Solucionar problemas de instalación de Secure Relay

  • Causa: durante la instalación de Secure Relay, el software de detección y respuesta de puntos de conexión (EDR) o los programas antivirus pueden interferir con el proceso al eliminar automáticamente el archivo de configuración envoy.yaml. Este archivo es fundamental para que Secure Relay funcione correctamente. Si se elimina, la instalación falla.

  • Mensaje de error: si sospecha que el error en la instalación se debe a que el software EDR o antivirus eliminaron el archivo envoy.yaml, puede consultar el registro de errores de MSI para confirmarlo. El registro de errores de MSI se genera en la carpeta TEMP del sistema. Busque el siguiente mensaje de error: Error: The file envoy.yaml is missing (Error: Falta el archivo envoy.yaml).

    Si este error aparece en el registro, indica que, probablemente, un software de seguridad eliminó el archivo envoy.yaml durante el proceso de instalación.

  • Solución: para resolver este problema y garantizar una instalación correcta, siga los pasos a continuación:

    1. Permita la carpeta de instalación o el archivo de configuración:

      • Configure el software EDR o antivirus para excluir el siguiente directorio de los escaneos y acciones de eliminación: [ruta_de_instalación]\Tenable.ad\SecureRelay\

      • Como alternativa, puede incluir en la whitelist el archivo [ruta_de_instalación]\Tenable.ad\SecureRelay\envoy.yaml si no puede excluir la carpeta entera.

    2. Reintentar la instalación: después de agregar las exclusiones necesarias, vuelva a ejecutar la instalación de Secure Relay.

  • Causa: durante la actualización, el instalador no detecta la variable de entorno para la dirección IP del host de Ceti y establece el valor predeterminado “127.0.0.1”.

  • Mensaje de error: Falló la conexión debido a un error inesperado durante la transmisión.

  • Solución:

    1. Verifique la variable de entorno “TENABLE_CASSIOPEIA_CETI_Service__Broker__Host” en el servidor de Directory Listener.

    2. Asegúrese de que esté definida en la dirección IP de Security Engine Node. Si la variable está definida en el valor predeterminado “127.0.0.1”, provoca que la instalación de Secure Relay falle.

    3. Después de actualizar la variable de entorno “TENABLE_CASSIOPEIA_CETI_Service__Broker__Host”, reinicie el servicio Ceti.

    4. Comience nuevamente la instalación de Secure Relay. De lo contrario, se revierte y deja los servicios Relay y Envoy instalados y bloquea toda instalación futura.

  • Causa: la dirección IP del servidor de Ceti no se configuró durante la actualización o instalación del servidor de Security Engine Node. El instalador tiene como valor predeterminado “127.0.0.1”:

  • Mensaje de error: Error de conexión: no se puede conectar al servidor remoto.

Para el servicio “tenable_envoy_server” en estado de pausa: identifique la aplicación que actualmente ocupa el puerto 0.0.0.0:443 mediante el comando de PowerShell netstat -anob | findstr 443. Si encuentra otra aplicación, quítela o deténgala para resolver el conflicto y permitir el correcto funcionamiento del servicio “tenable_envoy_server”.

Solución:

  1. Inicie sesión en el servidor de Security Engine Node.

    • Si utiliza una arquitectura dividida de Security Engine Node, inicie sesión en el servidor que ejecuta el servicio Eridanis.

  2. Abra “Variables de entorno” y busque el nombre de variable ERIDANIS_CETI_PUBLIC_DOMAIN.

  3. Edite el valor de la variable ERIDANIS_CETI_PUBLIC_DOMAIN para insertar la dirección IP o el nombre de host de Directory Listener:

    • Actualice la variable de entorno ERIDANIS_CETI_PUBLIC_DOMAIN para que coincida con la dirección IP o el nombre de host de Directory Listener. Esta sincronización facilita la comunicación fluida entre los componentes implementados en servidores independientes.

    • El valor de la variable “ERIDANIS_CETI_PUBLIC_DOMAIN” cambia de 127.0.0.1 a la dirección IP o el nombre de host de Directory Listener listener.test.lab.

  1. Abra “Servicios” y detenga el servicio tenable_Eridanis.

  1. Inicie el servicio tenable_Eridanis.

  1. Inicie sesión en el servidor de Secure Relay. Salga del instalador de Secure Relay si ya está abierto y vuelva a comenzar la instalación de Secure Relay.

Precaución: Asegúrese de salir del instalador y comenzar una nueva instalación. Si no sale del instalador y continúa con la instalación, el proceso de instalación se interrumpe y no se puede continuar (bloqueador).

  • Causa: el instalador no puede encontrar los certificados de entidad de certificación en el servidor local.

  • Mensaje de error: Error de conexión: la conexión subyacente se cerró: no se pudo establecer una relación de confianza para el canal seguro SSL/TLS.

  • Solución:

    1. Acceda al sistema de origen (servidor de Directory Listener) o al repositorio donde residen los certificados de CA de confianza y busque dichos certificados, en general en directorios como:

      • Ubicación predeterminada de los certificados autofirmados: “unidad_de_instalación”:\Tenable\Tenable.ad\DefaultPKI\Certificates\ca

      • Ubicación personalizada de los certificados: “unidad_de_instalación”:\Tenable\Tenable.ad\Certificates\

    2. Copie los archivos de certificados de entidad de certificación de confianza del sistema de origen (servidor de Directory Listener) en el servidor local (servidor de Secure Relay).

    3. Importe los certificados al almacén de certificados de confianza del servidor de Secure Relay.

    4. Después de una importación correcta, salga del instalador de Secure Relay y vuelva a comenzar la instalación.

      Precaución: Asegúrese de salir del instalador y comenzar una nueva instalación. Si no sale del instalador y continúa con la instalación, el proceso de instalación se interrumpe y no se puede continuar (bloqueador).