Sécurisation de la console Tanium, de l’API et de l’accès au serveur de module

Tanium en tant que service (TaaS) utilise le protocole TLS (Transport Layer Security) pour sécuriser les connexions entre les composants de Tanium Core Platform. Toutefois, vous ne pouvez pas modifier les certificats numériques et les clés que TaaS utilise pour la communication TLS.

Vue d’ensemble

Les opérations de l’utilisateur et du module de Tanium nécessitent des connexions aux services des serveurs de tanium, du serveur de module et du module Tanium. La Tanium Core Platform utilise des certificats SSL/TLS et des clés pour sécuriser les connexions au serveur Tanium et au serveur de module (illustré dans F : Figure 3). Par exemple, lorsque vous utilisez le correctif Tanium™ pour déployer des correctifs sur les terminaux, la plate-forme de base Tanium établit des connexions dans l’ordre suivant :

  1. Système utilisateur (navigateur ou CLI) au serveur Tanium (console Tanium ou API)
  2. Serveur Tanium vers serveur module Tanium
  3. Serveur du module vers service correctif
  4. Service de raccordement au serveur Tanium

Les installateurs du serveur Tanium et du serveur de module génèrent des certificats auto-signés. Vous pouvez les remplacer par des certificats émis par une autorité de certification commerciale (CA) ou par votre CA d’entreprise. Pour faciliter le dépannage, utilisez les certificats auto-signés lors de l’installation initiale et remplacez-les par des certificats émis par l’autorité de certification plus tard. Cette pratique vous permet de séparer les problèmes d’installation potentiels des problèmes de connexion TLS. L’utilisation d’un certificat émis par l’autorité de certification est fortement recommandée pour l’accès à la Tanium Console et à l’API, mais est facultative pour la communication entre le serveur Tanium et le serveur de module.

L’accès à Tanium Console et à l’API nécessite l’authentification des utilisateurs via des informations d’identification de connexion, mais pas pour sécuriser la connexion TLS.

Pour plus d’informations sur le protocole Tanium™ qui sécurise la communication entre les serveurs Tanium, le Zone Server, le hub Zone Server et Tanium Clients, reportez-vous à la section Sécurisation du serveur Tanium, du zone Server et de l’accès au client Tanium. Pour gérer les clés que le protocole Tanium utilise, reportez-vous au Guide d’utilisation de Tanium Console : gestion des clés Tanium.

Pour installer le serveur de tanium ou le serveur de module, reportez-vous au Guide de déploiement des appliances Tanium ou au Guide de déploiement de Tanium Core Platform pour Windows.

TaniumConsole/API

Les utilisateurs accèdent à la console Tanium ou à l’API sur le serveur Tanium pour effectuer des opérations Tanium, telles que l’émission de questions ou le déploiement d’actions. La console et l’API communiquent sur Hypertext Transfer Protocol Secure (HTTPS), qui utilise des certificats SSL/TLS et des clés pour sécuriser les connexions client-serveur. Lorsqu’un utilisateur accède à la console Tanium ou à l’API, le système utilisateur correspond au client et le serveur Tanium correspond au serveur. Pour sécuriser la connexion, le serveur Tanium présente son certificat SOAPServer.crt pour prouver son identité au client et utilise ses clés privées SOAPServer.key pour compléter le manuel TLS handshake. Pour l’accès à la console ou à l’API, les clients n’ont pas à prouver leur identité pour sécuriser la connexion. F : Figure 3 illustre ces processus.

Lorsque vous installez le serveur Tanium sur une appliance Taniumm, il génère un certificat. auto-signé SOAPServer.crt. Lorsque vous installez le serveur Tanium sur un serveur Windows, vous pouvez choisir entre un certificat auto-signé ou (si disponible) un certificat émis par l’autorité de certification. Si vous utilisez un certificat auto-signé, les utilisateurs voient une erreur de validation de certificat lorsqu’ils accèdent à la console Tanium ou à l’API. L’erreur se produit car les certificats CA du système utilisateur ne peuvent pas valider le certificat auto-signé. La figure suivante montre un exemple d’erreur lorsque les utilisateurs tentent de se connecter à partir d’un navigateur à la console Tanium.

