Utiliser le serveur Active Update de SMC
Une fois les bases de données téléchargées sur le serveur SMC, vous devez configurer les firewalls SNS pour qu'ils utilisent ce dernier en tant que serveur Active Update. Cette configuration peut se faire manuellement si vous avez peu de firewalls SNS, ou automatiquement via un script.
Les fichiers server.crt et server.key dans le répertoire /etc/certs/activeupdate sont utilisés pour la négociation TLS. Ils sont générés au premier lancement de SMC et le certificat est auto-signé. Si vous préférez les remplacer par des fichiers de votre choix, redémarrez ensuite le serveur SMC.
Configurer les firewalls SNS manuellement
- Dans l'interface web du serveur SMC, sélectionnez le menu Configuration > Serveur Active Update.
- Dans la colonne URL de contact, cliquez sur l'URL pour la copier.
- Sur chaque firewall SNS, déclarez le serveur SMC en tant que serveur de mise à jour Active Update en indiquant son URL précédemment copiée. Pour plus de renseignements sur l'Active Update, consultez le Manuel d'utilisation et de configuration Stormshield Network.
- Créez l'objet statique utilisé dans l'URL copiée à l'étape 2 et affectez-lui l'adresse IP utilisée pour contacter le serveur SMC.
Configurer les firewalls SNS automatiquement
-
Importez d'abord le certificat Active Update de SMC sur chaque firewall SNS :
- Dans l'interface web du serveur SMC, sélectionnez le menu Configuration > Serveur Active Update.
- Dans la zone Informations, cliquez sur Certificat du serveur pour télécharger le certificat.
-
Créez le script de configuration Active Update avec les commandes décrites dans l'exemple suivant en remplaçant si besoin server.crt par le nom de fichier de votre certificat :
PKI IMPORT format=pem type=ca $FROM_DATA_FILE("server.crt")
- Suivez les étapes habituelles d'exécution d'un script comme indiqué dans la section Exécuter le script CLI SNS depuis l'interface web en sélectionnant le fichier du certificat dans le menu Pièces jointes liées au script.
- Créez des objets sur les firewalls SNS, permettant de vérifier le certificat de SMC :
- Créez le script de création d'objets avec les commandes décrites dans l'exemple suivant.
CONFIG OBJECT HOST NEW name=activeupdate0.smc.local ip=<[private or public SMC server IP address]> resolve=static update=1
CONFIG OBJECT HOST NEW name=activeupdate1.smc.local ip=<[private or public SMC server IP address]> resolve=static update=1
CONFIG OBJECT ACTIVATELa valeur du paramètre name est composé d'un nom d'objet de votre choix suivi du nom de domaine. L'adresse IP privée est celle qui est visible dans la colonne Adresse IP du panneau Configuration > Serveur Active Update de SMC.
- Suivez les étapes habituelles d'exécution d'un script comme indiqué dans la section Exécuter le script CLI SNS depuis l'interface web
- Créez le script de création d'objets avec les commandes décrites dans l'exemple suivant.
- Créez le script de configuration Active Update avec les commandes décrites dans l'exemple suivant.
CONFIG AUTOUPDATE SERVER
url=https://activeupdate0.smc.local:8081/activeupdate
CA="CN=*.smc.local" state=on
CONFIG AUTOUPDATE ACTIVATEVous trouverez la valeur des paramètres url et CA dans les champs URL de contact et Certificat du serveur du panneau Configuration > Serveur Active Update.
Vous pouvez ajouter des paramètres personnalisés au script. Pour plus d'informations, reportez-vous au guide CLI Serverd Commands Reference Guide.
ASTUCE
Pour spécifier plusieurs URL et plusieurs CA, séparez-les par une virgule :
url=https://activeupdate0.smc.local:8081/activeupdate,https://activeupdate1.smc.local:8081/activeupdate/activeupdate CA="CN=*.smc.local,CN=*.smc.local" state=on - Suivez les étapes habituelles d'exécution d'un script comme indiqué dans la section Exécuter le script CLI SNS depuis l'interface web.
