Zugriff auf Tanium Console, API und Modulserver absichern

Tanium as a Service (TaaS) verwendet Transport Layer Security (TLS), um die Verbindungen zwischen den Komponenten der Tanium Core Platform zu sichern. Sie können jedoch die digitalen Zertifikate und Schlüssel, die TaaS für die TLS-Kommunikation verwendet, nicht ändern.

Übersicht

Tanium-Benutzer- und Moduloperationen erfordern Verbindungen zu den Tanium Server-, Modulserver- und Tanium-Moduldiensten. Die Tanium Core Platform verwendet SSL-/TLS-Zertifikate und -Schlüssel, um Verbindungen zum Tanium Server und zum Modulserver abzusichern (siehe Abbildung 2). Wenn Sie beispielsweise Tanium™ Patch verwenden, um Patches auf Endpunkte zu verteilen, baut die Tanium Core Platform Verbindungen in dieser Reihenfolge auf:

  1. Benutzersystem (Browser oder CLI) zu Tanium Server (Tanium Console oder API)
  2. Tanium Server zu Tanium-Modulserver
  3. Modulserver zu Patch-Dienst
  4. Patch-Dienst zu Tanium Server

Die Installationsprogramme von Tanium Server und Modulserver generieren selbstsignierte Zertifikate. Sie können diese durch Zertifikate ersetzen, die von einer kommerziellen Zertifizierungsstelle (certificate authority, CA) oder Ihrer Unternehmens-CA ausgestellt wurden. Als bewährtes Verfahren zur Vereinfachung der Fehlerbehebung verwenden Sie die selbstsignierten Zertifikate während der anfänglichen Installation und ersetzen sie später durch von einer CA ausgestellte Zertifikate. So können Sie potenzielle Installationsprobleme von TLS-Verbindungsproblemen trennen. Die Verwendung eines von einer CA ausgestellten Zertifikats wird für den Zugriff auf Tanium Console und API dringend empfohlen, ist aber optional für die Kommunikation zwischen Tanium Server und Modulserver.

Der Zugriff auf Tanium Console und API erfordert eine Benutzerauthentifizierung über Zugangsdaten, aber nicht für die Absicherung der TLS-Verbindung.

Details zum Tanium™-Protokoll, das die Kommunikation zwischen den Tanium Servern, Zonenserver, Zonenserver Hub und Tanium Clients sichert, finden Sie unter Absicherung des Zugriffs auf Tanium Server, Zonenserver und Tanium Client. Informationen zur Verwaltung der Schlüssel, die das Tanium-Protokoll verwendet, finden Sie im Benutzerhandbuch zur Tanium Console: Verwalten von Tanium-Schlüsseln.

Um den Tanium Server oder den Modulserver zu installieren, siehe Handbuch für die Bereitstellung von Tanium Appliance oder Handbuch für die Bereitstellung der Tanium Core Platform unter Windows.

Tanium Console und API

Benutzer greifen auf die Tanium Console oder API auf dem Tanium Server zu, um Tanium-Operationen auszuführen, z. B. um Fragen auszugeben oder Aktionen zu verteilen. Die Konsole und API kommunizieren über das Hypertext Transfer Protocol Secure (HTTPS), das SSL/TLS-Zertifikate und -Schlüssel verwendet, um Client-Server-Verbindungen abzusichern. Wenn ein Benutzer auf die Tanium Console oder API zugreift, ist das Benutzersystem der Client und der Tanium Server ist der Server. Um die Verbindung abzusichern, präsentiert der Tanium- Server sein Zertifikat SOAPServer.crt, um gegenüber dem Client seine Identität nachzuweisen, und verwendet seinen privaten Schlüssel SOAPServer.key, um den TLS-Handshake abzuschließen. Für den Zugriff auf Konsole oder API müssen Clients ihre Identität nicht nachweisen, um die Verbindung abzusichern. Abbildung 2 veranschaulicht diese Prozesse.

Wenn Sie den Tanium Server auf einer Tanium Appliance installieren, generiert er ein selbstsigniertes Zertifikat SOAPServer.crt. Wenn Sie den Tanium Server auf einem Windows-Server installieren, können Sie zwischen einem selbstsignierten Zertifikat oder (sofern vorhanden) einem von einer CA ausgestellten Zertifikat wählen. Wenn Sie ein selbstsigniertes Zertifikat verwenden, sehen Benutzer einen Zertifikatvalidierungsfehler, wenn sie auf die Tanium Console oder API zugreifen. Der Fehler tritt auf, da die CA-Zertifikate im Benutzersystem das selbstsignierte Zertifikat nicht validieren können. Die folgende Abbildung zeigt ein Beispiel eines solchen Fehlers, wenn Benutzer versuchen, sich von einem Browser aus mit der Tanium Console zu verbinden.

Abbildung 1:  Zertifikatvalidierungsfehler

Obwohl Browser trotz des Fehlers in der Lage sind, auf die Tanium Console zuzugreifen, ist es bewährte Sicherheitspraxis, diese Zugriffsmöglichkeit zu vermeiden. Daher empfiehlt Tanium dringend, dass Sie das selbstsignierte Zertifikat SOAPServer.crt durch ein von einer CA ausgestelltes Zertifikat ersetzen. Wenn der Tanium Server momentan ein selbstsigniertes Zertifikat verwendet, können Sie es jederzeit ersetzen.