F : Figure 1 :  Erreur de validation du certificat

Même si les navigateurs permettent d’accéder à la console Tanium malgré l’erreur, éviter cette option est une meilleure pratique de sécurité. Par conséquent, Tanium recommande vivement de remplacer le certificat auto-signé SOAPServer.crt par un certificat émis par l’autorité de certification. Si le serveur Tanium utilise actuellement un certificat auto-signé, vous pouvez le remplacer à tout moment.

Communication du serveur du module

Lorsque les utilisateurs utilisent la console Tanium ou API pour travailler avec des modules Tanium, le serveur Tanium communique avec le serveur de module Tanium, le serveur module accède aux services du module Tanium qu’il héberge (comme le patch) et les services du module communiquent avec le serveur Tanium (voir F : Figure 3).

Le serveur Tanium et le serveur de module communiquent sur HTTPS, et les deux serveurs doivent prouver leur identité via des certificats. Le serveur Tanium présente SOAPServer.crt pour prouver son identité, tandis que le serveur du module présente ssl.crt. Les serveurs utilisent les touches privées associées (SOAPServer.key et ssl.key) pour terminer la poignée de main TLS qui sécurise la connexion. Pour vérifier l’identité du serveur Tanium, le serveur de module vérifie que le fichier trusted.crt contient le SOAPServer.crt que le serveur Tanium a présenté. Dans un déploiement actif/actif, trusted.crt doit contenir SOAPServer.crt des deux serveurs Tanium. Les serveurs Tanium vérifient également l’identité du serveur de module en contrôlant que leur trusted‑module‑servers.crt (modules de confiance) contient le ssl.crt que le serveur du module a présenté. Le processus d’enregistrement du serveur de module génère trusted.crt sur le serveur du module et trusted‑module‑servers.crt sur le serveur Tanium. Le processus d’installation du serveur de module génère ssl.crt.

Le serveur de module ouvre un seul auditeur HTTPS pour acheminer les requêtes du serveur Tanium vers les services du module Tanium, qui écoutent uniquement sur localhost. La terminaison TLS se produit sur le serveur de module, qui transmet les requêtes localement par rapport aux connexions non TLS de l’auditeur HTTPS au service du module approprié.

Les services du module se connectent au serveur Tanium sur TLS et vérifient que le certificat présenté par le serveur Tanium pendant la poignée de main TLS est inclus dans le fichier trusted.crt sur le serveur de module. Étant donné que les services du module utilisent la même API que les utilisateurs de la console Tanium, la validation du certificat client n’est pas appliquée.

Vous pouvez éventuellement utiliser des certificats émis par l’autorité de certification pour remplacer le serveur généré par le serveur, auto-signé SOAPServer.crt et ssl.crt mais pas les fichiers trusted.crt et trusted‑module‑servers.crt. Si vous remplacez SOAPServer.crt ou ssl.crt, vous devez réenregistrer le serveur de module avec le serveur Tanium pour régénérer les fichiers trusted.crt et trusted‑module‑servers.crt.

Le tableau suivant récapitule les certificats et les clés que Tanium Core Platform utilise pour les connexions au serveur de module :

T :  Tableau 2 : Certificats et clés pour les connexions du serveur du module
Emplacement Nom de fichier Objectif
Serveur du module ssl.crt
ssl.key
Certificat HTTPS et clé privée que le serveur de module présente pour sécuriser les connexions entrantes du serveur Tanium ou des connexions sortantes aux services Tanium.
trusted.crt Contient le fichier SOAPServer.crt des serveurs Tanium avec lesquels le serveur du module a été enregistré. Le serveur du module utilise trusted.crt pour valider les certificats du serveur Tanium.
Serveur Tanium SOAPServer.crt
SOAPServer.key
Certificat HTTPS et clé privée que le serveur Tanium présente pour sécuriser les connexions sortantes au serveur du module ou aux connexions entrantes à partir des systèmes des utilisateurs Tanium Console ou des utilisateurs Tanium API.
trusted-module-servers.crt
Tanium Core Platform 7.2 et versions ultérieures
Contient le fichier ssl.crt du serveur de module qui a été enregistré avec le serveur Tanium. Le serveur Tanium utilise le moduletrusted‑‑servers.crt pour valider le certificat du serveur de module.

Processus de connexion SSL/TLS et tâches de configuration

La figure suivante illustre les composants, les processus et les tâches de configuration impliquées dans la sécurisation des connexions au serveur Tanium (console Tanium) ou API) et au serveur de module.

F : Figure 3 :  Connexions SSL/TLS

Les processus suivants correspondent aux nombres dans F : Figure 3.

