
Dans la fenêtre Certificat de Sécurité des messages, sélectionnez l'une des options suivantes :
•
Sélectionner un certificat : sélectionnez cette option pour utiliser un certificat existant. Cliquez sur Suivant.
Accédez à l'emplacement du certificat existant, saisissez le mot de passe associé du certificat existant et cliquez sur Suivant.
•
Cliquez sur Terminer lorsque vous avez terminé.
Générer un certificat auto-signé : les informations du certificat auto-signé qui a été créé lors de l'installation de Security
Management Server sont utilisées, si disponibles.
Cliquez sur Suivant.
Cliquez sur Terminer lorsque vous avez terminé.
La configuration du certificat est terminée.
Lorsque les modifications sont terminées :
1. Dans le menu supérieur, sélectionnez Configuration > Enregistrer. Confirmez l'enregistrement si vous y êtes invité.
2. Fermez l'outil de configuration du Dell Server.
3. Cliquez sur Démarrer > Exécuter. Tapez services.msc et cliquez sur OK. Lorsque la page Services s'ouvre, accédez à chaque service
Dell et cliquez sur Démarrer le service.
Configuration postérieure à l'installation
77
Importer un certificat Dell Manager.
Si votre déploiement comprend des clients Security Management Server gérés à distance avec des instances d'Encryption Management
Agent, vous devez importer votre certificat nouvellement créé (ou existant). Le certificat Dell Manager sert à protéger la clé privée utilisée
pour signer les ensembles de règles envoyés aux clients Security Management Server gérés à distance, ainsi qu'à Encryption Management
Agent. Ce certificat peut être indépendant des autres certificats. Par ailleurs, si cette clé est compromise, elle peut être remplacée par une
nouvelle clé et Dell Manager demandera une nouvelle clé publique s'il ne peut pas décrypter les ensembles de règles.
1.
2.
3.
4.
5.
6.
Ouvrez la console de gestion Microsoft (MMC).
Cliquez sur Fichier > Ajouter/Supprimer un snap-in (composant logiciel enfichable).
Cliquez sur Ajouter.
Dans la fenêtre Ajouter un composant logiciel enfichable autonome, sélectionnez Certificats et cliquez sur Ajouter.
Sélectionnez Compte d'ordinateur et cliquez sur Suivant.
Dans la fenêtre Sélectionner un ordinateur, sélectionnez Ordinateur local (l'ordinateur sur lequel s'exécute cette console), puis
cliquez sur Terminer.
7. Cliquez sur Fermer.
8. Cliquez sur OK.
9. Dans le dossier Racine de la console, développez Certificats (Ordinateur local).
10. Accédez au dossier Personnel et localisez le certificat voulu.
11. Mettez en surbrillance le certificat voulu, puis, avec le bouton droit de la souris, cliquez sur Toutes les tâches > Exporter.
12. Lorsque l'assistant d'exportation de certificat démarre, cliquez sur Suivant.
13. Sélectionnez Oui, exporter la clé privée et cliquez sur Suivant.
14. Sélectionnez Échange d'informations personnelles - PKCS #12 (.PFX), puis sélectionnez les sous-options Inclure tous les
certificats dans le chemin de certification si possible et Exporter toutes les propriétés étendues. Cliquez sur Suivant.
15. Saisissez et confirmez le mot de passe. Il peut s'agir de n'importe quel mot de passe de votre choix. Choisissez un mot de passe facile
à retenir pour vous, mais difficile à deviner pour un tiers. Cliquez sur Suivant.
16. Cliquez sur Parcourir pour accéder à l'emplacement où vous souhaitez enregistrer le fichier.
17. Dans Nom de fichier, entrez un nom d'enregistrement du fichier. Cliquez sur Enregistrer.
18. Cliquez sur Suivant.
19. Cliquez sur Terminer.
20. Un message indiquant que l'exportation a réussi s'affiche. Fermez le MMC.
21. Revenez dans l'outil de configuration du Dell Server.
22. Dans le menu supérieur, sélectionnez Actions > Importer un certificat DM.
23. Naviguez jusqu'à l'emplacement d'enregistrement du fichier exporté. Sélectionnez le fichier, puis cliquez sur Ouvrir.
24. Saisissez le mot de passe associé à ce fichier, puis cliquez sur OK.
L'importation du certificat Dell Manager est à présent terminée.
Lorsque les modifications sont terminées :
1. Dans le menu supérieur, sélectionnez Configuration > Enregistrer. Confirmez l'enregistrement si vous y êtes invité.
2. Fermez l'outil de configuration du Dell Server.
3. Cliquez sur Démarrer > Exécuter. Tapez services.msc et cliquez sur OK. Lorsque la page Services s'ouvre, accédez à chaque service
Dell et cliquez sur Démarrer le service.
Importer un certificat SSL/TLS bêta
Si votre déploiement le Cryptage du serveur, vous devez importer votre nouveau certificat (ou certificat existant). Le certificat SSL/TLS
bêta sert à protéger la clé privée utilisée pour signer les ensembles de règles envoyés aux serveurs client.