Modulserver-Kommunikation

Wenn Benutzer die Tanium Console oder API verwenden, um mit Tanium-Modulen zu arbeiten, kommuniziert der Tanium Server mit dem Tanium-Modulserver, der Modulserver greift auf die Tanium-Moduldienste zu, die er hostet (z. B. Patch), und die Moduldienste kommunizieren zurück an den Tanium Server (siehe Abbildung 2).

Der Tanium Server und der Modulserver kommunizieren über HTTPS, und beide Server müssen ihre Identität durch ein Zertifikat nachweisen. Der Tanium Server präsentiert SOAPServer.crt, um seine Identität nachzuweisen, während der Modulserver ssl.crt präsentiert. Die Server verwenden die zugehörigen privaten Schlüsseln (SOAPServer.key und ssl.key), um den TLS-Handshake abzuschließen, der die Verbindung absichert. Um die Identität des Tanium Servers zu verifizieren, prüft der Modulserver, ob seine Datei trusted.crt das Zertifikat SOAPServer.crt enthält, das der Tanium Server ihm präsentiert. In einer aktiv-aktiv-Verteilung muss trusted.crt auf beiden Tanium Servern das Zertifikat SOAPServer.crt enthalten. Tanium Server überprüfen auch die Identität des Modulservers, indem sie überprüfen, ob ihre Datei trusted‑module‑servers.crt das Zertifikat ssl.crt enthält, das der Modulserver ihnen präsentiert. Der Modulserver-Registrierungsvorgang erzeugt die Datei trusted.crt auf dem Modulserver und trusted‑module‑servers.crt auf dem Tanium Server. Der Modulserver-Installationsprozess erzeugt die Datei ssl.crt.

Der Modulserver öffnet einen einzelnen, nur auf localhost lauschenden HTTPS-Listener, um Anfragen vom Tanium Server an die Tanium-Moduldienste weiterzuleiten. Die TLS-Beendigung erfolgt auf dem Modulserver, der die Anfragen lokal über Nicht-TLS-Verbindungen vom HTTPS-Listener zum entsprechenden Moduldienst weiterleitet.

Moduldienste bauen eine TLS-Verbindung zum Tanium Server auf und prüfen, ob das Zertifikat, das der Tanium Server während des TLS-Handshakes präsentiert hat, in der Datei trusted.crt auf dem Modulserver enthalten ist. Da Moduldienste dieselbe API wie Benutzer der Tanium Console verwenden, wird die Client-Zertifikatsvalidierung nicht erzwungen.

Optional können Sie von einer CA ausgestellte Zertifikate verwenden, um die vom Server generierten, selbstsignierten Zertifikate SOAPServer.crt und ssl.crt zu ersetzen, aber nicht die Dateien trusted.crt und trusted‑module‑servers.crt. Wenn Sie SOAPServer.crt oder ssl.crt ersetzen, müssen Sie den Modulserver erneut beim Tanium Server registrieren, um die Dateien trusted.crt und trusted‑module‑servers.crt neu zu erstellen.

Die folgende Tabelle fasst die Zertifikate und Schlüssel zusammen, die die Tanium Core Platform für Verbindungen zum Modulserver verwendet:

 Tabelle 1: Zertifikate und Schlüssel für Modulserver-Verbindungen
Location Dateiname Purpose
Modulserver ssl.crt
ssl.key 		HTTPS-Zertifikat und privater Schlüssel, die der Modulserver bei eingehenden sicheren Verbindungen vom Tanium Server oder von ausgehenden Verbindungen zu Tanium-Diensten präsentiert.
trusted.crt Enthält das Zertifikat SOAPServer.crt von den Tanium Servern, bei denen der Modulserver registriert wurde. Der Modulserver verwendet trusted.crt, um Tanium Server-Zertifikate zu validieren.
Tanium Server SOAPServer.crt
SOAPServer.key 		HTTPS-Zertifikat und privater Schlüssel, die der Tanium Server bei ausgehenden sicheren Verbindungen zum Modulserver oder eingehenden Verbindungen von den Systemen der Tanium Console-Benutzern oder von Tanium API-Benutzern präsentiert.
trusted-module-servers.crt
(Tanium Core Platform 7.2 oder neuer) 		Enthält das Zertifikat ssl.crt des Modulservers, der sich beim Tanium Server registriert hat. Der Tanium Server verwendet trusted‑module‑servers.crt, um das Modulserver-Zertifikat zu validieren.

Prozesse und Aufgaben für die Einrichtung der SSL/TLS-Verbindung

Die folgende Abbildung veranschaulicht die Komponenten, Prozesse und Einrichtungsaufgaben, die an der Absicherung von Verbindungen zum Tanium Server (Tanium Console oder API) und Modulserver beteiligt sind.

Abbildung 2:  SSL/TLS-Verbindungen

Die folgenden Prozesse entsprechen den Zahlen in Abbildung 2.