1  Console Tanium/API

Lorsqu’un système utilisateur se connecte à la console Tanium ou à l’API, le serveur Tanium présente le fichier SOAPServer.crt pour prouver son identité au système utilisateur. Dans F : Figure 3, le serveur utilise une version émise par le CA de SOAPServer.crt (Numéro 2) au lieu d’une version auto-signée. Par conséquent, le système utilisateur utilise un certificat CA pour valider SOAPServer.crt.

2 Remplacez les certificats auto-signés par des certificats émis par l’autorité de certification (CA).

Générer une demande de signature de certificat (CSR) et une clé privée associée SOAPServer.key pour le serveur Tanium. Vous soumettez le CSR à votre CA, qui utilise un certificat AC et une clé privée associée pour signer numériquement le certificat demandé (SOAPServer.crt). Le certificat de signature CA doit également être présent sur les systèmes à partir desquels les utilisateurs accèdent à la Tanium Console ou à l’API (Numéro 1). Le serveur Tanium peut alors utiliser le certificat émis par l’autorité de certification et non un certificat auto-signé. Éventuellement, vous pouvez également demander un certificat délivré par l’autorité de certification pour remplacer le certificat du serveur de module (ssl.crt). Pour plus de détails, reportez-vous à la section Certificats émis par la CA.

3 Enregistrement du serveur de module

En cas d’installation récente du serveur de module, vous devez activer manuellement la confiance entre elle et le serveur Tanium avant l’enregistrement. Le serveur de module s’enregistre alors auprès du serveur Tanium et les serveurs génèrent les fichiers trusted‑module‑servers.crt et trusted.crt. Pour la communication ultérieure entre les serveurs, y compris pendant les mises à niveau de la version, il est inutile d’activer manuellement la confiance car les serveurs vérifient automatiquement trusted‑module‑servers.crt et trusted.crt pendant leur vérification d’identité mutuelle (Numéro 4).

Les procédures d’installation dans les guides de déploiement suivants comprennent des étapes permettant d’activer manuellement la confiance des certificats de serveur en vérifiant ou en entrant le certificat fingerprints (hachages de hachage des clés publiques du certificat) : Guide de déploiement des appliances Tanium : installation du serveur du module Tanium et Guide de déploiement de Tanium Core Platform pour Windows : installation du serveur de module Tanium.

4 Vérification de l’identité mutuelle

Pour établir une connexion TLS sécurisée, le serveur Tanium et le serveur de module prouvent leur identité les uns aux autres. Pendant la poignée de main TLS, le serveur Tanium présente le certificat SOAPServer.crt au serveur de module, qui vérifie que trusted.crt contient SOAPServer.crt. Pendant la poignée de main, le serveur de module présente son certificat ssl.crt au serveur Tanium qui vérifie que son fichier trusted‑module‑servers.crt contient ssl.crt.

5 Serveur du module vers les services du module Tanium

Le serveur de module ouvre un seul auditeur HTTPS pour acheminer les requêtes du serveur Tanium vers les services du module Tanium, qui écoutent uniquement sur localhost. Le serveur de module transfère les requêtes localement sur les connexions non TLS de l’auditeur HTTPS au service du module approprié.

6 Services de module vers Tanium Server

Les services du module se connectent au serveur Tanium sur TLS et vérifient que le certificat présenté par le serveur Tanium pendant la poignée de main TLS est inclus dans le fichier trusted.crt sur le serveur de module. Étant donné que les services du module utilisent la même API que les utilisateurs de la console Tanium, la validation du certificat client n’est pas appliquée pour cette connexion (contrairement à la connexion décrite dans Numéro 4).

Certificats émis par la CA

Si votre organisation préfère utiliser des certificats émis par la CA pour sécuriser les connexions entre les systèmes, vous pouvez remplacer les certificats auto-signés que le serveur Tanium (SOAPServer.crt) et le serveur de module (ssl.crt) ont générés pendant l’installation. Dans un déploiement actif/actif, vous pouvez utiliser le certificat SOAPServer.crt émis par la CA (et la clé privée associée) pour les deux serveurs Tanium tant que l’autre nom de l’objet dans le certificat spécifie les deux noms de serveur. Vous pouvez également utiliser un certificat émis par CA distinct pour chaque serveur Tanium.

