Configurando a autenticação baseada em certificado no Disconnected Log Collector

Em uma comunicação do tipo “ TLS ” (de ponta a ponta) entre IBM Disconnected Log Collector e IBM QRadar, a comunicação baseada em certificados é utilizada para estabelecer uma cadeia de confiança na qual o hardware e o software são validados desde a entidade final até o certificado raiz. TCP

Antes de iniciar

Deve-se ter um certificado raiz que foi emitido por uma autoridade de certificação (CA) confiável. Geralmente, você usa o mesmo certificado raiz nos sistemas Disconnected Log Collector e QRadar . Certifique-se de que o certificado raiz tenha um nome significativo, como root-ca.cer.

Sobre esta tarefa

Cada certificado tem um período de validade (um intervalo de data) durante o qual pode ser usado para estabelecer comunicações seguras. Depois que o período de validade termina, o certificado expira e deve ser substituído.

Procedimento

  1. Faça login no computador Disconnected Log Collector ou em VM como usuário root.
  2. Copie o certificado raiz no diretório /etc/pki/ca-trust/source/anchors e execute o comando a seguir para atualizar o armazenamento confiável padrão:
    update-ca-trust
    Observação: Para Ubuntu, copie o certificado raiz para o diretório /usr/local/share/ca-certificates e execute o seguinte comando para atualizar o truststore padrão:
    update-ca-certificates
  3. Gere uma solicitação de assinatura de certificado (CSR) do cliente digitando o comando a seguir:
    /opt/ibm/si/services/dlc/current/script/generateCertificate.sh -csr (-2k | -4k)

    A opção -2k representa uma chave de 2048 bits e -4k representa uma chave de 4096 bits. Escolha o valor do tamanho da chave para o certificado de acordo com os requisitos de sua organização.

    Por exemplo:
    /opt/ibm/si/services/dlc/current/script/generateCertificate.sh -csr -2k
  4. Insira valores para os parâmetros a seguir.
    1. Insira um código de duas letras para o nome do seu país ou deixe-o em branco.
    2. Insira um estado ou município ou deixe-o em branco.
    3. Insira um nome de cidade ou deixe-o em branco.
    4. Insira o nome de sua organização.
    5. Insira a sua unidade organizacional.

    O arquivo é salvo como /opt/ibm/si/services/dlc/keystore/<UUID>/dlc-client.key, em que UUID é um identificador que é exclusivo para a instância Disconnected Log Collector.

    Dica: anote o identificador de UUID que é exclusivo para a instância do Disconnected Log Collector O identificador é o nome da pasta /opt/ibm/si/services/dlc/keystore/<UUID> .. Você precisará do UUID ao configurar o protocolo Disconnected Log Collector em QRadar..
  5. Envie a CSR para sua autoridade de certificação interna ou comercial para assinatura, de acordo com suas instruções.

    O procedimento pode envolver a abertura do arquivo CSR e a cópia de um bloco de texto codificado que é contido entre os marcadores BEGIN e END.

    Importante: Você deve ter uma autoridade de certificação privada para assinar o certificado para Disconnected Log Collector. Se você ainda não tem uma como parte da infraestrutura da sua empresa, você pode criar uma. Por exemplo, o Easy-RSA é uma ferramenta publicamente disponível que você pode usar para criar uma autoridade de certificação. Para obter mais informações, consulte Easy-RSA ( https://github.com/OpenVPN/easy-rsa ).
  6. Copie o certificado de cliente retornado para o diretório /tmp ou o seu local preferido.
  7. Assegure-se de que o certificado de cliente esteja no formato PEM (Base64 ASCII). Se o certificado estiver no formato DER (binário), converta-o em formato PEM digitando o comando a seguir:
    openssl x509 -inform der -in <certificate_file_name>.der -out <certificate_file_name>.pem
    O arquivo PEM contém um bloco de texto codificado que está contido entre os marcadores BEGIN e END.
  8. Converta o certificado de cliente para o formato PKCS#12 digitando o comando a seguir e, quando solicitado, escolha uma senha segura:
    /opt/ibm/si/services/dlc/current/script/generateCertificate.sh -p12 
    /tmp/<signed_certificate_file_name>
    Um arquivo gerado em formato de troca pessoal (PFX) é salvo como /opt/ibm/si/services/dlc/keystore/dlc-client.pfx e as informações necessárias do PFX são armazenadas no arquivo /opt/ibm/si/services/dlc/conf/config.json.
  9. Reiniciar Disconnected Log Collector digitando o comando a seguir:
    systemctl restart dlc