在多机器环境中安装必需的组件

AppScan® 企业组件可以安装在多台机器上。在此方案中,组件部署在多机器环境中。AppScan®企业服务器,AppScan®动态分析扫描器,以及SQL服务器数据库都安装在不同的机器上。

About this task

本场景分为多个部分:
Note:
  1. 这个场景假设您已经安装并配置了SQL Server数据库,以便在配置AppScan®企业服务器时可以获取关键信息。
  2. 如果您是从 AppScan Enterprise 的先前版本升级,请在开始升级之前阅读将 Jazz Team Server 替换为 WebSphere
  3. 要将 Jazz Team Users 用户迁移到使用 Liberty 认证方法,请在开始升级到 v9.0.1 之前,使用 cd <install-dir>\Appscan Enterpise\JazzTeamServer\server\ repotools-jts.bat -exportUsers toFile=C:\users.csv repositoryURL=https://<hostname>:9443/jts 导出一个 .csv 文件的用户。然后按照这个主题中的步骤:为 Liberty 配置基本用户注册表,将用户导入到 Liberty 中。

AppScan®企业的许可信息

AppScan Enterprise 10.8.0 不再支持 FlexNet 许可 (FNO)。 相反,必须通过 My HCLSoftware (MHS) 门户配置许可。通过此更改,AppScan Enterprise 现在在应用程序内管理许可证,消除了对本地许可证服务器 (LLS) 和云许可证服务器 (CLS) 的依赖。如果从 AppScan Enterprise 10.6.0 或更早版本升级,请停用本地许可证服务器 (LLS)。请参阅知识库文章 KB0119306,了解有关卸载 LLS 的说明。要了解有关 MHS 门户的更多信息,请参阅MHS 帮助

多机环境的许可考虑因素

About this task

在多机部署中,每个AppScan Enterprise服务器实例都需要单独的许可证。

  • 动态分析扫描器和SQL服务器数据库不需要单独的许可证,但必须正确配置以与已许可的AppScan Enterprise服务器进行通信。
  • 在安装之前,请确保在MHS门户中分配了正确数量的许可证。
  • 未能分配足够的许可证可能会在安装过程中导致配置错误。

示例:如果你在两台不同的机器上安装两个AppScan Enterprise服务器实例,你必须在MHS门户中分配两个独立的许可证。然而,运行扫描器或数据库的额外机器不需要单独的许可证。

在HCL AppScan Enterprise 中通过MHS配置许可证

此任务涵盖了通过My HCLSoftware(MHS)门户为HCL AppScan Enterprise 配置许可证的步骤,包括创建部署和分配功能。

Before you begin

确保你可以访问MHS门户网站。

Procedure

  1. 在MHS中创建部署:
    1. 导航至MHS门户 > 部署
    2. 点击创建部署
    3. 输入部署名称并从产品列表中选择AppScan Enterprise。
    4. 点击添加部署
  2. 将功能分配给部署:
    1. 打开新创建的部署。
    2. 审查并分配可用的AppScan Enterprise特性,包括:
      • AppScan Enterprise 动态分析授权用户
      • AppScan Enterprise 动态分析浮动用户
      • AppScan Enterprise 动态分析扫描器安装
      • AppScan Enterprise 交互式分析安装
      • AppScan Enterprise 只报告授权用户
      • AppScan Enterprise 仅报告浮动用户
      • AppScan Enterprise 服务器基础安装
    3. 输入每个功能所需的分配数量。
    4. 完成后,点击保存所有更改
      Note:
      • 必须以4的倍数输入AppScan Enterprise交互式分析安装(IAST)的计数。
      • 无论是AppScan Enterprise服务器基础版还是AppScan Enterprise服务器安装版,都必须为许可证生成分配资源才能继续进行。
      • 如果这些条件未得到满足,下载许可证时将会出现错误。