L’obtention d’un certificat émis par l’autorité de certification implique la soumission d’un CSR à la CA et la génération de la clé privée associée. Dans un déploiement Windows, utilisez le programme Tanium™ KeyUtility pour générer le CSR et la clé localement [voir Windows : Remplacer les certificats (Fenêtres > Remplacer les certificats]. Dans un déploiement d’appliance Tanium, vous devez utiliser un outil tiers tel que OpEnsSL [reportez-vous à la section Exemple : Créer une RSC et une clé privée avec OpEnsSL] pour générer le CSR et la clé sur un système non-appliance, puis les copier sur l’appliance (reportez-vous à la section Appliance Tanium : remplacer les certificats).

Le CA utilise un certificat CA et sa clé privée associée pour signer numériquement le certificat que vous avez demandé. Si un certificat délivré par la CA remplace SOAPServer.crt sur le serveur Tanium, le certificat de signature CA doit également être présent sur les systèmes à partir desquels les utilisateurs accèdent à la console Tanium ou à l’API. Pour les utilisateurs de la console, le certificat de signature CA doit figurer dans les certificats approuvés de leurs navigateurs. Pour les utilisateurs API, le certificat de signature CA doit être à l’emplacement spécifié dans les appels API, comme indiqué dans l’option ‑‑cacert <file path> dans l’exemple suivant :

$ curl -s --cacert <file path> -X POST --binaire @<sign in>.json https ://localhost/api/v2/session/login

Lorsque vous créez le CSR, spécifiez les options et les attributs X.509 qui garantissent que la CA renvoie un certificat répondant aux exigences suivantes.

Exigences de certificat

Travaillez avec votre CA pour obtenir un certificat de serveur avec les spécifications suivantes pour le serveur Tanium ou module :

  • Certificat X.509 avec utilisation de clé étendue pour l’authentification du serveur Web TLS et l’authentification du client

    Utilisation clé du certificat CA

  • Certificat séparé et fichiers de clé privés. Vous devez supprimer le mot de passe du fichier clé.
  • Format PEM (encodé Base64)
  • Certificat signé avec un algorithme hash SHA-256
  • Chiffrement des clés RSA 2048 bits
  • Nom commun (CN) qui spécifie le nom de domaine complet (FQDN) ou l’adresse IP du serveur.

    Nom commun du certificat CA

  • Autre nom de l’objet spécifiant les adresses IP ou FQDN des deux serveurs Tanium dans un déploiement actif/actif où les deux serveurs utilisent le même certificat. Cela n’est pas nécessaire si chaque serveur utilise son propre certificat.

    Autre nom de l’objet du certificat CA

Exemple : Créer une RSC et une clé privée avec OpEnsSL

Cet exemple montre comment utiliser OpenSSL pour créer une CSR. Vous pouvez utiliser des formulaires Web fournis par le fournisseur ou tout outil que vous préférez, du moment que vous obtenez un certificat avec les attributs requis et une clé privée. Cet exemple OpenSSL utilise un fichier de configuration pour transmettre les attributs X.509 à la commande openssl. Vous pouvez spécifier des options de ligne de commande au lieu d’utiliser un fichier de configuration.

Si vous déployez le serveur Tanium et le serveur de module sur l’infrastructure Windows, la meilleure pratique de sécurité consiste à utiliser le programme local KeyUtility.exe à ces serveurs au lieu d’utiliser un outil tiers pour générer la RSE et la clé privée. En générant la clé localement, vous devez éviter de la copier entre les systèmes.

  1. Créez un fichier de configuration avec le contenu suivant. Modifiez les valeurs en gras pour celles qui sont appropriées pour vos serveurs.

    [req]

    distinguished_name = req_distinguished_name

    req_extensions = v3_req

    [req_distinguished_name]

    countryName = US

    countryName_default = US

    stateOrProvinceName = CA

    stateOrProvinceName_default = CA

    localityName = Emeryville

    localityName_default = Emeryville

    organizationName = IT

    organizationalUnitName = IT

    organizationalUnitName_default = IT

    commonName = server.domain.com

    commonName_max = 64

    [ v3_req ]

    # Extensions to add to a certificate request

    basicConstraints = CA:FALSE

    keyUsage = digitalSignature, keyEncipherment

    extendedKeyUsage = serverAuth,clientAuth

    subjectAltName = @alt_names

    [alt_names]