1 Zugriff auf die Tanium Console/API

Wenn ein Benutzersystem eine Verbindung zur Tanium Console oder API aufbaut, präsentiert der Tanium Server sein Zertifikat SOAPServer.crt, um gegenüber dem Benutzersystem seine Identität nachzuweisen. in Abbildung 2 verwendet der Server eine von einer CA ausgestellte Version von SOAPServer.crt (Nummer 2) anstelle einer selbstsignierten Version. Daher verwendet das Benutzersystem ein CA-Zertifikat, um SOAPServer.crt zu validieren.
2 Selbstsigniertes Zertifikat durch von der CA ausgestelltes Zertifikat ersetzen

Erstellen Sie eine Zertifikatsignieranforderung (CSR) und den zugehörigen privaten Schlüssel SOAPServer.key für den Tanium Server. Sie senden die CSR an Ihre CA, die ein CA-Zertifikat und den zugehörigen privaten Schlüssel verwendet, um das angeforderte Zertifikat (SOAPServer.crt) digital zu signieren. Das Signierzertifikat der CA muss auch auf Systemen vorhanden sein, von denen Benutzer auf die Tanium Console oder API zugreifen (Nummer 1). Der Tanium Server kann dann das angeforderte, von der CA ausgestellte Zertifikat anstelle eines selbstsignierten Zertifikats verwenden. Optional können Sie auch ein von der CA ausgestelltes Zertifikat anfordern, um das Modulserver-Zertifikat (ssl.crt) zu ersetzen. Einzelheiten finden Sie unter Von einer CA ausgestellte Zertifikate.
3 Modulserver-Registrierung

Während einer Neuinstallation des Modulservers müssen Sie vor der Registrierung das Vertrauen zwischen ihm und dem Tanium Server manuell aktivieren. Der Modulserver registriert sich dann beim Tanium Server und die Server erzeugen die Dateien trusted‑module‑servers.crt und trusted.crt. Für die darauffolgende Kommunikation zwischen den Servern, einschließlich während Versionsaktualisierungen, ist das manuelle Aktivieren des Vertrauens nicht erforderlich, da die Server bei der gegenseitigen Identitätsprüfung automatisch die Dateien trusted‑module‑servers.crt und trusted.crt überprüfen (Nummer 4).

Die Installationsverfahren in den folgenden Handbüchern für Bereitstellungen umfassen Schritte zum manuellen Aktivieren des Vertrauens für die Server-Zertifikate durch Verifizierung oder Eingabe von Zertifikat-Fingerabdrücken (Hash-Auszüge von öffentlichen Schlüsseln): Handbuch für Tanium-Appliance-Bereitstellungen: Installation des Tanium-Modulservers und Handbuch für die Bereitstellung der Tanium Core Platform unter Windows Installation des Tanium-Modulservers.
4 Gegenseitige Identitätsprüfung

Um eine sichere TLS-Verbindung herzustellen, weisen der Tanium Server und der Modulserver sich gegenseitig ihre Identitäten nach. Während des TLS-Handshakes präsentiert der Tanium Server sein Zertifikat SOAPServer.crt dem Modulserver, welcher überprüft, ob seine Datei trusted.crt das Zertifikat SOAPServer.crt enthält. Auch während des Handshakes präsentiert der Modulserver sein Zertifikat ssl.crt dem Tanium Server, welcher überprüft, ob seine Datei trusted‑module‑servers.crt das Zertifikat ssl.crt enthält.
5 Modulserver an Tanium-Moduldienste

Der Modulserver öffnet einen einzelnen, nur auf localhost lauschenden HTTPS-Listener, um Anfragen vom Tanium Server an die Tanium-Moduldienste weiterzuleiten. Der Modulserver leitet die Anfragen lokal über Nicht-TLS-Verbindungen vom HTTPS-Listener zum entsprechenden Moduldienst weiter.
6 Moduldienste zum Tanium Server

Moduldienste bauen eine TLS-Verbindung zum Tanium Server auf und prüfen, ob das Zertifikat, das der Tanium Server während des TLS-Handshakes präsentiert hat, in der Datei trusted.crt auf dem Modulserver enthalten ist. Da Moduldienste dieselbe API wie Benutzer der Tanium Console verwenden, wird die Client-Zertifikatsvalidierung für diese Verbindung nicht erzwungen (im Gegensatz zu den in Nummer 4 beschriebenen Verbindungen).

Von einer CA ausgestellte Zertifikate

Wenn Ihr Unternehmen es bevorzugt, von einer CA ausgestellte Zertifikate zur Absicherung von Verbindungen zwischen Systemen zu verwenden, können Sie die selbstsignierten Zertifikate ersetzen, die der Tanium Server (SOAPServer.crt) und der Modulserver (ssl.crt) während der Installation erzeugt haben. In einer aktiv–aktiv-Verteilung können Sie dasselbe, von einer CA ausgestellte Zertifikat SOAPServer.crt (und den zugehörigen privaten Schlüssel) für beide Tanium Server verwenden, solange der Subject Alternative Name (Alternativname des Subjekts) im Zertifikat beide Servernamen angibt. Alternativ können Sie jeweils ein eigenes CA-Zertifikat für jeden Tanium Server verwenden.

