升级 Tenable Identity Exposure
从之前的版本升级到 Tenable Identity Exposure 版本 1.x 需要调整之前的架构,以包含安全中继组件。升级之前,请仔细检查并了解以下部分中说明的变更:
-
本地平台的安全中继架构 升级前 (3.42) 和升级后 本地平台的安全中继架构 之间的差异
-
在升级存储管理器、安全引擎节点和目录侦听器之后,请使用单独的安装程序手动安装 适用于 Tenable Identity Exposure 1.x 的安全中继。
升级路径
要升级到 Tenable Identity Exposure 的最新版本,您必须遵循以下安装路径中的一条:
-
2.7 -> 3.1 -> 3.11 -> 3.19 -> 3.29 -> 3.42
-
3.x -> 3.59 -> 1.x。
提示:如果您从 v.3.59 升级,系统会自动安装与配置安全中继。
升级顺序
-
要从 Tenable Identity Exposure 3.42 升级到 1.x,请按以下顺序操作:
-
要从 Tenable Identity Exposure 3.59 升级到 1.x,请按以下顺序操作:
事先说明
-
请确保您的 TLS 证书使用 OpenSSL 3.0.x。有关更多信息,请参阅“部署前要求”。
-
在升级之前,为环境拍摄快照。如果升级失败,Tenable Identity Exposure 支持部门无法执行回滚,而这会导致全新安装并造成您丢失之前的数据。请参阅“备份”,以获取完整信息。
-
备份和还原存储管理器。Tenable 强烈建议您在升级之前备份存储管理器。有关如何备份或还原 MSSQL 的说明,请参阅 Microsoft 官方文档。
-
考虑停机时间:根据您的环境和升级程度,停机时间从几分钟到几小时不等。请将此因素纳入您的日程安排和通信计划考虑范围中,并将计划的停机时间和可能发生的服务中断消息告知受影响的用户。
-
从 Tenable 的下载站点下载 Tenable Identity Exposure 和安全中继的可执行程序。
-
以本地用户或域用户(“本地管理员”组的成员)的身份运行安装程序。
-
重新启动服务器,然后再为每个组件启动 Tenable Identity Exposure 安装程序。
升级程序
请按照以下程序,使用“带自动生成证书和自签名证书的 TLS(默认)”升级 Tenable Identity Exposure 组件。有关更多信息,请参阅“TLS Installation Types”。
升级目录侦听器:
-
在本地计算机上,重新启动服务器并运行 Tenable Identity Exposure 1.x 本地安装程序。
出现“欢迎”屏幕。
-
在设置语言框中,从下拉列表中选择要安装的语言,然后单击“下一步”。
出现“安装向导”。“专家模式”复选框为默认选中。
-
单击“下一步”。
出现“自定义安装”窗口。
-
安装程序会根据之前的安装自动预选目录侦听器组件。单击“下一步”。
出现“TLS 选项”窗口。
-
选择“带有自动生成证书和自签名证书的 TLS(默认)”选项。
可选:如果您选择“带有自定义证书的 TLS,无需对等验证”或“带有自定义证书的 TLS,需要对等验证”,则下一个“TLS 证书”屏幕会要求您提供以下信息:
-
在“服务器 PFX 存档”框中,单击“…”以导航至“PFX 存档”。
-
在“PFX 密码”框中,输入 PFX 文件的密码。
-
在“CA 证书文件”框中,单击“…”以导航至 CA 证书文件。
-
-
单击“下一步”。
出现“安全引擎节点”窗口。
-
在 RabbitMQ 的“主机”框中,输入安全引擎节点的 IP 地址(或托管 RabbitMQ 的安全引擎节点的 IP 地址(如果使用拆分架构))。
注意:如果保留默认值“127.0.0.1”并单击“下一步”,安装程序将失败并执行回滚。
-
单击“下一步”。
出现“目录侦听器”窗口。
-
有两个选项可供您选择是否在此目录侦听器上安装安全中继:
-
是:在此安装过程完成且目录侦听器重新启动后,安全中继安装程序便会启动。
-
否 :您选择在以后或在单独的服务器上安装安全中继(请参阅“本地平台的安全中继架构”)。此时会出现一条消息,其中包含安全中继安装程序所在的位置。无论是在目录侦听器计算机还是单独的计算机上,您都必须安装安全中继。
-
-
单击“下一步”。
出现“准备安装”窗口。
-
单击“安装”即可开始升级。
升级完成后,会出现“正在完成 Tenable Identity Exposure 安装向导”窗口。
-
单击“完成”。
此时会出现一个对话框,询问是否要重新启动计算机。
-
单击“否”。
注意:暂时不要重新启动计算机。请在升级所有服务器后再重新启动计算机。 -