1.
2.
3.
4.
Dans le menu supérieur, sélectionnez Actions > Importer un certificat SSL/TLS bêta.
Parcourez pour sélectionner un certificat et cliquez sur Suivant.
En réponse à l'invite de Mot de passe de certificat, entrez le mot de passe associé au certificat existant.
Dans la boîte de dialogue Compte Windows, choisissez une option :
a. Pour modifier les données d'identification associées au certificat d'identité, sélectionnez Utiliser différentes informations
d'identification Windows avec le certificat d'identité.
b. Pour continuer à utiliser les informations d'identité du compte connecté, cliquez sur Suivant.
5. Dans le menu supérieur, sélectionnez Configuration > Enregistrer. Confirmez l'enregistrement si vous y êtes invité.
78
Configuration postérieure à l'installation
Configuration des paramètres de certificat SSL du serveur
Dans Server Configuration Tool, cliquez sur l'onglet Paramètres.
Dell Manager :
Pour désactiver la validation d'approbation SSL de Dell Manager côté serveur, sélectionnez Désactiver la vérification de la chaîne
d'approbation.
SCEP :
Si vous utilisez Mobile Edition, saisissez l'URL du serveur hébergeant le protocole SCEP.
REMARQUE : À partir de la version 9.8, Mobile Edition n'est plus pris en charge.
Lorsque les modifications sont terminées :
1. Dans le menu supérieur, sélectionnez Configuration > Enregistrer. Confirmez l'enregistrement si vous y êtes invité.
2. Fermez l'outil de configuration du Dell Server.
3. Cliquez sur Démarrer > Exécuter. Tapez services.msc et cliquez sur OK. Lorsque la page Services s'ouvre, accédez à chaque service
Dell et cliquez sur Démarrer le service.
Configurer les paramètres SMTP
Dans Server Configuration Tool, cliquez sur l'onglet SMTP.
Cet onglet permet de configurer les paramètres SMTP pour les bulletins produit, les notifications et les messages Advanced Threat
Prevention Threat Relay.
Une fois les modifications apportées à la configuration, redémarrez le service Security Server. Le service Security Server doit être
redémarré pour que les paramètres soient mis à jour.
Saisissez les informations suivantes :
1. Dans Nom d'hôte, entrez le nom de domaine complet de votre serveur SMTP, par exemple nomserveursmtp.domaine.com.
2. Dans Nom d'utilisateur, entrez le nom d'utilisateur pour vous connecter au serveur de courrier. Le format peut être DOMAINE\jdupont,
jdupont ou toute autre formulation requise par votre société.
3. Dans Mot de passe, entrez le mot de passe associé à ce nom d'utilisateur.
4. Dans Adresse, entrez l'adresse e-mail qui générera les e-mails. Il peut s'agir du même compte que celui du nom d'utilisateur
(jdupont@domaine.com). Il peut également s'agir d'un autre compte auquel l'utilisateur concerné a accès pour l'envoi d'e-mails
(EnregistrementCloud@domaine.com).
5. Dans Port, entrez le numéro de port (en général, 25).
6. Dans le menu Authentification, sélectionnez Vrai ou Faux.
REMARQUE : Le nom d'utilisateur et le mot de passe doit être laissés vides si l'authentification est définie sur Faux.
Lorsque les modifications sont terminées :
1. Dans le menu supérieur, sélectionnez Configuration > Enregistrer. Confirmez l'enregistrement si vous y êtes invité.
2. Fermez l'outil de configuration du Dell Server.
3. Cliquez sur Démarrer > Exécuter. Tapez services.msc et cliquez sur OK. Lorsque la page Services s'ouvre, accédez à chaque service
Dell et cliquez sur Démarrer le service.
Changer le nom de la base de données, l'emplacement, ou
les informations d'identification
Dans l'outil de configuration de serveur, cliquez sur l'onglet Base de données.
1. Dans Nom du serveur, entrez le nom de domaine complet (s'il existe un nom d'instance, incluez-le) du serveur hébergeant la base de
données. Par exemple, SQLTest.domaine.com\DellDB.
Dell vous recommande d'utiliser un nom de domaine complet bien que vous puissiez utiliser une adresse IP.
2. Dans Port du serveur, entrez le numéro de port.
Configuration postérieure à l'installation
79
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
Lorsque vous n'utilisez pas une instance SQL Server par défaut, vous devez définir le port dynamique de l'instance dans Port :. Vous
pouvez également activer le service de navigateur SQL Server Browser et vous assurer que le port UDP 1434 est ouvert. Pour en
savoir plus, voir https://msdn.microsoft.com/en-us/library/hh510203(v=sql.120).aspx.
Dans Base de données, entrez le nom de la base de données.
Dans Authentification, sélectionnez Authentification Windows ou Authentification SQL Server. Si vous choisissez
Authentification Windows, les identifiants déjà utilisés pour vous connecter à Windows sont utilisés pour l'authentification (les champs
Nom d'utilisateur et Mot de passe ne peuvent pas être modifiés).
