在多机器环境中安装必需的组件

AppScan® Enterprise 组件可以安装在多台机器上。在此方案中,组件部署在多机器环境中。AppScan® Enterprise 服务器,AppScan® 动态分析扫描器,以及 SQL 服务器数据库都安装在不同的机器上。

关于此任务

本场景分为多个部分:
注:
  1. 假设您已经安装并配置了 SQL Server 数据库,以便在配置 AppScan® Enterprise 服务器时可以获得关键信息。
  2. 如果您是从 AppScan Enterprise 的先前版本升级,请在开始升级之前阅读将 Jazz Team Server 替换为 WebSphere
  3. 要将 Jazz Team Users 用户迁移到使用 Liberty 认证方法,请在开始升级到 v9.0.1 之前,使用 cd <install-dir>\Appscan Enterpise\JazzTeamServer\server\ repotools-jts.bat -exportUsers toFile=C:\users.csv repositoryURL=https://<hostname>:9443/jts 导出用户的 .csv 文件。然后按照本主题中的步骤:为 Liberty 配置基本用户注册表,将用户导入到 Liberty 中。

AppScan® Enterprise 的许可信息

AppScan Enterprise 10.8.0 不再支持 FlexNet 许可 (FNO)。相反,许可必须通过 My HCLSoftware (MHS) 门户进行配置。通过此更改,AppScan Enterprise 现在在应用程序内管理许可证,消除了对本地许可证服务器(LLS)和云许可证服务器(CLS)的依赖。如果从 AppScan Enterprise 10.6.0 或更早版本升级,请停用本地许可证服务器 (LLS)。请参阅知识库文章KB0119306,以获取卸载LLS的说明。要了解更多关于 MHS 门户的信息,请参阅 MHS 帮助

多机环境的许可事项

关于此任务

在多机部署中,每个AppScan Enterprise服务器实例都需要单独的许可证。

  • 动态分析扫描器和 SQL Server 数据库不需要单独的许可证,但必须正确配置以与已授权的 AppScan Enterprise 服务器通信。
  • 在安装之前,请确保在 MHS 门户中分配正确数量的许可证。
  • 未能分配足够的许可证可能会导致安装时出现配置错误。

例如:如果您在不同的机器上安装两个AppScan Enterprise服务器实例,您必须在MHS门户中分配两个单独的许可证。然而,运行扫描器或数据库的额外机器不需要单独的许可证。

在 HCL AppScan Enterprise 中通过 MHS 配置许可

这项任务涵盖了通过 My HCLSoftware (MHS) 门户为 HCL AppScan Enterprise 配置许可的步骤,包括创建部署和分配功能。

开始之前

确保您可以访问MHS门户。

过程

  1. 在MHS中创建部署:
    1. 导航到 MHS 门户 > 部署
    2. 点击 创建部署
    3. 输入部署名称并从产品列表中选择AppScan Enterprise。
    4. 点击 添加部署
  2. 将功能分配到部署中:
    1. 打开新创建的部署。
    2. 审查并分配可用的AppScan Enterprise功能,包括:
      • AppScan Enterprise 动态分析授权用户
      • AppScan Enterprise 动态分析浮动用户
      • AppScan Enterprise 动态分析扫描器安装
      • AppScan Enterprise Interactive Analysis 安装
      • AppScan Enterprise 仅限报告授权用户
      • AppScan Enterprise 仅报告浮动用户
      • AppScan Enterprise 服务器基本安装
    3. 输入每个功能所需的分配计数。
    4. 完成后,点击保存所有更改
      注:
      • AppScan Enterprise 互动分析安装 (IAST) 的计数必须以 4 的倍数输入。
      • 要进行许可证生成,必须为 AppScan Enterprise 服务器基础 或 AppScan Enterprise 服务器安装 分配资源。
      • 如果这些条件不满足,许可证下载时将会发生错误。