    DNS.1 = server1.domain.com

    DNS.2 = server2.domain.com

  2. Créez un fichier de clé privée pour signer numériquement le CSR :

    openssl genrsa -out tanium.key 2048

  3. Générez le fichier CSR. L’exemple suivant spécifie le fichier de configuration et la clé privée créés dans les étapes précédentes :

    openssl req -sha256 -new -out SOAPServer.csr -key tanium.key -config tanium-openssl.cfg

  4. Ouvrez le fichier généré pour confirmer que la CSR a été créée. L’exemple suivant montre une CSR au format PEM.
  5. -----BEGIN CERTIFICATE REQUEST-----
    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
    -----END CERTIFICATE REQUEST-----

  6. Enregistrez la clé privée dans un endroit sécurisé et envoyez la CSR à la CA. Le processus de soumission varie selon la CA. Dans certains cas, vous soumettez un fichier ; dans d’autres cas, vous collez le contenu du fichier dans un formulaire en ligne. Dans tous les cas, assurez-vous de communiquer les exigences du certificat à votre CA.

    Utilisez un protocole sécurisé tel que Secure Copy Protocol (SCP) ou Secure File Transfer Protocol (SFTP) lorsque vous devez copier la clé privée entre les systèmes ; n’utilisez pas le serveur de message serveur (SMB) ou le protocole FTP (File Transfer Protocol). Pour la sécurité, après avoir copié la clé dans le dossier d’installation du serveur de la plate-forme de Tanium Core Platform, supprimez toute autre instance.

Appliance Tanium : remplacer les certificats

Procédez comme suit pour remplacer le fichier courant SOAPServer.crt et SOAPServer.key sur le serveur Tanium avec un nouveau certificat émis par CA et une clé privée associée. Dans un déploiement actif/actif, vous pouvez utiliser le même certificat et la même clé pour les deux serveurs Tanium tant que l’autre nom de l’objet dans le certificat spécifie les deux noms de serveur.

Si vous devez remplacer le certificat et la clé ssl.crt et ssl.key actuels sur le serveur du module avec un nouveau certificat émis par la CA et une clé privée associée, contactez l’assistance Tanium à l’adresse [email protected].

Obtenir le nouveau certificat et la clé

  1. Utilisez un outil tel que OpEnsSL pour générer un CSR et une nouvelle clé privée. Lors de la création du CSR, spécifiez les options de certificat et les attributs X.509 décrits dans Exigences de certificat (Exigences du certificat). Pour un exemple de procédure, reportez-vous à la section Exemple : Créer une RSC et une clé privée avec OpEnsSL.
  2. Enregistrez la clé privée à un emplacement sécurisé sur un système à partir duquel vous pouvez vous connecter aux serveurs Tanium via un client SFTP.

    Lorsque vous transférez la clé privée entre les systèmes, utilisez un protocole sécurisé tel que SCP ou SFTP ; n’utilisez pas SMB ou FTP.

  3. Envoyez le CSR à la CA. Le processus de soumission varie selon la CA. Dans certains cas, vous soumettez un fichier ; dans d’autres cas, vous collez le contenu du fichier dans un formulaire en ligne. Dans tous les cas, assurez-vous de communiquer les exigences du certificat à votre CA.
  4. Lorsque la CA renvoie le nouveau certificat, enregistrez-le au même emplacement que la clé privée afin que vous puissiez copier les deux fichiers vers les serveurs Tanium.

Téléchargez le nouveau certificat et la clé

Téléchargez le nouveau certificat émis par la CA et la clé privée associée au serveur Tanium. Dans un déploiement actif/actif, effectuez ces étapes sur chaque serveur Tanium.

  1. Dans l’emplacement où vous avez enregistré le nouveau certificat et la nouvelle clé, modifiez leurs noms de fichiers aux noms utilisés dans l’installation du serveur Tanium : SOAPServer.crt et SOAPServer.key.
  2. Configurez un Client SFTP pour se connecter au serveur Tanium.
  3. Utilisez SFTP pour copier le certificat et les fichiers de clé dans le répertoire /incoming sur le serveur Tanium.

    Après avoir copié la clé sur le serveur Tanium, supprimez toute autre instance de la clé de sécurité.

Installez le nouveau certificat et la clé

Installez le nouveau certificat émis par l’autorité de certification et la clé privée associée sur le serveur Tanium. Dans un déploiement actif/actif, effectuez ces étapes sur chaque serveur Tanium. Étant donné que les étapes incluent l’arrêt et le redémarrage des serveurs, effectuez cette tâche pendant une fenêtre de maintenance.