Dans Nom d'utilisateur :, entrez le nom d'utilisateur approprié associé à cette base de données.
Dans Mot de passe :, entrez le mot de passe de l'utilisateur spécifié dans Nom d'utilisateur.
Dans le menu supérieur, sélectionnez Configuration > Enregistrer. Confirmez l'enregistrement si vous y êtes invité.
Pour tester la configuration de la base de données, dans le menu supérieur, sélectionnez Actions > Tester la configuration de la
base de données. L'Assistant Configuration se lance.
Lorsqu'elles s'affichent, lisez les informations de la fenêtre Test de la configuration, puis cliquez sur Suivant.
Si vous avez choisi l'authentification Windows dans l'onglet Base de données, vous pouvez entrer d'autres identifiants pour autoriser
l'utilisation des mêmes identifiants utilisés pour exécuter Security Management Server. Cliquez sur Suivant.
Dans la fenêtre Test de la configuration, les résultats des tests des paramètres de connexion, de compatibilité et de migration de la
base de données s'affichent.
Cliquez sur Terminer.
REMARQUE :
Si la base de données SQL ou l'instance SQL est configurée selon un classement autre que par défaut, ce classement ne
doit pas respecter la casse. Pour obtenir la liste des classements et la sensibilité à la casse, voir https://
msdn.microsoft.com/en-us/library/ms144250(v=sql.105).aspx.
Lorsque les modifications sont terminées :
1. Dans le menu supérieur, sélectionnez Configuration > Enregistrer. Confirmez l'enregistrement si vous y êtes invité.
2. Fermez l'outil de configuration du Dell Server.
3. Cliquez sur Démarrer > Exécuter. Tapez services.msc et cliquez sur OK. Lorsque la page Services s'ouvre, accédez à chaque service
Dell et cliquez sur Démarrer le service.
Migrer la base de données
Vous pouvez migrer une base de données v9.2 ou version ultérieure vers le dernier schéma avec la dernière version du serveur.
Dans l'outil de configuration de serveur, cliquez sur l'onglet Base de données.
1. Si vous n'avez pas encore effectué de sauvegarde de votre base de données Dell Server existante, faites-le maintenant.
2. Dans le menu supérieur, sélectionnez Actions > Migration de la base de données. L'Assistant Configuration se lance.
3. Dans la fenêtre Migration de la base de données Enterprise, un avertissement s'affiche. Confirmez soit que vous avez sauvegardé la
totalité de la base de données, soit que la sauvegarde de votre base de données actuelle n'est pas nécessaire. Cliquez sur Suivant.
Dans la fenêtre Migration de la base de données en cours, des messages à caractère informatif affichent l'état de la migration.
Une fois que vous avez terminé, vérifiez s'il y a des erreurs.
REMARQUE : Un message d'erreur signalé par
signifie qu'une tâche de la base de données a échoué et qu'une
action corrective doit être effectuée pour que la base de données puisse être correctement migrée. Cliquez sur
Terminer, corrigez les erreurs de la base de données et recommencez les instructions de cette section.
4. Cliquez sur Terminer.
Lorsque la migration est terminée :
1. Dans le menu supérieur, sélectionnez Configuration > Enregistrer. Confirmez l'enregistrement si vous y êtes invité.
2. Fermez l'outil de configuration du Dell Server.
3. Cliquez sur Démarrer > Exécuter. Tapez services.msc et cliquez sur OK. Lorsque la page Services s'ouvre, accédez à chaque service
Dell et cliquez sur Démarrer le service.
80
Configuration postérieure à l'installation
6
Tâches administratives
Assigner le rôle d'administrateur Dell
1. En tant qu'administrateur de Security Management Server Virtual, connectez-vous à la console de gestion à l'adresse suivante :
https://server.domain.com:8443/webui/. Les références par défaut sont superadmin/changeit.
2. Dans le volet de gauche, cliquez sur Populations > Domaines.
3. Cliquez sur un domaine auquel vous souhaitez ajouter un utilisateur.
4. Sur la page Détails du domaine, cliquez sur l'onglet Membres.
5. Cliquez sur Ajouter un utilisateur.
6. Entrez un filtre pour rechercher le nom d'utilisateur par Nom courant, Nom principal universel ou NomdeComptesAMA. Le caractère
de remplacement est *.
Un Nom courant, Nom principal universel et NomdeCompteSAM doivent être définis sur le serveur d'annuaire d'entreprise pour
chaque utilisateur. Si un utilisateur est membre d'un domaine ou d'un groupe et qu'il ne s'affiche pas dans la liste des membres de ce
domaine ou de ce groupe dans la gestion, assurez-vous que les trois noms sont correctement définis pour l'utilisateur sur le serveur
d'annuaire d'entreprise.
La requête effectuera automatiquement une recherche par nom courant, puis UPN, puis NomdeCompteSAM, jusqu'à ce qu'une
correspondance soit trouvée.