安装 HCL®AppScan® Enterprise 服务器

使用此过程可为报告和用户管理任务安装用户管理组件和 Enterprise Console。

开始之前

确保你阅读 安装和配置期间必需的用户帐户信息,以便知道在安装过程中使用哪个用户账户。

过程

  1. 转到下载压缩文件的目录(AppScanEnterpriseServerSetup_<version>.zip),解压文件,然后双击AppScanEnterpriseServerSetup_<version>.exe文件。
    注:
    可能需要一些时间才会显示下一个屏幕。压缩文件包含以下文件:
    • AppScanEnterpriseServerSetup_<版本>.exe
    • HCL AppScan Enterprise Server.msi - 不要运行此文件
    • 数据1.cab
  2. 在安装向导欢迎屏幕中,单击下一步
  3. 许可协议窗口中,选择我接受许可协议中的条款选项,然后单击下一步
  4. 目标文件夹窗口中,执行以下操作之一,然后单击下一步
    1. 单击下一步以接受缺省安装位置。
    2. 单击更改以选择其他安装位置。
  5. 准备安装程序窗口中,单击安装以继续进行安装。
  6. 设置向导已完成屏幕中,单击完成以启动“配置向导”。

运行配置向导以获取指纹密钥

在您安装或升级服务器或扫描器后,必须配置每个已安装的组件,并在所有实例和所有服务器上运行配置向导。AppScan Enterprise 使用 MHS 进行授权。许可过程需要一个指纹密钥,该密钥是在运行配置向导时生成的。如果您需要在运行向导之前生成此密钥,可以使用在生成机器指纹AppScan Enterprise中描述的独立工具。

开始之前

  1. 配置期间,定义要使用的 SQL Server 数据库的名称和位置以及服务帐户名称和密码。运行配置向导的用户必须能够创建数据库和授权。
  2. 如果您遇到错误“**警告** 无法为本地目录“C:\Program Files (x86)\HCL\AppScan Enterprise\WebApp”配置虚拟目录“ase”。确保 IIS 已正确配置,然后重试。请考虑在运行配置向导时禁用反病毒软件。如果您不希望禁用反病毒软件,那么可以从反病毒配置中排除 AppScan Enterprise 文件夹,然后再次运行配置向导。
    重要:
    在运行 AppScan Enterprise 的同一计算机上运行的个人防火墙和反病毒软件可能会阻止通信,并导致在安装和配置期间发生配置故障。在运行扫描程序时,还会导致结果不准确和性能降低。为了获得最佳结果,请不要在计算机上运行防火墙或反病毒软件。

过程

  1. 安装完成后,将自动启动“配置”向导。您还可以通过以管理员身份从Windows开始菜单中选择配置向导来启动它。
  2. 欢迎屏幕中,单击下一步
  3. 许可证服务器窗口中,复制屏幕上显示的指纹密钥。此密钥是您机器独有的,并且需要它来生成有效的许可证。

生成和应用许可证文件

这项任务涵盖了为AppScan Enterprise生成和应用许可证文件的步骤,包括生成、配置和放置许可证文件。

开始之前

确保您在MHS中有一个分配了许可证的部署。参考 通过 MHS 在 HCL AppScan Enterprise 中配置许可

过程

  1. 生成许可证文件:
    1. 请前往MHS门户 > 部署
    2. 找到您现有的部署,然后点击部署旁边的“三点菜单”。
    3. 点击 下载许可证文件
    4. 在下载许可证文件窗口中,粘贴指纹密钥(从配置向导或独立实用程序中复制)。
    5. 完成后,点击提交以下载许可证文件。
  2. 应用许可证文件:
    1. 将下载的许可证文件复制到AppScan安装目录(例如,C:\Program Files (x86)\HCL\AppScan Enterprise)。
    2. 文件名必须是AppScanEnterprise_License.license
    注:
    每当AppScanEnterprise_License文件被修改时,例如许可证到期或任何其他更改,AppScan Enterprise不会自动识别更新。为了确保正常功能,在修改许可证文件后重新启动AppScan Enterprise服务。

完成配置向导

在应用许可证后,按照步骤完成AppScan Enterprise的配置。如果您安装或升级服务器或扫描器,您必须配置每个已安装的组件,并在所有实例和所有服务器上运行配置向导。

开始之前

  1. 配置期间,定义要使用的 SQL Server 数据库的名称和位置以及服务帐户名称和密码。运行配置向导的用户必须能够创建数据库和授权。
  2. 安装 AppScan® Enterprise 服务器后运行向导,会在 SQL Server 上设置数据库并完成组件的初始设置。
  3. 安装动态分析扫描器后运行向导会将扫描器注册到 AppScan® Enterprise 服务器。
  4. 确保许可证文件已放置在 AppScan 安装目录中。请参阅生成和应用许可证文件