  1. Connectez-vous à la console TanOS en tant qu’utilisateur tanadmin.
  2. Entrez 2 pour accéder au menu Tanium Operations (Opérations Tanium).
  3. Saisissez 4 pour sélectionner Install Custom SOAP Cert. (Installer le certificat SOAP personnalisé)
  4. Saisissez OUI à l’invite d’installation du certificat et des fichiers clés que vous avez téléchargés.

    L’appliance vérifie que les fichiers sont valides et que la clé correspond au certificat.

  5. Saisissez Y à l’invite pour créer une sauvegarde des fichiers dans le répertoire /outgoing de l’utilisateur tancopy.

    L’appliance Tanium arrête le service Tanium Server, installe le nouveau certificat et la clé et redémarre le service.

  6. Appuyez sur Enter (Entrée) pour continuer.

Ré-inscrivez le serveur du module auprès de chaque serveur Tanium.

Après avoir remplacé le certificat et la clé privée sur le serveur Tanium, réenregistrez le serveur de module. Dans un déploiement actif/actif, vous devez vous réinscrire avec chaque serveur Tanium. Étant donné que les étapes incluent l’arrêt et le redémarrage des services, effectuez cette tâche pendant une fenêtre de maintenance.

  1. Répétez les étapes de configuration du serveur de module distant pour mettre à jour les certificats utilisés pour valider SOAPServer.crt et ssl.crt sur chaque serveur trusted.crt sur l’appliance du serveur du module et trusted-module-servers.crt sur l’appliance du serveur Tanium). Reportez-vous au Guide de déploiement des appliances Tanium : configurer le serveur Tanium pour utiliser le serveur de module distant.
  2. Redémarrez tous les services Tanium sur l’appliance du serveur du module. Reportez-vous au Guide de déploiement des appliances Tanium : démarrer, arrêter et redémarrer les services Tanium.

Windows : Remplacer les certificats

Procédez comme suit pour remplacer les certificats actuels et les clés privées utilisées pour les connexions à la console Tanium, à l’API et au serveur de module avec de nouveaux certificats émis par l’autorité de certification et des clés privées associées. Dans un déploiement actif/actif, vous pouvez utiliser le même certificat et la même clé pour les deux serveurs Tanium tant que l’autre nom de l’objet dans le certificat spécifie les deux noms de serveur.

Obtenir le nouveau certificat et la clé

Utilisez le programme KeyUtility.exe au lieu d’un outil tiers pour générer la RSC et la clé privée sur le serveur (serveur Tanium ou serveur de module) qui en a besoin.

Pour une meilleure sécurité, générez la clé localement sur le serveur pour éviter de la copier entre les systèmes.

  1. Connectez-vous au serveur qui nécessite un nouveau certificat et accédez à la CLI en tant qu’administrateur (reportez-vous à la section Windows).
  2. Accédez au dossier d’installation du serveur.

    $ cd <Tanium/Module Server>

  3. Utilisez le programme KeyUtility.exe pour générer un CSR et une clé privée.

    L’argument --hostname spécifie le serveur FQDN ou l’adresse IP. Dans un déploiement actif/actif où les deux serveurs Tanium utilisent le même certificat et la même clé, spécifiez les deux serveurs Tanium avec un séparateur de virgule (ts1.example.com,ts2.example.com par exemple). Vous pouvez également générer un CSR et une clé uniques pour chaque serveur Tanium.

    L’argument --out spécifie le dossier de sortie et les noms de fichiers du CSR et de la clé. La commande ajoute automatiquement le suffixe (.csr ou .key) au nom du fichier. Utilisez le nom de fichier SOAPServer sur le serveur Tanium ou ssl sur le serveur du module afin que vous n’ayez pas à renommer les fichiers ultérieurement. Pour éviter d’écraser la clé actuelle, assurez-vous de spécifier un dossier de sortie qui n’est pas le dossier d’installation du serveur.

    $ KeyUtility selfsign --export-csr --hostname <server FQDN/IP address> --out <output folder path><file name>

    La commande crée trois fichiers dans le dossier de sortie spécifié : <filename>.csr, <filename>.key, et <filename>.crt. La commande utilise automatiquement la touche pour signer <filename>.csr. Le fichier <filename>.crt est un certificat auto-signé que vous utilisez uniquement si vous n’avez pas besoin d’un certificat émis par l’autorité de certification.