7. Sélectionnez les membres de la Liste des utilisateurs d'annuaire à ajouter au domaine. Utilisez <Maj><clic> ou <Ctrl><clic> pour
sélectionner plusieurs utilisateurs.
8. Cliquez sur Ajouter.
9. Depuis la barre de tâches, cliquez sur l'onglet Détails et actions de l'utilisateur spécifié.
10. Déplacez-vous dans la barre de tâches, puis sélectionnez l'onglet Admin.
11. Sélectionnez les rôles d'administrateur à assigner à cet utilisateur.
12. Cliquez sur Enregistrer.
Se connecter avec le rôle d'administrateur Dell
1. Déconnectez-vous de la Console de gestion.
2. Connectez-vous à la console de gestion et connectez-vous avec les identifiants d'utilisateur de domaine.
Chargement des licences d'accès client
Vous avez reçu des licences d'accès client séparément des fichiers d'installation, lors de l'achat initial ou ultérieurement si vous avez ajouté
des licences d'accès client supplémentaires.
1. Dans le volet de gauche, cliquez sur Gestion
2. Cliquez sur Gestion des licences.
3. Cliquez sur Choisir un fichier à localiser, puis sélectionnez le fichier Licence du client.
Valider des règles
Validez les règles lorsque l'installation est terminée.
Pour les valider après l'installation ou plus tard après la sauvegarde des modifications de règles, procédez comme suit :
1. Dans le volet de gauche, cliquez sur Gestion > Valider.
2. Dans le champ Commentaire, entrez une description de la modification.
3. Cliquez sur Valider les règles.
Tâches administratives
81
Configurer Dell Compliance Reporter
1. Dans le volet de gauche, cliquez sur Compliance Reporter.
2. Lorsque Dell Compliance Reporter démarre, connectez-vous à l'aide des identifiants par défaut superadmin/changeit.
Réaliser des sauvegardes
À des fins de reprise après sinistre, assurez-vous que les emplacements suivants sont sauvegardés chaque semaine, avec les différentiels
nocturnes : Pour plus d'informations sur la planification de la reprise après sinistre, consultez l'article http://www.dell.com/support/
article/us/en/04/sln292355/plan-for-disaster-recovery-and-high-availability-with-dell-security-management-server-dell-dataprotection-server?lang=en. Pour plus d'informations sur la sauvegarde des données du Rapporteur de conformité, consultez l'article
http://www.dell.com/support/article/de/en/debsdt1/sln289096/how-to-backup-and-import-custom-compliance-reports-in-dellsecurity-management-server-dell-data-protection-enterprise-edition-server?lang=en.
Sauvegardes relatives à Security Management Server
Sauvegardez régulièrement les fichiers stockés dans l'emplacement que vous avez sélectionné pour la sauvegarde des fichiers de
configuration au cours de l'installation (étape 10, page 27) ou mise à niveau/migration (étape 6, page 68). Les sauvegardes hebdomadaires
de ces données sont acceptables, car elles évoluent normalement assez peu et peuvent être reconfigurées manuellement si nécessaire.
Les fichiers les plus critiques stockent les informations nécessaires pour la connexion à la base de données :
<Dossier d'installation>\Enterprise Edition\Compatibility Server\conf\server_config.xml
<Dossier d'installation>\Enterprise Edition\Compatibility Server\conf\secretKeyStore
<Dossier d'installation>\Enterprise Edition\Compatibility Server\conf\gkconfig.xml
Sauvegardes de SQL Server
Effectuez chaque soir des sauvegardes complètes avec connexion transactionnelle activée et effectuez des sauvegardes des bases de
données différentielles toutes les 3 ou 4 heures. Si une sauvegarde de base de données est disponible, il est alors recommandé d'effectuer
des enregistrements de transaction et des tâches d'expédition toutes les 15 minutes (ou plus fréquemment si possible). Comme toujours,
Dell recommande d'appliquer les meilleures pratiques pour les bases de données Dell Server et d'inclure le logiciel Dell dans le programme
de reprise après sinistre de votre société.
Pour obtenir des informations supplémentaires sur les meilleures pratiques relatives à SQL Server, reportez-vous à la liste suivante pour les
mettre en œuvre lorsque Dell Security est installé et si elles ne sont pas encore mises en œuvre.
Sauvegardes de PostgreSQL Server
Les événements d’audit sont stockés sur le PostgreSQL Server (C:\ProgramData\Dell\PostgreSQL\10.7\data), qui doit être
régulièrement sauvegardé. Pour consulter les instructions de sauvegarde, voir la section /C:/ProgramData/Dell/PostgreSQL/10.7/data.
Dell recommande d'appliquer les meilleures pratiques pour les base de données PostgreSQL et d'inclure le logiciel Dell dans le programme
de reprise après sinistre de votre société.
82
Tâches administratives
7
Ports
Le tableau suivant décrit chaque composant et sa fonction.
Nom
Port par
défaut
Description
Service ACL
TCP/
Gère diverses autorisations et accès de
groupe pour divers produits de sécurité
Dell.