安装HCL®AppScan®企业服务器

使用此过程可为报告和用户管理任务安装用户管理组件和 Enterprise Console。

Before you begin

确保你阅读了安装和配置期间必需的用户帐户信息,以便你知道在安装过程中使用哪个用户账户。

Procedure

  1. 转到您下载压缩文件(AppScanEnterpriseServerSetup_<version>.zip)的目录,提取文件,然后双击AppScanEnterpriseServerSetup_<version>.exe文件。
    Note:
    可能需要一些时间才会显示下一个屏幕。压缩文件包含以下文件:
    • AppScanEnterpriseServerSetup_<版本>.exe
    • HCL AppScan Enterprise Server.msi - 不要运行此文件
    • Data1.cab
  2. 在安装向导欢迎屏幕中,单击下一步
  3. 许可协议窗口中,选择我接受许可协议中的条款选项,然后单击下一步
  4. 目标文件夹窗口中,执行以下操作之一,然后单击下一步
    1. 单击下一步以接受缺省安装位置。
    2. 单击更改以选择其他安装位置。
  5. 准备安装程序窗口中,单击安装以继续进行安装。
  6. 设置向导已完成屏幕中,单击完成以启动“配置向导”。

运行配置向导以获取指纹密钥

在安装或升级服务器或扫描器后,您必须配置每个已安装的组件,并在所有实例和所有服务器上运行配置向导。AppScan Enterprise使用MHS进行许可。许可证处理过程需要一个指纹密钥,该密钥在运行配置向导时生成。

Before you begin

  1. 配置期间,定义要使用的 SQL Server 数据库的名称和位置以及服务帐户名称和密码。运行配置向导的用户必须能够创建数据库和授权。
  2. 如果你遇到一个错误“**警告** 无法为本地目录“C:\Program Files (x86)\HCL\AppScan Enterprise\WebApp”配置虚拟目录“ase”。确保 IIS 已正确配置,然后重试。请考虑在运行配置向导时禁用反病毒软件。如果您不希望禁用反病毒软件,那么可以从反病毒配置中排除 AppScan Enterprise 文件夹,然后再次运行配置向导。
  3. 重要:在运行AppScan Enterprise的同一台计算机上运行的个人防火墙和防疫软件可能会阻止通信,导致在安装和配置过程中配置失败。在运行扫描程序时,还会导致结果不准确和性能降低。为了获得最佳结果,请不要在计算机上运行防火墙或反病毒软件。

Procedure

  1. 安装完成后,将自动启动“配置”向导。您也可以作为管理员从Windows开始菜单中选择配置向导来启动它。
  2. 欢迎屏幕中,单击下一步
  3. 许可证服务器窗口中,复制屏幕上显示的指纹密钥。这个密钥是您的机器独有的,需要它来生成有效的许可证。

生成并应用许可文件

此任务涵盖了为AppScan Enterprise生成和应用许可证文件的步骤,包括生成、配置和放置许可证文件。

Before you begin

确保你在MHS中有一个已分配许可证的部署。参考通过MHS在HCLAppScan Enterprise中配置许可证

Procedure

  1. 生成许可文件:
    1. MHS门户 > 部署
    2. 找到您现有的部署,并点击部署旁边的三点菜单。
    3. 点击下载许可证文件
    4. 在“下载许可证文件”窗口中,粘贴指纹密钥(从配置向导中复制)。
    5. 完成后,点击提交下载许可文件。
  2. 应用许可文件:
    1. 将下载的许可证文件复制到AppScan安装目录(例如,C:\Program Files (x86)\HCL\AppScan Enterprise)。
    2. 文件名必须是AppScanEnterprise_License.license
    Note:
    无论何时AppScan企业许可证文件被修改,比如许可证到期,或者任何其他变化,AppScan Enterprise并不会自动识别这个更新。为确保正常功能,修改许可文件后请重新启动AppScan Enterprise服务。

完成配置向导

申请许可证后,按照步骤完成AppScan Enterprise的配置。如果您安装或升级服务器或扫描器,您必须配置每个已安装的组件,并在所有实例和所有服务器上运行配置向导。

Before you begin

  1. 配置期间,定义要使用的 SQL Server 数据库的名称和位置以及服务帐户名称和密码。运行配置向导的用户必须能够创建数据库和授权。
  2. 在安装AppScan®企业服务器后运行向导会在SQL服务器上设置数据库,并进行组件的初始设置。
  3. 在安装动态分析扫描器后运行向导会将扫描器注册到AppScan®企业服务器。
  4. 确保许可证文件已放置在AppScan安装目录中。参考生成并应用许可文件

