更新服务器证书和维护客户端服务器连接的最佳做法

在下列情况中,您可能需要更新安全性证书:
  • 您还原客户端已使用的以前的安全证书。
  • 您想使用默认证书 (.JKS) 以外的不同安全证书。
当客户端与服务器使用安全通信时,服务器证书会在服务器与客户端之间交换。这种交换会在服务器与客户端之间建立一种信任关系。当服务器上的证书发生变化时,便会破坏这种信任关系,客户端也无法再进行通信。这一问题称作孤立客户端。
按照下面的过程可以更新一台管理服务器,也可以同时更新多台管理服务器。
更新服务器证书的步骤”列出在不孤立服务器管理的客户端情况下更新证书的步骤。
更新服务器证书的步骤
步骤 :
说明
步骤 1:中断复制关系*
如果您要更新的管理服务器使用其他管理服务器进行复制,请中断这种复制关系。
步骤 2:禁用服务器证书验证
在服务器与客户端之间禁用安全通信。当您禁用验证时,客户端会在服务器更新服务器证书时保持连接。
步骤 3:等待所有客户端都接收完更新的策略
基于具体下列因素,部署更新策略的过程可能需要一周或更长的时间:
  • 连接到管理服务器的客户端数目。如果安装规模很大,则可能花费几天才能完成此过程,因为受管客户端必须保持联机才能接收新策略。
  • 有些用户可能正在休假,因而他们的计算机处于脱机状态。
步骤 4:更新服务器证书
更新服务器证书. 如果您还计划升级管理服务器,请先升级证书。
您必须重新启动下列服务才能使用新证书:
  • Symantec Endpoint Protection Manager
    服务
  • Symantec Endpoint Protection Manager
    Webserver 服务
  • Symantec Endpoint Protection Manager
    API 服务
    (从版本 14 开始)
步骤 5:再次启用服务器证书验证
再次启用服务器与客户端之间的安全通信。
步骤 6:等待所有客户端都接收完更新的策略
客户端计算机必须从上一个步骤接收策略更改。
步骤 7:还原复制关系*
如果您更新的管理服务器使用其他管理服务器进行复制,请还原这种复制关系。
* 仅当在
Symantec Endpoint Protection Manager
环境中使用复制时,才需执行上述步骤。