8006
REMARQUE : Le port 8006 n’est
pas sécurisé pour le moment.
Assurez-vous que ce port est
correctement filtré par le biais
d’un pare-feu. Ce port est interne
uniquement.
Rapporteur de conformité
HTTP(S)/
8084
Fournit un aperçu complet de
l'environnement d'audit et de génération
de rapports de conformité.
REMARQUE : Le port 8084 doit
être filtré via un pare-feu.
Dell recommande que ce port soit
uniquement interne.
Console de gestion
HTTP(S)/
8443
Core Server
HTTPS/
8888
Device Server
HTTPS/
8081
Console de gestion et centre de
commande pour le déploiement à toute
l'entreprise.
Gère le flux des stratégies, les licences et
l'enregistrement de Preboot
Authentication, SED Management,
BitLocker Manager, Threat Protection et
Advanced Threat Prevention. Traite les
données d'inventaire pour l'utilisation par
Rapporteur de conformité et la Console de
gestion. Collecte et stocke les données
d'authentification. Contrôle l'accès basé
sur des rôles.
Prend en charge les activations et la
récupération de mot de passe.
Composant de Security Management
Server.
Requis pour Encryption Enterprise
(Windows et Mac)
Security Server
HTTPS/
8443
Communique avec Policy Proxy, gère les
extractions de clé de détection, les
activations de client, les communications
SED-PBA et Full Disk Encryption-PBA ainsi
qu’Active Directory pour l’authentification
ou le rapprochement, notamment la
validation d’identité pour l’authentification
Ports
83
Nom
Port par
défaut
Description
dans la console de gestion. Exige l'accès à
la base de données SQL.
Compatibility Server
TCP/
1099
Service de gestion de l'architecture de
l'entreprise. Collecte et stocke les données
d'inventaire initiales lors de l'activation et
les données des stratégies lors des
migrations. Traite les données en fonction
des groupes d'utilisateurs.
REMARQUE : Le port 1099 doit
être filtré via un pare-feu.
Dell recommande que ce port soit
uniquement interne.
Service Courtier de messages
TCP/
Gère les communications entre les
services du Dell Server. Organise les
61616
informations sur les stratégies créées par
et STOMP/ le Compatibility Server pour la mise en file
d'attente de proxy des règles.
61613
Exige l'accès à la base de données SQL.
REMARQUE : Le port 61616 doit
être filtré via un pare-feu.
Dell recommande que ce port soit
uniquement interne.
REMARQUE : Le port 61613 doit
être uniquement accessible via les
serveurs de gestion de sécurité
configurés en mode front-end.
Key Server
TCP/
8050
Négocie, authentifie et crypte une
connexion client grâce aux interfaces API
Kerberos.
Exige l'accès à la base de données SQL
pour récupérer les données des clés.
Policy Proxy (Proxy de stratégie)
TCP/
8000
PostGres
TCP/
5432
Fournit un chemin de communication
réseau pour les mises à jour de l'inventaire
et des règles de sécurité.
Base de données locale utilisée pour les
données d’événement.
REMARQUE : Le port 5432 doit
être filtré via un pare-feu.
Dell recommande que ce port soit
uniquement interne.
LDAP
84
TCP/
Port 389 : ce port est utilisé pour la
demande d'informations auprès du
389/636
contrôleur de domaine local. Les requêtes
(contrôleur
LDAP envoyées au port 389 peuvent être
de domaine
utilisées pour la recherche d'objets
local),
uniquement à l'intérieur du domaine
3268/3269
d'accueil du catalogue global. Cependant,
(catalogue
l'application de requête peut obtenir tous
global)
les attributs de ces objets. Par exemple,
TCP/
Ports
Nom
Port par
défaut
Description
135/49125+ une requête au port 389 peut être utilisée
pour obtenir un service utilisateur.
(RPC)
Port 3268 : ce port est utilisé pour les
requêtes ciblées spécifiquement sur le
catalogue global. Les requêtes LDAP
envoyées au port 3268 peuvent être
utilisées pour la recherche d'objets dans
l'ensemble de la forêt. Cependant, seuls les
attributs marqués pour réplication sur le
catalogue global peuvent être retournés.
Par exemple, un service utilisateur n'a pas
pu être retourné à l'aide du port 3268 dans
la mesure où cet attribut n'est pas répliqué
sur le catalogue global.
Base de données Microsoft SQL
TCP/
1433
Authentification client
HTTPS/
8449
Le port de Serveur SQL par défaut est
1433 et une valeur aléatoire comprise entre
1 024 et 5 000 est attribuée aux ports du
client.
Permet aux serveurs client de
s'authentifier auprès du Dell Server. Requis
pour Server Encryption.
Ports
85
8
Meilleures pratiques SQL Server
La liste suivante explique les meilleures pratiques relatives à SQL Server, qui doivent être mises en œuvre lorsque la sécurité Dell est
installée et si elles ne sont pas encore mises en œuvre.
