Actualización del certificado de servidor en el servidor de administración sin interrumpir las comunicaciones con el cliente

Symantec Endpoint Protection Manager
usa un certificado para autenticar las comunicaciones entre el certificado y los clientes de
Symantec Endpoint Protection
. El certificado también firma digitalmente los archivos de la política y los paquetes de instalación que el cliente descarga de él. Los clientes almacenan una copia en la memoria caché del certificado en la lista de servidores de administración. Si el certificado está dañado o no es válido, los clientes no pueden comunicarse con el servidor. Si se deshabilitan las comunicaciones seguras, los clientes pueden comunicarse con el servidor, pero no autentican las comunicaciones del servidor de administración.
Deshabilite las comunicaciones seguras para actualizar el certificado en las siguientes situaciones:
  • Un sitio con un solo
    Symantec Endpoint Protection Manager
  • Un sitio con más de un
    Symantec Endpoint Protection Manager
    , si no se puede habilitar la conmutación por error o el equilibrio de carga
Si el certificado está dañado, pero sigue siendo válido, una práctica recomendada puede ser realizar la recuperación después de un desastre.
Después de actualizar el certificado y que los clientes se registren y lo reciban, vuelva a habilitar las comunicaciones seguras.
Al actualizar el certificado en un sitio con varios servidores de administración y usar la conmutación por error o el equilibrio de carga, el certificado se actualiza en la lista de servidores de administración. Durante el proceso de conmutación por error o el equilibrio de carga, el cliente recibe la lista de servidores de administración actualizada y el nuevo certificado.
Los pasos de 1 a 5 se aplican solamente a la versión 14 y versiones posteriores. Si usa la versión 12.x, comience con el paso 6.
  1. Para actualizar el certificado de servidor en un sitio con un solo servidor de administración sin interrumpir las comunicaciones con el cliente, en la consola haga clic en
    Políticas > Componentes de políticas > Listas de servidores de administración
    .
  2. En
    Tareas
    , haga clic en
    Copiar la lista
    y, a continuación, haga clic en
    Pegar lista
    .
  3. Haga doble clic en la copia de la lista para editarla y, a continuación, realice los siguientes cambios:
    • Haga clic en
      Utilizar protocolo HTTP
      .
    • Para cada dirección de servidor en
      Servidores de administración
      , haga clic en
      Editar
      y, a continuación, haga clic en
      Personalizar puerto HTTP
      .
      Mantenga el valor predeterminado (8014). Si usa un puerto personalizado, úselo aquí.
  4. Haga clic en
    Aceptar
    y después haga clic en
    Aceptar
    de nuevo.
  5. Haga clic con el botón derecho en la copia de la lista y, a continuación, haga clic en
    Asignar
    .
  6. En la consola, haga clic en
    Clientes > Políticas > Configuración general
    .
  7. En la ficha
    Configuración de seguridad
    , anule la selección de
    Habilitar comunicación segura entre el servidor de administración y los clientes mediante el uso de certificados digitales para autenticación
    y, luego, haga clic en
    Aceptar
    .
  8. Espere al menos tres ciclos de latido después de realizar este cambio en todos los grupos antes de continuar con el paso 9.
    Asegúrese de establecer esta configuración también para los grupos que no heredan de un grupo principal.
  9. Haga clic en
    Aceptar
    .
    Para volver a habilitar la configuración original, espere al menos tres ciclos de latido, vuelva a seleccionar
    Habilitar comunicación segura entre el servidor de administración y los clientes mediante el uso de certificados digitales para autenticación
    y, a continuación, vuelva a asignar la lista de servidores de administración original a sus grupos.
  10. Para actualizar el certificado de servidor en un sitio con varios servidores de administración sin interrumpir las comunicaciones con el cliente, en la consola asegúrese de que los clientes estén configurados para equilibrar la carga o la conmutación por error como mínimo en
    Symantec Endpoint Protection Manager
    .
    Si no es posible habilitar la conmutación por error o el equilibrio de carga, use el procedimiento del sitio con un solo servidor de administración para deshabilitar las comunicaciones seguras primero y volver a habilitarlas luego.
    Debido a un cambio realizado en el módulo de comunicación, las versiones 14.2.x del cliente no pueden utilizar este método para actualizar el certificado del servidor.Para evitar la interrupción de la comunicación con estos clientes, utilice el procedimiento del sitio del servidor de administración único para estas versiones del cliente, incluso para los sitios de servidores de administración múltiple.
  11. Actualice el certificado de servidor en
    Symantec Endpoint Protection Manager
    .
  12. Espere al menos tres ciclos de latido y, luego, actualice el certificado de servidor en el siguiente
    Symantec Endpoint Protection Manager
    en el sitio.
  13. Repita los pasos 2 y 3 hasta que cada
    Symantec Endpoint Protection Manager
    en el sitio tenga el nuevo certificado.
    Los usuarios que no están en la oficina o que se han ido no pueden recibir estas actualizaciones en sus dispositivos porque están desconectados. Muchas instituciones ejecutan el método de conmutación por error durante 30 días o más para captar tantos clientes fuera de la oficina como sea posible. Es conveniente dejar un
    Symantec Endpoint Protection Manager
    en ejecución durante 90 días con el certificado anterior para garantizar que esos usuarios no queden huérfanos.