Das Einholen eines CA-Zertifikats umfasst das Einreichen einer CSR bei der CA und das Generieren eines zugehörigen privaten Schlüssels. Bei einer Windows-Bereitstellung verwenden Sie das Tanium™ KeyUtility-Programm, um die CSR und den Schlüssel lokal zu generieren (siehe Windows: Zertifikate ersetzen). Bei einer Tanium Appliance-Bereitstellung müssen Sie ein Drittanbieter-Tool wie OpenSSL verwenden (siehe Beispiel: Eine CSR und einen privaten Schlüssel mit OpenSSL erstellen), um die CSR und den Schlüssel auf einem Nicht-Appliance-System zu generieren, und diese dann in die Appliance kopieren (siehe Tanium Appliance: Zertifikate ersetzen).

Die CA verwendet ein CA-Zertifikat und den zugehörigen privaten Schlüssel, um das von Ihnen angeforderte Zertifikat digital zu signieren. Wenn ein von einer CA ausgestelltes Zertifikat das Zertifikat SOAPServer.crt auf dem Tanium Server ersetzt, muss das Signierzertifikat der CA auch auf den Systemen vorhanden sein, von denen Benutzer auf die Tanium Console oder API zugreifen. Für Konsolenbenutzer muss das Signierzertifikat der CA im vertrauenswürdigen Zertifikatsspeicher ihres Browsers gespeichert sein. Für API-Benutzer muss das CA-Signierzertifikat an dem in API-Aufrufen angegebenen Ort vorhanden sein, wie in der Option ‑‑cacert <file path>im folgenden Beispiel dargestellt:

$ curl -s --cacert <file path> -X POST --data-binary @<sign in>.json https://localhost/api/v2/session/login

Wenn Sie die CSR erstellen, geben Sie die Optionen und X.509-Attribute an, die sicherstellen, dass die CA ein Zertifikat zurückgibt, das die folgenden Anforderungen erfüllt.

Zertifikatsanforderungen

Arbeiten Sie mit Ihrer CA zusammen, um ein Zertifikat mit den folgenden Spezifikationen für den Tanium Server oder Modulserver zu erhalten:

  • X.509 Zertifikat mit TLS-Web-Server-Authentifizierung und Client-Authentifizierung erweiterte Schlüsselnutzung

    CA-Zertifikat Schlüsselnutzung

  • Separates Zertifikat und private Schlüsseldateien Sie müssen die Passphrase aus der Schlüsseldatei entfernen.
  • PEM-Format (Base64-codiert)
  • Zertifikat mit einem SHA-256-Hash-Algorithmus signiert
  • RSA 2048-Bit-Schlüsselverschlüsselung
  • Common Name (Allgemeiner Name, CN), der den vollständig qualifizierten Domain-Namen (FQDN) oder die IP-Adresse des Servers angibt.

    CA-Zertifikat gemeinsamer Name

  • Subject Alternative Name (Alternativname des Subjekts), der die FQDNs oder IP-Adressen beider Tanium Server in einer aktiv-aktiv-Verteilung angibt, in der beide Server dasselbe Zertifikat verwenden. Dies ist nicht nötig, wenn jeder Server sein eigenes Zertifikat verwendet.

    CA-Zertifikat Subject Alternative Name (Alternativname des Subjekts)

Beispiel: Eine CSR und einen privaten Schlüssel mit OpenSSL erstellen

Das folgende Beispiel zeigt, wie OpenSSL zum Erstellen einer CSR verwendet wird. Sie können vom Anbieter bereitgestellte Webformulare oder ein beliebiges Tool verwenden, das Sie bevorzugen, solange das resultierende Zertifikat über die erforderlichen Attribute und einen privaten Schlüssel verfügt. Dieses OpenSSL-Beispiel verwendet eine Konfigurationsdatei, um X.509-Attribute an den openssl-Befehl zu übergeben. Sie können Befehlszeilenoptionen anstelle einer Konfigurationsdatei festlegen.

Wenn Sie den Tanium Server und den Modulserver in einer Windows-Infrastruktur einsetzen, ist es bewährte Sicherheitspraxis, das Programm KeyUtility.exe, das lokal auf diesen Servern vorhanden ist, statt einem Drittanbieter-Tool zu verwenden, um die CSR und den privaten Schlüssel zu generieren. Wenn Sie den Schlüssel lokal generieren, können Sie es vermeiden, ihn zwischen Systemen zu kopieren.

  1. Erstellen Sie eine Konfigurationsdatei mit dem folgenden Inhalt. Ändern Sie die fettgedruckten Werte in die Werte, die für Ihre Server zutreffen.