Procedure

  1. 再次以管理员身份从Windows开始菜单或从安装目录(例如,C:\Program Files (x86)\HCL\AppScan Enterprise\WFCfgWiz.exe)打开配置向导。
  2. 欢迎屏幕中,单击下一步
  3. 许可证服务器窗口中,点击下一步
  4. 服务器组件窗口中,选择要配置的组件。您可用的组件取决于您的许可证。请参阅服务器组件如果您要在一个机器上安装组件,请选中所有复选框,即使您先前已安装了其中一个组件。
  5. 实例名称窗口,指定您想要配置的实例名称。请参阅实例名称
  6. 服务帐户窗口中,输入域/用户名服务帐户和密码,然后单击下一步。请参阅服务帐户
  7. 数据库连接窗口中,输入 SQL Server 名称和端口号,选择认证方式和您要连接到的数据库的名称。如果选择 SQL 认证,请先输入用户名和密码,然后单击测试连接验证是否可连接到 SQL Server。配置向导在连接成功之前不会继续。当AppScan®企业服务器在SQL服务器中创建数据库时,它会自动为其配置排序规则。
    Note:
    1. AppScan Enterprise 支持使用 Windows 认证和 SQL 认证连接到 SQL 数据库。请参阅关于认证方式的 Microsoft 文章,并选择符合您需求的认证方式。您可以从一种认证方式更改为另一种认证方式,但请务必重新运行配置向导。
    2. 必须在 SQL 服务器上为用户分配 sysadmin 服务器角色。用户还必须具有数据库访问权,并且至少必须被授予 db_ddladmindb_datawriterdb_datareader 权限或 db_owner 权限。
    3. 如果您要从 V8.6 或更低版本升级现有数据库,请在下一个屏幕上输入数据库主密钥密码以访问该数据库。请将此密码保存在安全位置。
    4. 如果您的环境针对 AppScan Enterprise 数据库使用指定的 SQL Server 实例,请确保在 SQL Server 配置管理器中启用 TCP/IP,然后重新启动 SQL Server 的 SQL 服务。使用指定 SQL Server 实例的端口号而不是缺省端口号 (1433)。
  8. 服务器证书窗口中,选择特定于贵组织的证书。此步骤帮助您在您的环境中部署一个安全的AppScan®企业。请参阅服务器证书
  9. (仅升级)。在复原 AppScan Server 设置屏幕中,可选择在 Liberty Server 上复原先前的 AppScan Server 定制设置(缺省值)。该屏幕将在升级时显示一次;如果在稍后运行配置向导,那么该屏幕不会出现。请参阅复原 AppScan Server 设置
  10. 服务器密钥库屏幕中,选择 Enterprise Console 要使用的服务器密钥库。如果已导出 .pfx 文件,请选择公用密钥密码术标准 #12 (PKCS #12)。浏览至保存了此 .pfx 文件的位置,将其导入,并输入导出此文件时创建的密码。请参阅服务器密钥库
  11. 认证机制窗口中,选择要用于登录到 Enterprise Console 的认证机制。默认通过Windows进行身份验证。要使用 LDAP,请参阅 认证机制
    Note:
    如果您需要以通用访问卡 (CAC) 进行认证,请确保您选择 LDAP 作为认证机制。一旦配置了 AppScan Enterprise,请遵循以通用访问卡 (CAC) 进行认证中的指示信息以使用 CAC 进行认证。
  12. 在服务器配置窗口中,
    1. 配置 Liberty 服务器的主机名和端口以供 AppScan Server 使用。如果要使用 Windows 认证,请在该主机名前面加上域名作为前缀。
    2. 尽管不建议此做法,但您可以允许 SSL 连接在扫描期间使用无效或不受信证书。禁用此选项后,扫描日志将出现一条消息,指示扫描时无法将不安全的服务器包括在内。该选项还会影响“手动探索”功能。
    3. : 配置如何修复服务端口(与企业控制台一起安装)。此端口通过HTTP运行,并由ASRA服务器使用以提供如何修复。“修复方法”将显示在应用程序问题的“关于该问题”页面中,并提供修订建议。如果 9444 已使用,可选择其他端口。
  13. (仅升级)在数据库加密更改窗口中,单击帮助以了解如何保护数据库所在的 SQL Server。如果决定不启用 TDE,请选中此复选框,以便您可以继续配置。
    Note:
    AppScan® 企业使用透明数据加密(TDE)技术,该技术在SQL Server 2014及以后版本中可用。TDE 对存储在数据库中或存储在物理介质上的备份中的数据进行加密。如果您要使用较旧版本的 SQL Server,那么该数据库中包含的任何数据都会面临受未授权访问侵害的风险。
  14. 产品管理员窗口中,将用户指定为“产品管理员”。此用户是一个单独许可证,如果您想要重新指定“产品管理员”许可证,您必须重新运行配置向导。请参阅产品管理员
  15. 确保没有人在访问数据库,然后在指定完成窗口中单击完成,以完成配置。该过程可能需要一点时间。
    Note:
    1. Windows服务器上设置IIS AppPool是在配置过程中进行的:
      • IIS 重新启动设置为在凌晨 2:00 执行
      • 空闲超时设置为 120 分钟
    2. 如果您看到指示无法配置代理服务器证书的错误消息,那么该证书可能已到期。请与产品管理员联系以进一步调查。
  16. Optional: 选中启动服务复选框以自动启动服务。
    Note:
    如果您不选择自动启动代理进程服务,那么代理进程不会选取用户创建的任何作业。您可以使用管理工具来手动启动此服务;请参阅验证代理进程服务和警报服务安装情况
  17. 运行缺省设置向导。通过提供许多可配置选项的缺省值,该向导能够帮助您安装样本数据。
  18. 单击退出

