Mise à jour du certificat du serveur sur le serveur de gestion sans interrompre les communications avec le client

Symantec Endpoint Protection Manager
utilise un certificat pour authentifier ses communications avec les clients
Symantec Endpoint Protection
. Le certificat signe aussi numériquement les fichiers de la politique et les packages d'installation que le client télécharge. Les clients sauvegardent une copie en cache du certificat dans la liste des serveur d'administration. Si le certificat est corrompu ou non valide, les clients ne peuvent pas communiquer avec le serveur. Si vous désactivez les communications sécurisées, les clients peuvent continuer à communiquer avec le serveur, mais n'authentifient pas les communications provenant du serveur d'administration.
Vous désactivez les communications sécurisées pour mettre à jour le certificat de sécurité dans les situations suivantes :
  • Un site avec un
    Symantec Endpoint Protection Manager
    unique
  • Un site avec plus d'un
    Symantec Endpoint Protection Manager
    , si vous ne pouvez pas activer le basculement ou l'équilibrage de charge
Si le certificat est corrompu mais toujours valide d'une façon ou d'une autre, vous pouvez effectuer une reprise après incident comme pratique d'excellence.
Une fois que le certificat est mis à jour et que les clients se sont enregistrés et l'ont reçu, activez à nouveau les communications sécurisées.
Lorsque vous mettez le certificat à jour sur le site avec plusieurs serveurs d'administration et utilisez le basculement ou l'équilibrage de charge, les mises à jour des certificats sur la liste des serveurs d'administration. Pendant le processus de basculement ou d'équilibrage de charge, le client reçoit la liste de serveurs d'administration mise à jour et le nouveau certificat.
Les étapes 1 à 5 s'appliquent uniquement à la version 14 et aux versions ultérieures. Si vous utilisez la version 12.x, démarrez à l'étape 6.
  1. Pour mettre à jour le certificat de serveur sur un seul site de serveur de gestion sans interrompre les communications avec le client, dans la console, cliquez sur
    Politiques > Composants de politique > Listes de serveurs de gestion
    .
  2. Sous
    Tâches
    , cliquez sur
    Copier la liste
    , puis sur
    Coller la liste
    .
  3. Cliquez deux fois sur la copie de la liste pour la modifier, puis apportez les modifications suivantes :
    • Cliquez sur
      Utiliser le protocole HTTP
      .
    • Pour chaque adresse de serveur sous
      Serveurs de gestion
      , cliquez sur
      Modifier
      , puis sur
      Personnaliser le port HTTP
      .
      Conservez la valeur par défaut de 8014. Si vous utilisez un port personnalisé, vous pouvez l'utiliser ici.
  4. Cliquez sur
    OK
    , puis sur
    OK
    à nouveau.
  5. Cliquez avec le bouton droit de la souris sur la copie de la liste et cliquez sur
    Assigner
    .
  6. Sur la console, cliquez sur
    Clients > Politiques > Paramètres généraux
    .
  7. Dans l'onglet
    Paramètres de sécurité
    , décochez
    Activer la communication sécurisée entre le serveur de gestion et les clients à l'aide des certificats numériques pour authentification
    , et cliquez sur
    OK
    .
  8. Patientez au moins pendant trois cycles de pulsations après avoir effectué cette modification sur tous les groupes avant de passer à l'étape 9.
    Veillez à définir ce paramètre pour les groupes qui n'héritent pas d'un groupe parent.
  9. Mettez à jour le certificat de serveur.
  10. Cliquez sur
    OK
    .
    Pour réactiver les paramètres d'origine, attendez au moins trois cycles de pulsation, sélectionnez à nouveau
    Activer les communications sécurisées entre le serveur de gestion et les clients en utilisant des certificats numériques pour l'authentification
    , puis réassignez la liste de serveurs de gestion d'origine à vos groupes.
  11. Pour mettre à jour le certificat de serveur sur un site à plusieurs serveurs de gestion sans interrompre les communications avec le client, dans la console, assurez-vous que vos clients sont configurés pour l'équilibrage de la charge ou pour le basculement vers un ou plusieurs autres serveurs
    Symantec Endpoint Protection Manager
    .
    Si vous ne pouvez pas activer l'équilibrage de charge ou le basculement, utilisez la procédure du site du serveur d'administration simple pour désactiver en premier lieu, puis réactiver les communications sécurisées.
    En raison d’un changement dans le module de communication, les versions client 14.2.x ne peuvent pas utiliser cette méthode pour mettre à jour le certificat de serveur.Pour éviter d'interrompre les communications avec ces clients, utilisez la procédure de site à serveur de gestion unique pour ces versions de client, même pour les sites à plusieurs serveurs de gestion.
  12. Mettez à niveau le certificat du serveur sur
    Symantec Endpoint Protection Manager
    .
  13. Veuillez patienter au moins trois pendant cycles de pulsation, ensuite mettez le certificat de serveur à jour sur le prochain
    Symantec Endpoint Protection Manager
    sur le site.
  14. Répétez les étapes 2 et 3 jusqu'à ce que chaque
    Symantec Endpoint Protection Manager
    sur le site dispose du nouveau certificat.
    Les utilisateurs qui sont hors du bureau ou en congé peuvent ne pas recevoir ces mises à jour sur leurs périphériques parce qu'ils sont hors ligne. De nombreuses institutions exécutent la méthode de basculement pendant 30 jours ou plus pour couvrir autant que faire se peut plus de clients hors ligne. Vous pouvez laisser un
    Symantec Endpoint Protection Manager
    s'exécuter pendant 90 jours avec l'ancien certificat pour vous assurer que ces utilisateurs ne sont pas des orphelins.