Aktualisieren des Serverzertifikats auf dem Management-Server ohne Unterbrechung der Kommunikation mit dem Client

Symantec Endpoint Protection Manager
verwendet ein Zertifikat, um die Kommunikation mit den
Symantec Endpoint Protection
-Clients zu authentifizieren. Dieses Zertifikat versieht auch die Richtliniendateien und Installationspakete, die vom Client heruntergeladen werden, mit einer digitalen Signatur. Die Clients speichern eine Cache-Kopie des Zertifikats auf der Management-Server-Liste. Wenn das Zertifikat beschädigt oder ungültig ist, können Clients nicht mit dem Server kommunizieren. Wenn Sie die sichere Kommunikation deaktivieren, können die Clients mit dem Server noch kommunizieren, authentifizieren aber keine Kommunikation vom Management-Server.
Sie sollten die sichere Kommunikation zum Aktualisieren des Zertifikats in den folgenden Situationen deaktivieren:
  • Eine Website mit einer einzigen Instanz von
    Symantec Endpoint Protection Manager
  • Eine Website mit mehreren Instanzen von
    Symantec Endpoint Protection Manager
    , wenn kein Failover oder Lastenausgleich möglich ist
Wenn das Zertifikat beschädigt, aber ansonsten immer noch gültig ist, können Sie als Best Practice die Notfallwiederherstellung ausführen.
Nach dem Aktualisieren des Zertifikats und nachdem die Clients es abgefragt und erhalten haben, können Sie die sichere Kommunikation wieder aktivieren.
Wenn Sie das Zertifikat auf einer Website mit mehreren Management-Servern aktivieren und Failover oder Lastenausgleich auslösen, wird das Zertifikat auf der Management-Server-Liste aktualisiert. Während des Failovers oder des Lastenausgleichs erhält der Client die aktualisierte Management-Server-Liste und das neue Zertifikat.
Schritt 1 bis 5 gelten nur für Version 14 und höher. Wenn Sie Version 12.x verwenden, beginnen Sie mit Schritt 6.
  1. Um das Serverzertifikat auf einem einzigen Management-Server zu aktualisieren, ohne die Kommunikation mit dem Client zu unterbrechen, klicken Sie in der Konsole auf
    Richtlinien > Richtlinienkomponenten > Management-Server-Listen
    .
  2. Klicken Sie unter "
    Aufgaben
    " auf "
    Liste kopieren
    " und klicken Sie dann auf "
    Liste einfügen
    ".
  3. Doppelklicken Sie auf die Kopie der Liste, um sie zu bearbeiten, und nehmen Sie die folgenden Änderungen vor:
    • Klicken Sie auf "
      HTTP-Protokoll verwenden
      ".
    • Für jede Serveradresse unter "
      Management-Server
      " klicken Sie auf "
      Bearbeiten
      " und dann auf "
      HTTP-Port anpassen
      ".
      Belassen Sie den Standardwert "8014". Wenn Sie einen benutzerdefinierten Port verwenden, geben Sie ihn hier ein.
  4. Klicken Sie auf
    OK
    und klicken Sie dann erneut auf
    OK
    .
  5. Klicken Sie mit der rechten Maustaste auf die Kopie der Liste und wählen Sie im Kontextmenü die Option "
    Zuweisen
    ".
  6. Klicken Sie in der Konsole auf "
    Clients > Richtlinien > Allgemeine Einstellungen
    ".
  7. Deaktivieren Sie auf der Registerkarte "
    Sicherheitseinstellungen
    " die Option "
    Sichere Kommunikation zwischen dem Management-Server und den Clients mithilfe digitaler Zertifikate für die Authentifizierung aktivieren
    " und klicken Sie dann auf "
    OK
    ".
  8. Warten Sie nach dem Vornehmen dieser Änderung für mindestens drei Heartbeat-Zyklen für alle Gruppen, bevor Sie mit Schritt 9 fortfahren.
    Stellen Sie sicher, dass Sie diese Einstellung auch für die Gruppen konfigurieren, die keine Einstellungen von einer übergeordneten Gruppe übernehmen.
  9. Aktualisieren Sie das Serverzertifikat.
  10. Klicken Sie auf
    OK
    .
    Warten Sie zum erneuten Aktivieren der ursprünglichen Einstellungen mindestens drei Heartbeat-Zyklen und aktivieren Sie dann erneut das Kontrollkästchen "
    Sichere Kommunikation zwischen dem Management-Server und den Clients mithilfe digitaler Zertifikate für die Authentifizierung aktivieren
    " und weisen Sie die ursprünglichen Management-Server-Listen wieder Ihren Gruppen zu.
  11. Um das Serverzertifikat für einen Standort mit mehreren Management-Servern zu aktualisieren, ohne die Kommunikation mit dem Client zu unterbrechen, stellen Sie in der Konsole sicher, dass Ihre Clients so konfiguriert sind, dass der Lastenausgleich oder das Failover auf mindestens einen anderen
    Symantec Endpoint Protection Manager
    festgelegt ist.
    Wenn Lastenausgleich oder Failover nicht möglich ist, folgen Sie der Vorgehensweise für einen Standort mit einem Management-Server, um die sichere Kommunikation zuerst zu deaktivieren und dann erneut zu aktivieren.
    Aufgrund einer Änderung im Kommunikationsmodul können die Clientversionen 14.2.x diese Methode nicht zur Aktualisierung des Serverzertifikats verwenden.Um zu verhindern, dass die Kommunikation mit diesen Clients unterbrochen wird, folgen Sie der Vorgehensweise für einen Standort mit einem Management-Server für diese Clientversionen, auch für Standorte mit mehreren Management-Servern.
  12. Aktualisieren des Serverzertifikats in
    Symantec Endpoint Protection Manager
    .
  13. Warten Sie für mindestens drei Heartbeat-Zyklen und aktualisieren Sie dann das Serverzertifikat für die nächste Standort-Instanz von
    Symantec Endpoint Protection Manager
    .
  14. Wiederholen Sie die Schritte 2 und 3, bis jede Standort-Instanz von
    Symantec Endpoint Protection Manager
    das neue Zertifikat erhalten hat.
    Benutzer, die nicht im Büro oder im Urlaub sind, erhalten diese Updates nicht auf ihrem Gerät, wenn dieses offline ist. Viele Unternehmen führen die Failover-Methode mindestens 30 Tage oder länger aus, um so viele vorübergehend nicht erreichbare Benutzer abzudecken wie möglich. Aus diesem Grund empfiehlt es sich, mindestens eine Instanz von
    Symantec Endpoint Protection Manager
    90 Tage lang mit dem alten Zertifikat auszuführen, um zu gewährleisten, dass diese vorübergehend nicht erreichbaren Benutzer ebenfalls abgedeckt werden.