  4. Envoyez le CSR à la CA. Le processus de soumission varie selon la CA. Dans certains cas, vous soumettez un fichier ; dans d’autres cas, vous collez le contenu du fichier dans un formulaire en ligne. Dans tous les cas, assurez-vous de communiquer les exigences du certificat à votre CA.
  5. Lorsque la CA renvoie le nouveau fichier de certificat, enregistrez-le à un emplacement temporaire où vous pouvez copier ultérieurement le fichier vers le dossier d’installation du serveur Tanium ou du serveur de module.

Mettez à jour le certificat du serveur Tanium et les fichiers de clé

Comme vous devez redémarrer les serveurs pendant cette tâche, effectuez-la pendant une fenêtre de maintenance.

Mettre à jour le certificat du serveur Tanium et les fichiers de clé dans un déploiement autonome (non-HA)

  1. Sur le serveur Tanium, sauvegardez le certificat SOAPServer.crt et la clé privée SOAPServer.key existants au cas où vous souhaiteriez annuler vos modifications ultérieurement.
  2. Arrêtez le service Tanium Server (Serveur Tanium) : ouvrez l’application Windows Services (Services Windows), faites un clic droit sur Tanium Server (Serveur Tanium), puis sélectionnez Stop (Arrêter).
  3. Copiez le nouveau certificat et les fichiers de clé dans le dossier d’installation du serveur pour remplacer les fichiers existants.

    Par sécurité, supprimez toute instance de la clé qui n’est pas dans le dossier d’installation après avoir copié la clé.

  4. Démarrez le service Tanium Server (Serveur Tanium) : ouvrez l’application Windows Services (Services Windows), faites un clic droit sur Tanium Server (Serveur Tanium), puis sélectionnez Start (Démarrer).

    Si vous prévoyez de mettre à jour les certificats et les clés du serveur du module, passez directement à l’étape Mettre à jour les certificats du serveur du module et les fichiers de clé. Sinon, effectuez les étapes suivantes.

  5. Connectez-vous au serveur du module et réinscrivez-le avec le serveur Tanium pour régénérer les fichiers trusted.crt et trusted‑module‑servers.crt. Vous pouvez effectuer la réinscription en exécutant de nouveau le programme d’installation du serveur du module (reportez-vous au Guide de déploiement de Tanium Core Platform pour Windows : Installation du serveur de module Tanium) ou en utilisant l’interface de ligne de commande (CLI) du serveur du module comme suit. La spécification du port n’est nécessaire que si Tanium Console n’utilise pas le port standard (443). Spécifiez le nom d’utilisateur et le mot de passe pour l’administrateur de Tanium Console.

    cmd-prompt>TaniumModuleServer register <Tanium Server FQDN>:<port>

    Saisssez le nom d’utilisateur de l’administrateur :<user name>

    Saisissez le mot de passe de l’utilisateur ’<user name>’ : <password>

    Inscription terminée avec succès.

  6. Sur le serveur du module, redémarrez les services pour le serveur de module Tanium et toutes les solutions Tanium : ouvrez l’application Windows Services (Services Windows) et, pour chaque service, faites un clic droit sur le nom du service et sélectionnez Restart (Redémarrer).

Mettre à jour le certificat du serveur Tanium et les fichiers de clé dans un déploiement actif/actif

Effectuez ces étapes sur un seul serveur Tanium à la fois. Les étapes de cet exemple commencent sur le serveur Tanium principal.

  1. Sur le serveur Tanium principal, sauvegardez le certificat SOAPServer.crt et la clé privée SOAPServer.key existants au cas où vous souhaiteriez annuler vos modifications ultérieurement.
  2. Arrêtez le service Serveur Tanium : ouvrez l’application Windows Services (Services Windows), faites un clic droit sur Tanium Server (Serveur Tanium), puis sélectionnez Stop (Arrêter).
  3. Copiez le nouveau certificat et les fichiers de clé dans le dossier d’installation du serveur pour remplacer les fichiers existants.

    Par sécurité, supprimez toute instance de la clé qui n’est pas dans le dossier d’installation après avoir copié la clé.