运行“缺省设置”向导

通过提供许多可配置选项的缺省值,该向导能够帮助您安装样本数据。您可以创建用户,添加安全测试策略,创建扫描模板,添加预创建的仪表板,并使用Rational®质量管理器或Rational®团队音乐会配置缺陷跟踪集成。

About this task

确保在配置向导完成时选中启动缺省设置向导复选框。

Procedure

  1. 欢迎页面,选择要更新的实例,然后单击下一步
  2. 初始化类型窗口中,选择一种可用的初始化,然后单击下一步
  3. 缺省设置窗口中,配置以下选项并单击下一步
    1. 实例:为此设置选择实例名称。此处已缺省选择在“配置”向导中配置的实例。
    2. 联系方式:由向导创建的项目的名称或联系点。如有必要,您可以稍后对这些项进行编辑。
    3. 根文件夹名称:为默认根文件夹输入一个名称。缺省文件夹用作您创建的所有其他文件夹的根文件夹。
    4. 应用程序URL:输入用户访问应用程序的URL。缺省情况下,此 URL 是当前计算机的 FQDN(标准域名)。
      (例如,http://myserver/mydomain/appscan/)。
  4. (仅限Windows认证):在LDAP设置页面中,如果您使用LDAP服务器,请选择启用LDAP复选框。
    1. 服务器名称字段中,输入 LDAP 组名。
    2. 组查询字段中,输入用于检索用户组信息的组查询的路径。您可以使用 LDAP 服务器或“活动目录”服务器。
    3. Optional: 如果您想要通过使用匿名访问来与 LDAP 服务器集成,请选中匿名访问复选框。缺省情况下禁用此选项。
    4. 单击测试 LDAP 以确认配置有效。
  5. IP 安全许可权页面中,配置允许进行扫描的 IP 地址和范围。使用破折号来定义 IPv4 范围(如 1.2.3.4 -);使用前缀来定义 IPv6 范围(如 fe80::/10)。
  6. 使用样本数据填充数据库页面中,选中填充样本数据复选框以使用扫描模板、预创建仪表板、服务器组和测试策略来填充数据库。
  7. 单击下一步缺省设置向导进度页面将打开,显示设置进度。
  8. 此向导完成后,会打开缺省设置向导完成页面。
  9. 单击退出以关闭向导。

验证 Enterprise Console 的安装

在安装过程完成后,您可以验证 Enterprise Console 的安装。

Procedure

转至 https://domain/ase/ 并登录。

安装HCL®动态分析扫描器

使用此过程安装用于扫描和测试您的 Web 站点应用程序的代理。您可以在多个机器上安装扫描程序。

Before you begin

Note:
  1. 确保你阅读了安装和配置期间必需的用户帐户信息,以便你知道在安装过程中使用哪个用户账户。
  2. 在 Web 站点上使用的任何技术还必须与扫描程序一起安装。例如,如果在任何 Web 页面上使用 Flash,那么您必须安装正确版本的 Flash。