    [req]

    distinguished_name = req_distinguished_name

    req_extensions = v3_req

    [req_distinguished_name]

    countryName = US

    countryName_default = US

    stateOrProvinceName = CA

    stateOrProvinceName_default = CA

    localityName = Emeryville

    localityName_default = Emeryville

    organizationName = IT

    organizationalUnitName = IT

    organizationalUnitName_default = IT

    commonName = server.domain.com

    commonName_max = 64

    [ v3_req ]

    # Extensions to add to a certificate request

    basicConstraints = CA:FALSE

    keyUsage = digitalSignature, keyEncipherment

    extendedKeyUsage = serverAuth,clientAuth

    subjectAltName = @alt_names

    [alt_names]

    DNS.1 = server1.domain.com

    DNS.2 = server2.domain.com

  2. Erstellen Sie eine private Schlüsseldatei, um die CSR digital zu signieren:

    openssl genrsa -out tanium.key 2048

  3. Erstellen Sie die CSR-Datei. Das folgende Beispiel zeigt die Konfigurationsdatei und den privaten Schlüssel, die in den vorherigen Schritten erstellt wurden:

    openssl req -sha256 -new -out SOAPServer.csr -key tanium.key -config tanium-openssl.cfg

  4. Öffnen Sie die erstellte Datei, um zu bestätigen, dass die CSR erstellt wurde. Das folgende Beispiel zeigt eine PEM-formatierte CSR.

    5. -----BEGIN CERTIFICATE REQUEST-----
    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
    -----ENDE DER ZERTIFIKATSANFORDERUNG-----

  5. Speichern Sie den privaten Schlüssel an einen sicheren Ort und senden Sie die CSR an die CA. Das Einreichungsverfahren ist je nach CA unterschiedlich. In einigen Fällen reichen Sie eine Datei ein; in anderen Fällen fügen Sie den Inhalt der Datei in ein Online-Formular ein. Stellen Sie auf jeden Fall sicher, dass Sie die Zertifikatsanforderungen an Ihre CA übermitteln.

    Verwenden Sie ein sicheres Protokoll wie das Secure Copy Protocol (SCP) oder das Secure File Transfer Protocol (SFTP), wenn Sie den privaten Schlüssel zwischen Systemen kopieren müssen; verwenden Sie nicht Server Message Block (SMB) oder das File Transfer Protocol (FTP). Aus Sicherheitsgründen sollten Sie, nachdem Sie den Schlüssel in den Installationsordner des Tanium Core Platform-Servers, der den Schlüssel benötigt, kopieren, jede andere Kopie des Schlüssels löschen.

Tanium Appliance: Zertifikate ersetzen

Führen Sie die folgenden Schritte durch, um das aktuelle Zertifikat SOAPServer.crt und den aktuellen Schlüssel SOAPServer.key auf dem Tanium Server durch ein neues, von einer CA ausgestelltes Zertifikat und den zugehörigen privaten Schlüssel zu ersetzen. In einer aktiv-aktiv-Verteilung können Sie dasselbe Zertifikat für beide Tanium Server verwenden, solange der Subject Alternative Name (Alternativname des Subjekts) im Zertifikat beide Servernamen angibt.

Wenn Sie die aktuellen Dateien ssl.crt und ssl.key auf dem Modulserver durch ein neues, von einer CA ausgestelltes Zertifikat und den zugehörigen privaten Schlüssel ersetzen müssen, wenden Sie sich an den Tanium-Support unter [email protected].

Neues Zertifikat und Schlüssel erhalten

  1. Verwenden Sie ein Tool wie OpenSSL, um eine CSR und einen neuen privaten Schlüssel zu generieren. Wenn Sie die CSR erstellen, legen Sie die Zertifikatsoptionen und X.509-Attribute fest, die unter Zertifikatsanforderungen beschrieben sind. Ein Beispielverfahren finden Sie unter Beispiel: Eine CSR und einen privaten Schlüssel mit OpenSSL erstellen.

  2. Speichern Sie den privaten Schlüssel an einem sicheren Ort auf einem System, von dem aus Sie über einen SFTP-Client eine Verbindung mit den Tanium Servern herstellen können.

    Wenn Sie den privaten Schlüssel zwischen Systemen übertragen, verwenden Sie ein sicheres Protokoll wie SCP oder SFTP, verwenden Sie nicht SMB oder FTP.

  3. Senden Sie die CSR an die CA. Das Einreichungsverfahren ist je nach CA unterschiedlich. In einigen Fällen reichen Sie eine Datei ein; in anderen Fällen fügen Sie den Inhalt der Datei in ein Online-Formular ein. Stellen Sie auf jeden Fall sicher, dass Sie die Zertifikatsanforderungen an Ihre CA übermitteln.
  4. Wenn die CA das neue Zertifikat zurücksendet, speichern Sie es an demselben Ort wie den privaten Schlüssel, sodass Sie beide Dateien auf die Tanium Server kopieren können.

Neues Zertifikat und Schlüssel hochladen

Laden Sie das neue, von der CA ausgestellte Zertifikat und den zugehörigen privaten Schlüssel auf den Tanium Server hoch. Wiederholen Sie bei einer aktiv-aktiv-Verteilung diese Schritte auf jedem Tanium Server.

  1. Ändern Sie an dem Ort, an dem Sie das neue Zertifikat und den Schlüssel gespeichert haben, deren Dateinamen in diejenigen, die in der Tanium Server-Installation verwendet werden: SOAPServer.crt und SOAPServer.key.
  2. Stellen Sie mit einem SFTP-Client eine Verbindung mit dem Tanium Server her.
  3. Verwenden Sie SFTP, um das Zertifikat und die Schlüsseldateien in das Verzeichnis /incoming auf dem Tanium Server zu kopieren.