1. Assurez-vous que la taille de blocs NTFS où résident le fichier de données et le fichier journal est de 64 Ko. Les extensions SQL Server
(unité de base de stockage SQL) sont de 64 Ko.
Pour plus d'informations, recherchez la rubrique « Comprendre les pages et les extensions » dans les articles TechNet de Microsoft.
2. D'une manière générale, définissez la quantité de mémoire SQL Server sur 80 pour cent de la mémoire installée.
Pour plus d’informations, recherchez la rubrique Options de configuration de la mémoire des serveurs dans les articles TechNet de
Microsoft.
• Microsoft SQL Server 2012 - https://technet.microsoft.com/en-us/library/ms178067(v=sql.110)
• Microsoft SQL Server 2014 - https://technet.microsoft.com/en-us/library/ms178067(v=sql.120)
• Microsoft SQL Server 2016 - https://technet.microsoft.com/en-us/library/ms178067(v=sql.130)
• Microsoft SQL Server 2017 - https://technet.microsoft.com/en-us/library/ms178067(v=sql.130)
3. Définissez -t1222 sur les propriétés au démarrage de l'instance pour vous assurer que les informations sur le blocage seront capturées
le cas échéant.
Pour plus d'informations, recherchez « Indicateurs de trace (Transact-SQL) » dans les articles TechNet de Microsoft.
• Microsoft SQL Server 2012 - https://msdn.microsoft.com/en-us/library/ms188396.aspx
• Microsoft SQL Server 2014 - https://msdn.microsoft.com/en-us/library/ms188396.aspx
• Microsoft SQL Server 2016 - https://msdn.microsoft.com/en-us/library/ms188396.aspx
• Microsoft SQL Server 2017 - https://msdn.microsoft.com/en-us/library/ms188396.aspx
4. Assurez-vous que tous les index sont couverts par une tâche de maintenance hebdomadaire pour reconstituer les index.
5. Vérifiez que les autorisations et les fonctionnalités sont adaptées à la base de données utilisée par Security Management Server. Pour
plus d’informations, reportez-vous à l’article de la base de connaissances SLN307771.
86
Meilleures pratiques SQL Server
9
Certificats
Ce chapitre explique comment obtenir les certificats permettant d'utiliser Security Management Server.
Pour plus d'informations sur la façon de configurer l'authentification avec carte à puce, voir http://www.dell.com/support/
article/us/en/19/sln303783/dell-data-protection-sed-management-smartcard-setup-guide?lang=en.
Pour plus d'informations sur la configuration minimum requise pour demander des certificats SSL/TLS à des fins d'utilisation par le serveur
Dell Data Security, voirhttp://www.dell.com/support/article/us/en/19/sln307037/dell-data-protection-enterprise-edition-and-virtualedition-dell-security-management-sever-and-virtual-server-ssl-tls-certificate-minimum-requirements?lang=en.
Pour plus d'informations sur la mise à jour du certificat de Dell Encryption avec un certificat existant dans le magasin de clés Microsoft,
voir http://www.dell.com/support/article/us/en/19/sln297240/.
Créer un certificat auto-signé et générer une
demande de signature de certificat (CSR)
Cette section décrit les étapes à suivre pour créer un certificat auto-signé pour des composants Java. Ce processus ne peut pas être
utilisé pour créer un certificat auto-signé pour les composants .NET.
Dell recommande d'utiliser un certificat auto-signé uniquement dans un environnement hors production.
Si votre entreprise nécessite un certificat de serveur SSL, ou si vous avez besoin de créer un certificat pour d'autres raisons, cette section
décrit le processus de création d'un magasin de clés Java à l'aide de l'outil Keytool.
Si votre entreprise prévoit d'utiliser des cartes à puce pour l'authentification, vous devez utiliser Keytool pour importer la chaîne complète
d'approbation des certificats qui sont utilisés dans le certificat de l'utilisateur de la carte à puce.
Keytool crée les clés privées qui sont transmises sous le format d'une demande de signature de certificat (CSR) à une autorité de
certification (CA), telle que VeriSign® ou Entrust®. Sur la base de cette CSR, l'autorité de certification créera ensuite un certificat de
serveur signé. Le certificat de serveur est ensuite téléchargé sur un fichier avec le certificat de l'autorité de signature. Les certificats sont
ensuite importés dans le fichier cacerts.
Générer une nouvelle paire de clés et un certificat autosigné
1. Accédez au répertoire conf de Compliance Reporter, Security Server ou Device Server.
2. Sauvegardez la base de données de certificats par défaut :
Cliquez sur Démarrer > Exécuter, puis saisissez move cacerts cacerts.old.
3. Ajouter Keytool au chemin d'accès au système. Tapez la commande suivante dans une invite de commande :
set path=%path%;<Dell Java Install Dir>\bin
4. Pour générer un certificat, exécutez Keytool comme indiqué :
keytool -genkey -keyalg RSA -sigalg SHA1withRSA -alias Dell -keystore .\cacerts
5. Saisissez les informations suivantes, quand l'outil keytool vous invite à le faire.
REMARQUE :
Faites une copie de sauvegarde des fichiers de configuration avant de les modifier. Modifiez uniquement les
paramètres spécifiés. Vous risquez de corrompre ou d'endommager le système si vous modifiez les autres données
contenues dans ces fichiers, notamment les balises. Dell ne garantit pas que les problèmes résultant de
modifications non autorisées de ces fichiers puissent être résolus sans procéder à une réinstallation de Security
Management Server.