Procedure

  1. 转到您下载可执行文件(ASE_DASSetup_<version>.exe)的目录,并双击该文件。
    Note:
    可能需要一些时间才会显示下一个屏幕。
  2. 许可协议窗口中,选择我接受许可协议中的条款选项,然后单击下一步
  3. 目标文件夹窗口中,单击下一步
  4. 准备安装程序窗口中,单击安装以继续安装过程,然后单击完成

在扫描程序上运行配置向导

在安装或升级服务器或扫描程序后,您必须配置每个已安装的组件,并在所有实例和所有服务器上都运行“配置”向导。

Before you begin

  1. 配置期间,定义要使用的 SQL Server 数据库的名称和位置以及服务帐户名称和密码。运行配置向导的用户必须能够创建数据库和授权。
  2. 在安装AppScan®企业服务器后运行向导会在SQL服务器上设置数据库,并进行组件的初始设置。
  3. 在安装动态分析扫描器后运行向导会将扫描器注册到AppScan®企业服务器。

Procedure

  1. 使用以下其中一种方法来启动“配置”向导:
    1. 安装后,选中“设置向导已完成”窗口中的启动配置向导复选框。
    2. Windows开始菜单中,选择配置向导
  2. 欢迎屏幕中,单击下一步
  3. 在许可证服务器窗口中,单击下一步。
  4. 实例名称窗口,指定您想要配置的实例名称。请参阅实例名称
  5. 服务帐户窗口中,输入域/用户名服务帐户和密码,然后单击下一步。请参阅服务帐户
  6. 数据库连接窗口中,输入 SQL Server 名称和端口号,选择认证方式和您要连接到的数据库的名称。如果选择 SQL 认证,请先输入用户名和密码,然后单击测试连接验证是否可连接到 SQL Server。配置向导在连接成功之前不会继续。当AppScan®企业服务器在SQL服务器中创建数据库时,它会自动为其配置排序规则。
    Note:
    1. AppScan Enterprise 支持使用 Windows 认证和 SQL 认证连接到 SQL 数据库。请参阅关于认证方式的 Microsoft 文章,并选择符合您需求的认证方式。您可以从一种认证方式更改为另一种认证方式,但请务必重新运行配置向导。
    2. 必须在 SQL 服务器上为用户分配 sysadmin 服务器角色。用户还必须具有数据库访问权,并且至少必须被授予 db_ddladmindb_datawriterdb_datareader 权限或 db_owner 权限。
    3. 如果您要从 V8.6 或更低版本升级现有数据库,请在下一个屏幕上输入数据库主密钥密码以访问该数据库。请将此密码保存在安全位置。
    4. 如果您的环境针对 AppScan Enterprise 数据库使用指定的 SQL Server 实例,请确保在 SQL Server 配置管理器中启用 TCP/IP,然后重新启动 SQL Server 的 SQL 服务。使用指定 SQL Server 实例的端口号而不是缺省端口号 (1433)。
  7. (仅升级)在数据库加密更改窗口中,单击帮助以了解如何保护数据库所在的 SQL Server。如果决定不启用 TDE,请选中此复选框,以便您可以继续配置。
    Note:
    AppScan® 企业使用透明数据加密(TDE)技术,该技术在SQL Server 2014及以后版本中可用。TDE 对存储在数据库中或存储在物理介质上的备份中的数据进行加密。如果您要使用较旧版本的 SQL Server,那么该数据库中包含的任何数据都会面临受未授权访问侵害的风险。
  8. 确保没有人在访问数据库,然后在指定完成窗口中单击完成,以完成配置。该过程可能需要一点时间。
    Note:
    1. Windows服务器上设置IIS AppPool是在配置过程中进行的:
      • IIS 重新启动设置为在凌晨 2:00 执行
      • 空闲超时设置为 120 分钟
    2. 如果您看到指示无法配置代理服务器证书的错误消息,那么该证书可能已到期。请与产品管理员联系以进一步调查。
  9. Optional: 选中启动服务复选框以自动启动服务。
    Note:
    如果您不选择自动启动代理进程服务,那么代理进程不会选取用户创建的任何作业。您可以使用管理工具来手动启动此服务;请参阅验证代理进程服务和警报服务安装情况
  10. 单击退出