  4. Démarrez le service Serveur Tanium : ouvrez l’application Windows Services (Services Windows), faites un clic droit sur Tanium Server (Serveur Tanium), puis sélectionnez Start (Démarrer).
  5. Sur le serveur Tanium secondaire, arrêtez le service du serveur Tanium.
  6. Remplacez le certificat et la clé existants dans le dossier d’installation du serveur Tanium secondaire :

    • Si chaque serveur Tanium nécessite un certificat et une clé uniques, copiez les fichiers à partir du dossier temporaire où vous les avez stockés.

    • Si les deux serveurs Tanium utilisent le même certificat et la même clé, copiez les fichiers à partir du serveur Tanium principal.

    Utilisez un protocole sécurisé tel que SCP ou SFTP pour copier la clé entre les systèmes ; n’utilisez pas SMB ou FTP.

  7. Sur le serveur Tanium secondaire, démarrez le service du serveur Tanium.

    Si vous prévoyez de mettre à jour les certificats et les clés du serveur du module, passez directement à l’étape Mettre à jour les certificats du serveur du module et les fichiers de clé. Sinon, effectuez les étapes suivantes.

  8. Connectez-vous au serveur du module et réinscrivez-le avec chaque serveur Tanium pour régénérer les fichiers trusted.crt et trusted‑module‑servers.crt. Vous pouvez effectuer la réinscription en exécutant de nouveau le programme d’installation du serveur du module (reportez-vous au Guide de déploiement de Tanium Core Platform pour Windows : Installation du serveur de module Tanium), mais uniquement pour le serveur Tanium principal. Vous pouvez utiliser la CLI du serveur du module comme suit pour vous réinscrire avec l’un des serveurs Tanium. La spécification du port n’est nécessaire que si Tanium Console n’utilise pas le port standard (443). Spécifiez le nom d’utilisateur et le mot de passe pour l’administrateur de Tanium Console.

    cmd-prompt>TaniumModuleServer register <Tanium Server FQDN>:<port>

    Saisssez le nom d’utilisateur de l’administrateur :<user name>

    Saisissez le mot de passe de l’utilisateur ’<user name>’ : <password>

    Inscription terminée avec succès.

  9. Sur le serveur du module, redémarrez les services pour le serveur de module Tanium et toutes les solutions Tanium : ouvrez l’application Windows Services (Services Windows) et, pour chaque service, faites un clic droit sur le nom du service et sélectionnez Restart (Redémarrer).

Mettre à jour les certificats du serveur du module et les fichiers de clé

Étant donné que cette tâche implique l’arrêt et le redémarrage du serveur du module, effectuez les étapes pendant une fenêtre de maintenance.

  1. Sur le serveur de module, sauvegardez le certificat ssl.crt existant et la clé privée ssl.key au cas où vous souhaiteriez ultérieurement rétablir vos modifications.
  2. Arrêtez les services pour le serveur de module Tanium et toutes les solutions Tanium (modules et services partagés) : ouvrez l’application Windows Services (Services Windows) et, pour chaque service, faites un clic droit sur le nom du service et sélectionnez Stop (Arrêter).
  3. Copiez le nouveau certificat et les fichiers clés au dossier d’installation du module de module pour remplacer les fichiers existants.

    Par sécurité, supprimez toute instance de la clé qui n’est pas dans le dossier d’installation après avoir copié la clé.

  4. Réinscrivez le serveur de module avec chaque serveur Tanium pour régénérer les fichiers trusted.crt et trusted‑module‑servers.crt. Vous pouvez effectuer la réinscription en réexécutant le programme d’installation du serveur du module, mais uniquement pour le serveur Tanium principal dans un déploiement actif/actif ou pour un serveur Tanium autonome. Vous pouvez utiliser la CLI du serveur du module comme suit pour vous réinscrire avec n’importe quel serveur Tanium dans un déploiement actif/actif ou autonome. La spécification du port n’est nécessaire que si Tanium Console n’utilise pas le port standard (443). Spécifiez le nom d’utilisateur et le mot de passe pour l’administrateur de Tanium Console.

    cmd-prompt>TaniumModuleServer register <Tanium Server FQDN>:<port>

    Saisssez le nom d’utilisateur de l’administrateur :<user name>

    Saisissez le mot de passe de l’utilisateur ’<user name>’ : <password>

    Inscription terminée avec succès.

  5. Démarrez les services pour le serveur de module Tanium et toutes les solutions Tanium : ouvrez l’application Windows Services (Services Windows) et, pour chaque service, faites un clic droit sur le nom du service et sélectionnez Start (Démarrer).