Atualizar o certificado de servidor no servidor de gerenciamento sem interromper as comunicações com o cliente

O
Symantec Endpoint Protection Manager
usa um certificado para autenticar as comunicações entre ele e os clientes do
Symantec Endpoint Protection
. O certificado também assina digitalmente os arquivos de política e os pacotes de instalação que o cliente obtém por download. Os clientes armazenam uma cópia em cache do certificado na lista de servidores de gerenciamento. Se o certificado estiver corrompido ou for inválido, o cliente não poderá se comunicar com o servidor. Se você desativar as comunicações seguras, os clientes ainda poderão se comunicar com o servidor, mas não autenticarão as comunicações do servidor de gerenciamento.
Desative as comunicações seguras para atualizar o certificado nas seguintes situações:
  • Um site com um único
    Symantec Endpoint Protection Manager
  • Um site com mais de um
    Symantec Endpoint Protection Manager
    , se você não puder ativar o failover ou o balanceamento de carga
Se o certificado estiver corrompido, mas ainda for válido, convém executar a recuperação após desastres como prática recomendada.
Depois que você atualizar o certificado e os clientes fizerem check-in e o receberem, ative as comunicações seguras novamente.
Quando você atualizar o certificado em um site com vários servidores de gerenciamento e usar failover ou balanceamento de carga, o certificado será atualizado na lista de servidores de gerenciamento. Durante o processo de failover ou balanceamento de carga, o cliente recebe a lista de servidores de gerenciamento atualizada e o novo certificado.
As etapas de 1 a 5 se aplicam somente à versão 14 e superior. Se você usar a versão 12.x, inicie na etapa 6.
  1. Para atualizar o certificado de servidor em um único site do servidor de gerenciamento sem interromper as comunicações com o cliente, no console, clique em
    Políticas > Componentes das políticas > Listas de servidores de gerenciamento
    .
  2. Em
    Tarefas
    , clique em
    Copiar a lista
    e, em seguida, clique em
    Colar lista
    .
  3. Clique duas vezes na cópia da lista para editá-la e, em seguida, faça as seguintes alterações:
    • Clique em
      Usar protocolo HTTP
      .
    • Para cada endereço de servidor em
      Servidores de gerenciamento
      , clique em
      Editar
      e, em seguida, clique em
      Personalizar porta HTTP
      .
      Deixe-a no padrão de 8014. Se você usar uma porta personalizada, use-a aqui.
  4. Clique em
    OK
    e em
    OK
    novamente.
  5. Clique com o botão direito na cópia da lista e depois em
    Atribuir
    .
  6. No console, clique em
    Clientes > Políticas > Configurações gerais
    .
  7. Na guia
    Configurações de segurança
    , desmarque
    Ativar comunicações seguras entre o servidor de gerenciamento e os clientes usando certificados digitais para autenticação
    e clique em
    OK
    .
  8. Aguarde pelo menos três ciclos de pulsação após fazer essa alteração em todos os grupos antes de passar para a etapa 9.
    Defina também essa configuração para os grupos que não herdam de um grupo pai.
  9. Atualizar a certificação de servidor.
  10. Clique em
    OK
    .
    Para reativar as configurações originais, espere pelo menos três ciclos de pulsação, marque novamente
    Ativar comunicações seguras entre o servidor de gerenciamento e os clientes usando certificados digitais para autenticação
    e reatribua a lista de servidores de gerenciamento original a seus grupos.
  11. Para atualizar o certificado de servidor em um site de servidor com diversos gerenciamentos sem interromper as comunicações com o cliente, no console, certifique-se de que os clientes estejam configurados para balancear a carga ou failover em pelo menos um outro
    Symantec Endpoint Protection Manager
    .
    Se não for possível ativar o balanceamento de carga ou o failover, use o procedimento de um único site do servidor de gerenciamento para desativar as comunicações seguras e reative-as em seguida.
    Devido a uma alteração no módulo de comunicação, as versões do cliente 14.2.x não podem usar esse método para atualizar o certificado do servidor.Para evitar a interrupção da comunicação com esses clientes, use o procedimento do site único do servidor de gerenciamento para essas versões de cliente, até mesmo para sites de servidor com vários gerenciamentos.
  12. Atualize o certificado de servidor no
    Symantec Endpoint Protection Manager
    .
  13. Aguarde pelo menos três ciclos de pulsação e atualize o certificado de servidor no próximo
    Symantec Endpoint Protection Manager
    do site.
  14. Repita as etapas 2 e 3 até que cada
    Symantec Endpoint Protection Manager
    do site tenha o novo certificado.
    Os usuários que estiverem fora do escritório ou em licença poderão não receber essas atualizações no dispositivo, pois elas são realizadas offline. Muitas instituições executam o método de failover por 30 dias ou mais para abranger o maior número possível de clientes externos. Convém deixar um
    Symantec Endpoint Protection Manager
    em execução por 90 dias com o certificado antigo para se certificar de que esses usuários não fiquem órfãos.