•
Mot de passe de magasin de clés : saisissez un mot de passe (les caractères non pris en charge <>;&” ’) et définissez la variable dans
le fichier de composant conf en lui affectant la même valeur, comme suit :
Certificats
87
<rép. d'installation de Compliance Reporter>\conf\eserver.properties. Définissez la valeur eserver.keystore.password =
<rép. d'installation de Device Server>\conf\application.properties. Définissez la valeur keystore.password =
•
•
•
•
•
•
•
•
<rép. d'installation de Security Server>\conf\application.properties. Définissez la valeur keystore.password =
Nom complet du serveur : saisissez le nom complet du serveur où est installé le composant que vous utilisez. Ce nom complet
comprend le nom d'hôte et le nom de domaine (par exemple, serveur.domaine.com).
Unité organisationnelle : entrez la valeur appropriée (exemple, Sécurité).
Organisation : entrez la valeur appropriée (exemple, Dell).
Ville ou localité : saisissez la valeur appropriée (par exemple, Dallas).
État ou province : entrez le nom non abrégé de l'État ou de la province (par exemple, Texas).
Code à deux lettres du pays.
L'utilitaire demande confirmation que l'information est correcte. Si c'est le cas, saisissez oui.
Sinon, tapez non. Le Keytool affiche toutes les valeurs saisies précédemment. Cliquez sur Entrée pour accepter la valeur ou modifiez
la valeur et cliquez sur Entrée.
Mot de passe de clé pour alias : si vous ne saisissez pas un autre mot de passe ici, ce mot de passe sera par défaut celui du magasin de
clés.
Demander un certificat signé par une autorité de
certification
Utilisez cette procédure pour générer une requête de signature de certificat pour le certificat auto-signé créé dans Générer une nouvelle
paire de clés et un certificat autosigné.
1. Substituez la même valeur utilisée précédemment pour <certificatealias>:
keytool -certreq -sigalg SHA1withRSA -alias <certificate-alias> -keystore .\cacerts -file
<csr-filename>
Par exemple, keytool -certreq -sigalg SHA1withRSA -alias sslkey -keystore .\cacerts -file Dell.csr
Le fichier .csr contient une paire BEGIN/END à utiliser lors de la création du certificat de l'autorité de certification.
Exemple de fichier CSR
2. Suivez votre processus organisationnel pour l'acquisition d'un certificat de serveur SSL auprès d'une autorité de certification. Envoyer
le contenu de <csr-filename> pour la signature.
REMARQUE :
Il existe plusieurs méthodes de demande d'un certificat valide. Un exemple de méthode est figure dansExemple de
méthode pour demander un certificat.
3. Lorsque le certificat signé est reçu, enregistrez-le dans un fichier.
4. La méthode recommandée consiste à sauvegarder ce certificat dans le cas où une erreur se produirait pendant le processus
d'importation. Cette sauvegarde peut vous éviter d'avoir à reprendre le processus depuis le début.
Importer un certificat racine
Si l'Autorité de certification du certificat racine est Verisign (mais pas Verisign Test), passez à la procédure suivante et importez le
certificat signé.
Le certificat racine de l'autorité de certification valide les certificats signés.
1. Effectuer l'une des opérations suivantes :
88
Certificats
• Téléchargez le certificat racine de l'autorité de certification et enregistrez-le dans un fichier.
• Obtenez le certificat racine du serveur de l'annuaire d'entreprise.
2. Effectuer l'une des opérations suivantes :
•
•
Si vous activez SSL pour Compliance Reporter, Security Server ou Device Server, accédez au répertoire composant conf.
Si vous activez SSL entre Security Management Server et le serveur d'annuaire d'entreprise, accédez à <rép. d'installation de
Dell>\Java Runtimes\jre1.x.x_xx\lib\security (le mot de passe par défaut de JRE cacerts est changeit).
3. Exécutez Keytool comme suit pour installer le certificat racine :
keytool -import -trustcacerts -alias <ca-cert-alias> -keystore .\cacerts -file <ca-certfilename>
Par exemple, keytool -import -alias Entrust -keystore .\cacerts -file .\Entrust.cer
Exemple de méthode de demande de certificat
Exemple de méthode pour demander un certificat : utiliser un navigateur web pour accéder au Serveur CA Microsoft, qui est mis en place
en interne par votre entreprise.
1. Naviguez jusqu'au serveur CA Microsoft. L'adresse IP est fournie par votre entreprise.
2. Sélectionnez Demander un certificat et cliquez sur Suivant.
Services de certificats Microsoft
3. Sélectionnez Demande avancée et cliquez sur Suivant.
Choisissez le type de requête
Certificats
89
4. Sélectionnez l'option pour Soumettre une demande de certificat avec un fichier PKCS #10 à encodage base64 et cliquez sur
Suivant.