过程

  1. 再次以管理员身份从Windows开始菜单或从安装目录(例如,C:\Program Files (x86)\HCL\AppScan Enterprise\WFCfgWiz.exe)打开配置向导。
  2. 欢迎屏幕中,单击下一步
  3. 许可证服务器窗口中,点击下一步
  4. 服务器组件窗口中,选择要配置的组件。您可用的组件取决于您的许可证。请参阅服务器组件如果您要在一个机器上安装组件,请选中所有复选框,即使您先前已安装了其中一个组件。
  5. 实例名称窗口,指定您想要配置的实例名称。请参阅实例名称
  6. 服务帐户窗口中,输入域/用户名服务帐户和密码,然后单击下一步。请参阅服务帐户
  7. 数据库连接窗口中,输入 SQL Server 名称和端口号,选择认证方式和您要连接到的数据库的名称。如果选择 SQL 认证,请先输入用户名和密码,然后单击测试连接验证是否可连接到 SQL Server。配置向导在连接成功之前不会继续。当 AppScan® Enterprise 服务器在 SQL Server 中创建数据库时,它会自动配置排序规则。
    注:
    1. AppScan Enterprise 支持使用 Windows 认证和 SQL 认证连接到 SQL 数据库。请参考微软关于身份验证模式的文章,并选择符合您要求的身份验证模式。您可以从一种认证方式更改为另一种认证方式,但请务必重新运行配置向导。
    2. 用户必须在 SQL 服务器上被分配一个 sysadmin 服务器角色。用户还必须具有数据库访问权限,并且必须被授予至少db_ddladmindb_datawriterdb_datareader权限,或者db_owner权限。
    3. 如果您要从 V8.6 或更低版本升级现有数据库,请在下一个屏幕上输入数据库主密钥密码以访问该数据库。请将此密码保存在安全位置。
    4. 如果您的环境针对 AppScan Enterprise 数据库使用指定的 SQL Server 实例,请确保在 SQL Server 配置管理器中启用 TCP/IP,然后重新启动 SQL Server 的 SQL 服务。使用指定 SQL Server 实例的端口号而不是缺省端口号 (1433)。
  8. 服务器证书窗口中,选择特定于贵组织的证书。此步骤帮助您在您的环境中部署一个安全的AppScan®Enterprise 。请参阅服务器证书
  9. (仅升级)。在复原 AppScan Server 设置屏幕中,可选择在 Liberty Server 上复原先前的 AppScan Server 定制设置(缺省值)。该屏幕将在升级时显示一次;如果在稍后运行配置向导,那么该屏幕不会出现。请参阅复原 AppScan Server 设置
  10. 服务器密钥库屏幕中,选择 Enterprise Console 要使用的服务器密钥库。如果已导出 .pfx 文件,请选择公用密钥密码术标准 #12 (PKCS #12)。浏览至保存了此 .pfx 文件的位置,将其导入,并输入导出此文件时创建的密码。请参阅服务器密钥库
  11. 认证机制窗口中,选择要用于登录到 Enterprise Console 的认证机制。默认情况下,通过Windows进行身份验证。要使用 LDAP,请参阅 认证机制
    注:
    如果您需要以通用访问卡 (CAC) 进行认证,请确保您选择 LDAP 作为认证机制。一旦配置了 AppScan Enterprise,请遵循以通用访问卡 (CAC) 进行认证中的指示信息以使用 CAC 进行认证。
  12. 在服务器配置窗口中,
    1. 配置 Liberty 服务器的主机名和端口以供 AppScan Server 使用。如果要使用 Windows 认证,请在该主机名前面加上域名作为前缀。
    2. 尽管不建议此做法,但您可以允许 SSL 连接在扫描期间使用无效或不受信证书。禁用此选项后,扫描日志将出现一条消息,指示扫描时无法将不安全的服务器包括在内。该选项还会影响“手动探索”功能。
    3. 配置 How to Fix 服务端口(与 Enterprise Console 一起安装)。此端口通过 HTTP 运行,并由 ASRA 服务器用于提供 How to Fix。“修复方法”将显示在应用程序问题的“关于该问题”页面中,并提供修订建议。如果 9444 已使用,可选择其他端口。
  13. (仅升级)在数据库加密更改窗口中,单击帮助以了解如何保护数据库所在的 SQL Server。如果决定不启用 TDE,请选中此复选框,以便您可以继续配置。
    注:
    AppScan® Enterprise 使用透明数据加密(TDE)技术,该技术在 SQL Server 2014 及更高版本中可用。TDE 对存储在数据库中或存储在物理介质上的备份中的数据进行加密。如果您要使用较旧版本的 SQL Server,那么该数据库中包含的任何数据都会面临受未授权访问侵害的风险。
  14. 产品管理员窗口中,将用户指定为“产品管理员”。此用户是一个单独许可证,如果您想要重新指定“产品管理员”许可证,您必须重新运行配置向导。请参阅产品管理员
  15. 确保没有人在访问数据库,然后在指定完成窗口中单击完成,以完成配置。该过程可能需要一点时间。
    注:
    1. 在配置期间,Windows 服务器上的 IIS 应用程序池设置会被设定:
      • IIS 重新启动设置为在凌晨 2:00 执行
      • 空闲超时设置为 120 分钟
    2. 如果您看到指示无法配置代理服务器证书的错误消息,那么该证书可能已到期。请与产品管理员联系以进一步调查。
  16. 可选: 选中启动服务复选框以自动启动服务。
    注:
    如果您不选择自动启动代理进程服务,那么代理进程不会选取用户创建的任何作业。您可以使用管理工具来手动启动此服务;请参阅验证代理进程服务和警报服务安装情况
  17. 运行缺省设置向导。通过提供许多可配置选项的缺省值,该向导能够帮助您安装样本数据。
  18. 单击退出