    Nachdem Sie den Schlüssel auf den Tanium Server kopiert haben, löschen Sie aus Sicherheitsgründen alle anderen Kopien des Schlüssels.

Neues Zertifikat und Schlüssel installieren

Installieren Sie das neue, von der CA ausgestellte Zertifikat und den zugehörigen privaten Schlüssel auf dem Tanium Server. Wiederholen Sie bei einer aktiv-aktiv-Verteilung diese Schritte auf jedem Tanium Server. Da die Schritte das Anhalten und Neustarten der Server beinhalten, führen Sie diese Aufgabe während eines Wartungsfensters aus.

  1. Melden Sie sich bei der TanOS-Konsole als Benutzer Tanadmin an.
  2. Geben Sie 2 ein, um zum Menü Tanium Operations (Tanium-Operationen) zu gelangen.
  3. Geben Sie 4 ein, um Install Custom SOAP Cert (Benutzerdefiniertes SOAP-Zertifikat installieren auszuwählen.
  4. Geben Sie bei Aufforderung YES (JA) ein, um die Zertifikats- und die Schlüsseldateien, die Sie hochgeladen haben, zu installieren.

    Die Appliance überprüft, ob die Dateien gültig sind und der Schlüssel mit dem Zertifikat übereinstimmt.

  5. Geben Sie in der Eingabeaufforderung Y (J) ein, um eine Sicherungskopie der Dateien im Verzeichnis /outgoing des tancopy-Benutzers zu erstellen.

    Die Tanium Appliance beendet den Tanium Server-Dienst, installiert das neue Zertifikat und den Schlüssel und startet den Dienst neu.

  6. Drücken Sie Enter (Eingabetaste), um fortzufahren.

Registrieren Sie den Modulserver mit jedem Tanium Server neu

Nachdem Sie das Zertifikat und den privaten Schlüssel auf dem Tanium Server ersetzt haben, registrieren Sie den Modulserver erneut. Bei einer aktiv-aktiv-Verteilung müssen Sie ihn bei jedem Tanium Server neu registrieren: Da die Schritte das Anhalten und Neustarten der Server beinhalten, führen Sie diese Aufgabe während eines Wartungsfensters aus.

  1. Wiederholen Sie die Konfigurationsschritte des Remote Modulservers, um die für die Validierung von SOAPServer.crt und ssl.crt verwendeten Zertifikate auf jedem Server zu aktualisieren: trusted.crt auf der Modulserver-Appliance und trusted-module-servers.crt auf der Tanium Server-Appliance. Siehe Bereitstellungshandbuch für Tanium Appliance: Den Tanium Server zur Verwendung des Remote-Modulservers konfigurieren.
  2. Starten Sie alle Tanium-Dienste auf der Modulserver-Appliance neu. Siehe Bereitstellungshandbuch für Tanium Appliance: Tanium-Dienste starten, stoppen und erneut starten.

Windows: Zertifikate ersetzen

Führen Sie die folgenden Schritte durch, um die aktuellen Zertifikate und privaten Schlüssel, die für Verbindungen zur Tanium Console, API und zum Modulserver verwendet werden, mit neuen, von einer CA ausgestellten Zertifikaten und den zugehörigen privaten Schlüsseln zu ersetzen. In einer aktiv-aktiv-Verteilung können Sie dasselbe Zertifikat für beide Tanium Server verwenden, solange der Subject Alternative Name (Alternativname des Subjekts) im Zertifikat beide Servernamen angibt.

Neues Zertifikat und Schlüssel erhalten

Verwenden Sie das Programm KeyUtility.exe statt einem Drittanbieter-Tool, um die CSR und den privaten Schlüssel auf dem Server zu generieren, der sie benötigt (Tanium Server oder Modulserver).

Zur besseren Sicherheit generieren Sie den Schlüssel lokal auf dem Server, um ihn nicht zwischen Systemen zu kopieren.

  1. Melden Sie sich bei dem Server an, der ein neues Zertifikat benötigt, und öffnen Sie die CLI als Administrator (siehe Windows).
  2. Navigieren Sie zum Server-Installationsordner.

    $ cd <Tanium/Module Server>

  3. Verwenden Sie das Programm KeyUtility.exe, um eine CSR und einen privaten Schlüssel zu generieren.

    Das Argument -hostname legt den FQDN oder die IP-Adresse des Servers fest. Bei einer aktiv-aktiv-Bereitstellung, bei der beide Tanium Server dasselbe Zertifikat und denselben Schlüssel verwenden, geben Sie beide Tanium Server durch Komma getrennt an (Beispiel: ts1.example.com,ts2.example.com). Optional können Sie auch eine eindeutige CSR und einen eindeutigen Schlüssel für jeden Tanium Server erstellen.

    Das Argument -out legt den Ausgabeordner und die Dateinamen der CSR und des Schlüssels fest. Der Befehl fügt automatisch das Suffix zum Dateinamen hinzu (.csr oder .key). Verwenden Sie den Dateinamen SOAPServer auf dem Tanium Server oder ssl auf dem Modulserver, damit Sie die Dateien später nicht mehr umbenennen müssen. Um zu vermeiden, dass der aktuelle Schlüssel überschrieben wird, geben Sie einen Ausgabeordner an, der nicht der Server-Installationsordner ist.