升级安全引擎节点 (SEN)。
升级 SEN:
-
在本地计算机上,重新启动服务器并运行 Tenable Identity Exposure 1.x 本地安装程序。
出现“欢迎”屏幕。
-
在设置语言框中,单击箭头即可选择要安装的语言,然后单击“下一步”。
出现“安装向导”。“专家模式”复选框为默认选中。
-
单击“下一步”。
出现“自定义安装”窗口。
-
安装程序会根据之前的安装自动预选 SEN 组件。单击“下一步”。
出现“TLS 选项”窗口。
-
选择“带有自动生成证书和自签名证书的 TLS(默认)”选项。
可选:如果您选择“带有自定义证书的 TLS,无需对等验证”或“带有自定义证书的 TLS,需要对等验证”,则下一个“TLS 证书”屏幕会要求您提供以下信息:
-
在“服务器 PFX 存档”框中,单击“…”以导航至“PFX 存档”。
-
在“PFX 密码”框中,输入 PFX 文件的密码。
-
在“CA 证书文件”框中,单击“…”以导航至 CA 证书文件。
-
-
单击“下一步”。
出现“存储管理器”窗口。
-
验证或输入以下信息:
-
在“主机”框中,检查以前安装的 MSSQL 数据库的 FQDN 或 IP 地址是否仍然有效,并根据需要予以更正。
-
在“事件日志存储”框中,输入存储事件日志的计算机的 IP 地址,该地址通常与 MSSQL 数据库的 IP 地址相同。
注意:如果您在上次安装后更改了 SA 密码,则安装程序会要求您遵循 SQL 服务器强密码中所述的语法规范。
注意:切记在此步骤中更新事件日志存储 IP 或主机名地址,否则会导致攻击检测问题。如果您已成功完成此屏幕中的设置并升级了 SEN,则必须将 TENABLE_CASSIOPEIA_CYGNI_Service__EventLogsStorage__Host 和 TENABLE_CASSIOPEIA_EVENT_LOGS_DECODER_Service__EventLogsStorage__Host 的环境变量从当前值更新为 <存储管理器主机名或 IP 地址> 的准确值。有关更多信息,请参阅“故障排除知识库文章”。 -
-
单击“下一步”。
出现“安全引擎节点”窗口。
-
在“DNS 名称或 IP”框中,安装程序会显示最终用户为了访问上次安装的 Tenable Identity Exposure 而输入的 Web 服务器的 DNS 名称(首选)或 IP 地址。如有必要,请检查名称或地址是否仍然正确有效。
-
单击“下一步”。
出现“目录侦听器”窗口。
-
在“Ceti”框中,输入目录侦听器的 IP 地址。
-
单击“下一步”。
出现“准备安装”窗口。
-
单击“安装”即可开始升级。
升级完成后,会出现“正在完成 Tenable Identity Exposure 安装向导”窗口。
-
单击“完成”。
此时会出现一个对话框,询问是否要重新启动计算机。
-
单击“否”。
注意:暂时不要重新启动服务器。请在升级所有服务器后再重新启动计算机。 -
升级存储管理器。
升级存储管理器:
-
在本地计算机上,重新启动服务器并运行 Tenable Identity Exposure
出现“欢迎”屏幕。
-
在设置语言框中,单击箭头即可选择要安装的语言,然后单击“下一步”。
出现“安装向导”。“专家模式”复选框为默认选中。
-
单击“下一步”。
出现“自定义安装”窗口。安装程序会根据之前的安装自动预选存储管理器组件。
-
单击“下一步”。
-
(可选)单击“浏览”,以更改安装文件夹位置。仅更改驱动器号。
出现“TLS 选项”窗口。
-
选择“带有自动生成证书和自签名证书的 TLS(默认)”选项。
可选:如果您选择“带有自定义证书的 TLS,无需对等验证”或“带有自定义证书的 TLS,需要对等验证”,则“TLS 证书”屏幕会要求您提供以下信息:
-
在“服务器 PFX 存档”框中,单击“…”以导航至“PFX 存档”。
-
在“PFX 密码”框中,输入 PFX 文件的密码。
-
-
单击“下一步”。
出现“存储管理器”窗口。
-
安装程序会再次使用以前安装的信息。单击“下一步”。
注意:如果您在上次安装后更改了 SA 密码,则安装程序会要求您遵循 SQL 服务器强密码中所述的语法规范。
-
单击“下一步”。
出现“准备安装”窗口。
-
单击“安装”即可开始升级。
升级完成后,会出现“正在完成 Tenable Identity Exposure 安装向导”窗口。
-
单击“完成”。
此时会出现一个对话框,询问是否要重新启动计算机。
-
单击“是”。
计算机重新启动。
-
重新启动 SEN。
-
重新启动 DL。
-
使用单独的安装程序安装 适用于 Tenable Identity Exposure 1.x 的安全中继。