运行“缺省设置”向导

通过提供许多可配置选项的缺省值,该向导能够帮助您安装样本数据。您可以创建用户、添加安全测试策略、创建扫描模板、添加预创建的仪表板,并配置与Rational® Quality Manager或Rational® Team Concert的缺陷跟踪集成。

关于此任务

确保在配置向导完成时选中启动缺省设置向导复选框。

过程

  1. 欢迎页面,选择要更新的实例,然后单击下一步
  2. 初始化类型窗口中,选择一种可用的初始化,然后单击下一步
  3. 缺省设置窗口中,配置以下选项并单击下一步
    1. 实例:为此设置选择实例名称。此处已缺省选择在“配置”向导中配置的实例。
    2. 联系人:由向导创建的项目的名称或联系点。如有必要,您可以稍后对这些项进行编辑。
    3. 根文件夹名称:输入默认根文件夹的名称。缺省文件夹用作您创建的所有其他文件夹的根文件夹。
    4. 应用程序网址:输入用户访问应用程序的网址。缺省情况下,此 URL 是当前计算机的 FQDN(标准域名)。
      (例如,http://myserver/mydomain/appscan/)。
  4. Windows 身份验证仅限):在 LDAP 设置 页面上,如果您使用 LDAP 服务器,请选中 启用 LDAP 复选框。
    1. 服务器名称字段中,输入 LDAP 组名。
    2. 组查询字段中,输入用于检索用户组信息的组查询的路径。您可以使用 LDAP 服务器或“活动目录”服务器。
    3. 可选: 如果您想要通过使用匿名访问来与 LDAP 服务器集成,请选中匿名访问复选框。缺省情况下禁用此选项。
    4. 单击测试 LDAP 以确认配置有效。
  5. IP 安全许可权页面中,配置允许进行扫描的 IP 地址和范围。使用破折号来定义 IPv4 范围(如 1.2.3.4 -);使用前缀来定义 IPv6 范围(如 fe80::/10)。
  6. 使用样本数据填充数据库页面中,选中填充样本数据复选框以使用扫描模板、预创建仪表板、服务器组和测试策略来填充数据库。
  7. 单击下一步缺省设置向导进度页面将打开,显示设置进度。
  8. 此向导完成后,会打开缺省设置向导完成页面。
  9. 单击退出以关闭向导。

验证 Enterprise Console 的安装

在安装过程完成后,您可以验证 Enterprise Console 的安装。

过程

转至 https://domain/ase/ 并登录。

安装 HCL® 动态分析扫描器

使用此过程安装用于扫描和测试您的 Web 站点应用程序的代理。您可以在多个机器上安装扫描程序。

开始之前

注:
  1. 确保你阅读 安装和配置期间必需的用户帐户信息,以便知道在安装过程中使用哪个用户账户。
  2. 在 Web 站点上使用的任何技术还必须与扫描程序一起安装。例如,如果在任何 Web 页面上使用 Flash,那么您必须安装正确版本的 Flash。