    $ KeyUtility selfsign --export-csr --hostname <server FQDN/IP address> --out <output folder path><file name>

    Der Befehl erstellt drei Dateien im angegebenen Ausgabeordner: <filename>.csr, <filename>.key und <filename>.crt. Der Befehl verwendet automatisch den Schlüssel zum Signieren der Datei <filename>.csr. Die Datei <filename>.crt ist ein selbstsigniertes Zertifikat, das Sie nur verwenden, wenn Sie kein von einer CA ausgestelltes Zertifikat benötigen.

  4. Senden Sie die CSR an die CA. Das Einreichungsverfahren ist je nach CA unterschiedlich. In einigen Fällen reichen Sie eine Datei ein; in anderen Fällen fügen Sie den Inhalt der Datei in ein Online-Formular ein. Stellen Sie auf jeden Fall sicher, dass Sie die Zertifikatsanforderungen an Ihre CA übermitteln.
  5. Wenn die CA die neue Zertifikatsdatei zurücksendet, speichern Sie sie an einem temporären Speicherort, von dem aus Sie die Datei später in den Installationsordner des Tanium Servers oder Modulservers kopieren können.

Das Tanium Server-Zertifikat und die Schlüsseldateien aktualisieren

Da Sie während dieser Aufgabe Server neu starten müssen, führen Sie sie während eines Wartungsfensters aus.

Aktualisieren des Tanium Server-Zertifikats und der Schlüsseldateien in einer eigenständigen (Nicht-HA) Verteilung

  1. Sichern Sie auf dem Tanium Server das vorhandene Zertifikat SOAPServer.crt und den privaten Schlüssel SOAPServer.key, falls Sie Ihre Änderungen später rückgängig machen wollen.
  2. Stoppen Sie den Tanium Server-Dienst: Öffnen Sie die Windows Services-Anwendung, klicken Sie mit der rechten Maustaste auf Tanium Server und wählen Sie Stop (Stopp).

  3. Kopieren Sie die neuen Zertifikats- und Schlüsseldateien in den Server-Installationsordner, um die vorhandenen Dateien zu ersetzen.

    Löschen Sie aus Sicherheitsgründen alle Kopien des Schlüssels, die sich nicht im Installationsordner befinden, nachdem Sie den Schlüssel dorthin kopiert haben.

  4. Starten Sie den Tanium Server-Dienst: Öffnen Sie die Windows Services-Anwendung, klicken Sie mit der rechten Maustaste auf Tanium Server und wählen Sie Start.

    Wenn Sie beabsichtigen, die Zertifikate und Schlüssel des Modulservers zu aktualisieren, fahren Sie mit Die Modulserver-Zertifikate und die Schlüsseldateien aktualisierenfort. Andernfalls führen Sie die verbleibenden Schritte aus.

  5. Melden Sie sich im Modulserver an und registrieren Sie ihn erneut beim Tanium Server, um die Dateien trusted.crt und trusted‑module‑servers.crt neu zu erstellen. Sie können sich erneut registrieren, indem Sie das Installationsprogramm des Modulservers erneut ausführen (siehe Handbuch zur Verteilung der Tanium Core Platform für Windows: Installieren des Tanium Modulservers) oder die CLI des Modulservers wie folgt verwenden. Die Angabe des Ports ist nur erforderlich, wenn die Tanium Console nicht den Standardport (443) verwendet. Geben Sie den Benutzernamen und das Passwort für den Administrator von Tanium Console ein.

    cmd-prompt>TaniumModuleServer register <Tanium Server FQDN>:<port>

    Enter administrator username: <user name>

    Enter password for user '<user name>': <password>

    Successfully completed registration.

  6. Starten Sie auf dem Modulserver die Dienste für den Tanium-Modulserver und alle Tanium-Lösungen neu: Öffnen Sie die Windows Services-Anwendung und klicken Sie für jeden Dienst mit der rechten Maustaste auf den Dienstnamen und wählen Sie Restart (Neustart).

Aktualisieren des Tanium Server-Zertifikats und der Schlüsseldateien in einer aktiv-aktiv-Verteilung

Führen Sie diese Schritte auf je einem Tanium Server aus. Die Schritte in diesem Beispiel beginnen auf dem primären Tanium Server.

  1. Sichern Sie auf dem primären Tanium Server das vorhandene Zertifikat SOAPServer.crt und den privaten Schlüssel SOAPServer.key, falls Sie Ihre Änderungen später rückgängig machen wollen.
  2. Stoppen Sie den Tanium Server-Dienst: Öffnen Sie die Windows Services-Anwendung, klicken Sie mit der rechten Maustaste auf Tanium Server und wählen Sie Stop (Stopp).

  3. Kopieren Sie die neuen Zertifikats- und Schlüsseldateien in den Server-Installationsordner, um die vorhandenen Dateien zu ersetzen.

    Löschen Sie aus Sicherheitsgründen alle Kopien des Schlüssels, die sich nicht im Installationsordner befinden, nachdem Sie den Schlüssel dorthin kopiert haben.