Requête de certificat avancée
5. Collez le contenu de la demande CSR dans la zone de texte. Sélectionnez un modèle de certificat de serveur Web et cliquez sur
Envoyer.
Envoyer une requête enregistrée
90
Certificats
6. Enregistrez le certificat. Sélectionnez encodage DER et cliquez sur Télécharger le certificat de l'autorité de certification.
Télécharger le certificat CA
7. Enregistrez le certificat. Sélectionnez encodage DER et cliquez sur Télécharger le chemin de certification de l'autorité de
certification.
Télécharger le chemin d'accès à la certification CA
Certificats
91
8. Importer les certificats d'autorité de signature convertis. Revenez à l'invite de commandes. Type :
keytool -import -trustcacerts -file <csr-filename> -keystore cacerts
9. Une fois le certificat de l'autorité de signature importé, le certificat du serveur peut être importé (la chaîne de confiance peut être
établie). Type :
keytool -import -alias sslkey -file <csr-filename> -keystore cacerts
Utilisez l'alias du certificat auto-signé pour combiner la demande CSR avec le certificat du serveur.
10. Un listing du fichier cacerts montre que le certificat du serveur a une longueur de chaîne de certificats égale à 2, ce qui indique que
le certificat n'est pas auto-signé. Type :
keytool -list -v -keystore cacerts
L'empreinte de certificat du deuxième certificat de la chaîne est le certificat d'autorité de signature importé (qui est également
répertorié sous le certificat du serveur dans le listing).
Exporter un certificat vers .PFX à l'aide de
Certificate Management Console
Une fois que vous disposez d'un certificat sous la forme d'un fichier .crt dans la console MMC, il doit être converti en un fichier .pfx pour
l'utiliser avec Keytool quand Security Server est utilisé en mode DMZ et lors de l'importation d'un certificat Dell Manager vers l'outil de
configuration de serveur.
1. Ouvrez la console de gestion Microsoft (MMC).
2. Cliquez sur Fichier > Ajouter/Supprimer un snap-in (composant logiciel enfichable).
3. Cliquez sur Ajouter.
4. Dans la fenêtre Ajouter un composant logiciel enfichable autonome, sélectionnez Certificats et cliquez sur Ajouter.
5. Sélectionnez Compte d'ordinateur et cliquez sur Suivant.
6. Dans la fenêtre Sélectionner un ordinateur, sélectionnez Ordinateur local (l'ordinateur sur lequel s'exécute cette console), puis
cliquez sur Terminer.
7. Cliquez sur Fermer.
8. Cliquez sur OK.
9. Dans le dossier Racine de la console, développez Certificats (Ordinateur local).
10. Accédez au dossier Personnel et localisez le certificat voulu.
92
Certificats
11. Mettez en surbrillance le certificat voulu, puis, avec le bouton droit de la souris, cliquez sur Toutes les tâches > Exporter.
12. Lorsque l'assistant d'exportation de certificat démarre, cliquez sur Suivant.
13. Sélectionnez Oui, exporter la clé privée et cliquez sur Suivant.
14. Sélectionnez Échange d'informations personnelles - PKCS #12 (.PFX), puis sélectionnez les sous-options Inclure tous les
certificats dans le chemin de certification si possible et Exporter toutes les propriétés étendues. Cliquez sur Suivant.
15. Saisissez et confirmez le mot de passe. Il peut s'agir de n'importe quel mot de passe de votre choix. Choisissez un mot de passe facile
à retenir pour vous, mais difficile à deviner pour un tiers. Cliquez sur Suivant.
16. Cliquez sur Parcourir pour accéder à l'emplacement où vous souhaitez enregistrer le fichier.
17. Dans Nom de fichier, entrez un nom d'enregistrement du fichier. Cliquez sur Enregistrer.
18. Cliquez sur Suivant.
19. Cliquez sur Terminer.
Un message indiquant que l'exportation a réussi s'affiche. Fermez le MMC.
Ajouter un certificat de signature approuvé à
Security Server quand un certificat non approuvé
a été utilisé pour SSL
1. Arrêtez le service Security Server, s'il est exécuté.
2. Sauvegardez le fichier cacerts dans <Rép. d'installation de Security Server>\conf\.
Utilisez Keytool pour effectuer ce qui suit :
3. Exportez le PFX approuvé dans un fichier texte et documentez l'Alias :
keytool -list -v -keystore "
4. Importez le PFX dans le fichier cacerts dans <Rép. d'installation de Security Server>\conf\.
keytool -importkeystore -v -srckeystore "
5. Modifiez la valeur keystore.alias.signing dans <Rép. d'installation de Security Server>\conf\application.properties.
keystore.alias.signing=AliasNamePreviouslyDocumented
Démarrez le service Security Server.
Certificats
93

Manuels associés