过程

  1. 前往下载可执行文件的目录(ASE_DASSetup_<version>.exe),然后双击该文件。
    注:
    可能需要一些时间才会显示下一个屏幕。
  2. 许可协议窗口中,选择我接受许可协议中的条款选项,然后单击下一步
  3. 目标文件夹窗口中,单击下一步
  4. 准备安装程序窗口中,单击安装以继续安装过程,然后单击完成

在扫描程序上运行配置向导

在安装或升级服务器或扫描程序后,您必须配置每个已安装的组件,并在所有实例和所有服务器上都运行“配置”向导。

开始之前

  1. 配置期间,定义要使用的 SQL Server 数据库的名称和位置以及服务帐户名称和密码。运行配置向导的用户必须能够创建数据库和授权。
  2. 安装 AppScan® Enterprise 服务器后运行向导,会在 SQL Server 上设置数据库并完成组件的初始设置。
  3. 安装动态分析扫描器后运行向导会将扫描器注册到 AppScan® Enterprise 服务器。

过程

  1. 使用以下其中一种方法来启动“配置”向导:
    1. 安装后,选中“设置向导已完成”窗口中的启动配置向导复选框。
    2. Windows开始菜单中,选择配置向导
  2. 欢迎屏幕中,单击下一步
  3. 许可证服务器窗口中,点击下一步
  4. 实例名称窗口,指定您想要配置的实例名称。请参阅实例名称
  5. 服务帐户窗口中,输入域/用户名服务帐户和密码,然后单击下一步。请参阅服务帐户
  6. 数据库连接窗口中,输入 SQL Server 名称和端口号,选择认证方式和您要连接到的数据库的名称。如果选择 SQL 认证,请先输入用户名和密码,然后单击测试连接验证是否可连接到 SQL Server。配置向导在连接成功之前不会继续。当 AppScan® Enterprise 服务器在 SQL Server 中创建数据库时,它会自动配置排序规则。
    注:
    1. AppScan Enterprise 支持使用 Windows 认证和 SQL 认证连接到 SQL 数据库。请参考微软关于身份验证模式的文章,并选择符合您要求的身份验证模式。您可以从一种认证方式更改为另一种认证方式,但请务必重新运行配置向导。
    2. 用户必须在 SQL 服务器上被分配一个 sysadmin 服务器角色。用户还必须具有数据库访问权限,并且必须被授予至少db_ddladmindb_datawriterdb_datareader权限,或者db_owner权限。
    3. 如果您要从 V8.6 或更低版本升级现有数据库,请在下一个屏幕上输入数据库主密钥密码以访问该数据库。请将此密码保存在安全位置。
    4. 如果您的环境针对 AppScan Enterprise 数据库使用指定的 SQL Server 实例,请确保在 SQL Server 配置管理器中启用 TCP/IP,然后重新启动 SQL Server 的 SQL 服务。使用指定 SQL Server 实例的端口号而不是缺省端口号 (1433)。
  7. (仅升级)在数据库加密更改窗口中,单击帮助以了解如何保护数据库所在的 SQL Server。如果决定不启用 TDE,请选中此复选框,以便您可以继续配置。
    注:
    AppScan® Enterprise 使用透明数据加密(TDE)技术,该技术在 SQL Server 2014 及更高版本中可用。TDE 对存储在数据库中或存储在物理介质上的备份中的数据进行加密。如果您要使用较旧版本的 SQL Server,那么该数据库中包含的任何数据都会面临受未授权访问侵害的风险。
  8. 确保没有人在访问数据库,然后在指定完成窗口中单击完成,以完成配置。该过程可能需要一点时间。
    注:
    1. 在配置期间,Windows 服务器上的 IIS 应用程序池设置会被设定:
      • IIS 重新启动设置为在凌晨 2:00 执行
      • 空闲超时设置为 120 分钟
    2. 如果您看到指示无法配置代理服务器证书的错误消息,那么该证书可能已到期。请与产品管理员联系以进一步调查。
  9. 可选: 选中启动服务复选框以自动启动服务。
    注:
    如果您不选择自动启动代理进程服务,那么代理进程不会选取用户创建的任何作业。您可以使用管理工具来手动启动此服务;请参阅验证代理进程服务和警报服务安装情况
  10. 单击退出