  4. Starten Sie den Tanium Server-Dienst: Öffnen Sie die Windows Services-Anwendung, klicken Sie mit der rechten Maustaste auf Tanium Server und wählen Sie Start.
  5. Beenden Sie den Tanium Server-Dienst auf dem sekundären Tanium Server.

  6. Ersetzen Sie das vorhandene Zertifikat und den Schlüssel im Installationsordner des sekundären Tanium Servers:

    • Wenn jeder Tanium Server ein eindeutiges Zertifikat und einen eindeutigen Schlüssel benötigt, kopieren Sie die Dateien aus dem temporären Ordner, in dem Sie sie gespeichert haben.

    • Wenn beide Tanium Server dasselbe Zertifikat und denselben Schlüssel verwenden, kopieren Sie die Dateien vom primären Tanium Server.

    Verwenden Sie ein sicheres Protokoll wie SCP oder SFTP, um den Schlüssel zwischen Systemen zu kopieren; verwenden Sie nicht SMB oder FTP.

  7. Starten Sie den Tanium Server-Dienst auf dem sekundären Tanium Server.

    Wenn Sie beabsichtigen, die Zertifikate und Schlüssel des Modulservers zu aktualisieren, fahren Sie mit Die Modulserver-Zertifikate und die Schlüsseldateien aktualisierenfort. Andernfalls führen Sie die verbleibenden Schritte aus.

  8. Melden Sie sich im Modulserver an und registrieren Sie ihn erneut bei jedem Tanium Server, um die Dateien trusted.crt und trusted‑module‑servers.crt neu zu erstellen. Sie können sich erneut registrieren, indem Sie das Installationsprogramm des Modulservers erneut ausführen (siehe Handbuch zur Verteilung der Tanium Core Platform für Windows: Installieren des Tanium Modulservers), jedoch nur für den primären Tanium Server. Sie können das Modulserver-CLI wie folgt verwenden, um ihn mit jedem Tanium Server neu zu registrieren. Die Angabe des Ports ist nur erforderlich, wenn die Tanium Console nicht den Standardport (443) verwendet. Geben Sie den Benutzernamen und das Passwort für den Administrator von Tanium Console ein.

    cmd-prompt>TaniumModuleServer register <Tanium Server FQDN>:<port>

    Enter administrator username: <user name>

    Enter password for user '<user name>': <password>

    Successfully completed registration.

  9. Starten Sie auf dem Modulserver die Dienste für den Tanium-Modulserver und alle Tanium-Lösungen neu: Öffnen Sie die Windows Services-Anwendung und klicken Sie für jeden Dienst mit der rechten Maustaste auf den Dienstnamen und wählen Sie Restart (Neustart).

Die Modulserver-Zertifikate und die Schlüsseldateien aktualisieren

Da diese Aufgabe das Stoppen und Starten des Modulservers beinhaltet, führen Sie diese Schritte während eines Wartungsfensters aus.

  1. Sichern Sie auf dem Modulserver das vorhandene Zertifikat ssl.crt und den privaten Schlüssel ssl.key, falls Sie Ihre Änderungen später rückgängig machen wollen.
  2. Stoppen Sie die Dienste für den Tanium-Modulserver und alle Tanium-Lösungen (Module und geteilte Dienste): Öffnen Sie die Windows Services-Anwendung und klicken Sie für jeden Dienst mit der rechten Maustaste auf den Dienstnamen und wählen Sie Stop.

  3. Kopieren Sie die neuen Zertifikats- und Schlüsseldateien in den Modulserver-Installationsordner, um die vorhandenen Dateien zu ersetzen.

    Löschen Sie aus Sicherheitsgründen alle Kopien des Schlüssels, die sich nicht im Installationsordner befinden, nachdem Sie den Schlüssel dorthin kopiert haben.

  4. Registrieren Sie den Modulserver erneut bei jedem Tanium Server, um die Dateien trusted.crt und trusted‑module‑servers.crt neu zu erstellen. Sie können die erneute Registrierung durchführen, indem Sie das Modulserver-Installationsprogramm erneut ausführen, aber nur für den primären Tanium Server bei einer aktiv-aktiv-Verteilung oder für einen eigenständigen Tanium Server. Sie können das Modulserver-CLI wie folgt verwenden, um ihn bei jedem Tanium Server in einer aktiv-aktiv-Verteilung oder eigenständigen Verteilung neu zu registrieren. Die Angabe des Ports ist nur erforderlich, wenn die Tanium Console nicht den Standardport (443) verwendet. Geben Sie den Benutzernamen und das Passwort für den Administrator von Tanium Console ein.

    cmd-prompt>TaniumModuleServer register <Tanium Server FQDN>:<port>

    Enter administrator username: <user name>

    Enter password for user '<user name>': <password>

    Successfully completed registration.

  5. Starten Sie die Dienste für den Tanium-Modulserver und alle Tanium-Lösungen neu: Öffnen Sie die Windows Services-Anwendung und klicken Sie für jeden Dienst mit der rechten Maustaste auf den Dienstnamen und wählen Sie Start.