更新管理服务器上的服务器证书而不与客户端断开通信

Symantec Endpoint Protection Manager
使用证书验证自身与
Symantec Endpoint Protection
客户端之间的通信。 证书还会以数字方式对客户端从中下载的策略文件和安装包进行签名。 客户端将证书的缓存副本存储在管理服务器列表中。 如果证书损坏或无效,客户端就不能与服务器通信。 如果禁用安全通信,客户端仍可与服务器进行通信,但不会验证管理服务器的通信。
在以下情况中,可以禁用安全通信以更新证书:
  • 具有单个
    Symantec Endpoint Protection Manager
    的站点
  • 具有多个
    Symantec Endpoint Protection Manager
    的站点(如果无法启用故障转移或负载均衡)
如果证书已损坏但仍然有效,则可以执行灾难恢复作为最佳做法。
更新证书且客户端已登记并接收证书之后,将再次启用安全通信。
当您在具有多个管理服务器的站点上更新证书并使用故障转移或负载均衡时,证书将在管理服务器列表中更新。 在故障转移或负载均衡过程中,客户端将接收更新的管理服务器列表和新证书。
步骤 15 仅适用于版本 14 及更高版本。 如果使用 12.x,请从步骤 6 开始。
  1. 若要在不中断与客户端通信的情况下更新单个管理服务器站点上的服务器证书,请单击
    “策略”>“策略组件”>“管理服务器列表”
  2. 在“
    任务
    ”下,单击“
    复制列表
    ”,然后单击“
    粘贴列表
    ”。
  3. 双击列表副本以对其进行编辑,然后进行以下更改:
    • 单击“
      使用 HTTP 协议
      ”。
    • 对于每个服务器地址,在“
      管理服务器
      ”下,单击“
      编辑
      ”,然后单击“
      自定义 HTTP 端口
      ”。
      将其保留为默认值 8014。 如果使用自定义端口,请在此处使用。
  4. 单击“
    确定
    ”,再单击“
    确定
    ”。
  5. 右键单击列表副本,然后单击“
    分配
    ”。
  6. 在控制台上,单击
    “客户端”>“策略”>“常规设置”
  7. 在“
    安全设置
    ”选项卡上,取消选中“
    使用数字证书进行身份验证,以启用管理服务器与客户端之间的安全连接
    ”,然后单击“
    确定
    ”。
  8. 在所有组上做出此更改之后且移动到步骤 9 之前,至少需等待三个检测信号周期。
    另外,请确保您为组配置的此设置不会继承父组。
  9. 更新服务器证书。
  10. 单击“
    确定
    ”。
    要重新启用原始设置,请至少等待三个检测信号周期,重新选中“
    使用数字证书进行身份验证,以启用管理服务器与客户端之间的安全连接
    ”,然后将原始管理服务器列表重新分配到您的组。
  11. 若要在不中断与客户端的通信的情况下更新多管理服务器站点上的服务器证书,请确保在控制台上配置客户端以在至少一个其他
    Symantec Endpoint Protection Manager
    上进行负载均衡或故障转移。
    如果无法启用负载均衡或故障转移,请使用单个管理服务器站点过程来先禁用安全通信,然后重新启用它。
    由于通信模块发生更改,客户端版本 14.2.x 无法使用此方法更新服务器证书。为了避免中断与这些客户端的通信,请对这些客户端版本(甚至对于多管理服务器站点)使用单一管理服务器站点过程。
  12. Symantec Endpoint Protection Manager
    上更新服务器证书。
  13. 至少等待三个检测信号周期,然后在站点的下一个
    Symantec Endpoint Protection Manager
    上更新服务器证书。
  14. 重复步骤 23,直到站点上的每个
    Symantec Endpoint Protection Manager
    均具有新证书为止。
    外出或休假的用户可能无法在其设备上收到这些更新,因为设备处于离线状态。 许多机构会将故障转移方法运行 30 天甚至更久,以尽可能涵盖更多外出客户端。 您可能需要留下一个
    Symantec Endpoint Protection Manager
    ,让它使用旧证书运行 90 天,确保不会遗弃这些用户。