Pratiques d'excellence pour la mise à jour des certificats de serveur et la gestion de la connexion serveur-client

Vous pouvez devoir mettre à jour le certificat de sécurité dans les situations suivantes :
  • Vous restaurez un certificat de sécurité précédent que les clients utilisent déjà.
  • Vous voulez utiliser un certificat de sécurité différent du certificat par défaut (.jks).
Lorsque les clients utilisent la communication sécurisée avec le serveur, le certificat de serveur est permuté entre le serveur et les clients. Cet échange établit une relation de confiance entre le serveur et les clients. Quand le certificat est modifié sur le serveur, la relation de confiance est cassée et les clients ne peuvent plus communiquer. Ce problème est appelé clients orphelins.
Utilisez ce processus pour mettre à jour un ou plusieurs serveurs de gestion simultanément.
La section Etapes pour mettre à jour des certificats de serveur indique les étapes pour la mise à jour du certificat sans rendre les clients gérés par le serveur orphelins.
Etapes pour mettre à jour des certificats de serveur
Etape
Description
Étape 1 : interrompez la relation de réplication*
Si le serveur de gestion que vous souhaitez mettre à jour réplique d'autres serveurs de gestion, brisez la relation de réplication.
Étape 2 : désactiver la vérification de certificat de serveur
Désactivez les communications sécurisées entre le serveur et les clients. Lorsque vous désactivez la vérification, les clients restent connectés tandis que le serveur met à jour le certificat de serveur.
Étape 3 : attendre que tous les clients reçoivent la politique mise à jour
Le processus de déploiement de la politique mise à jour peut prendre une semaine ou plus, en fonction des facteurs suivants :
  • Le nombre de clients qui se connectent au serveur de gestion. Les grandes installations peuvent nécessiter plusieurs jours pour terminer le processus dans la mesure où les ordinateurs gérés doivent être en ligne pour recevoir la nouvelle politique.
  • Certains utilisateurs peuvent être en vacances et avoir déconnecté leur ordinateur.
Étape 4 : mettre à jour le certificat de serveur
Mettez à jour le certificat de serveur. Si vous comptez également migrer ou mettre à niveau le serveur de gestion, mettez d'abord à niveau le certificat.
Vous devez redémarrer les services suivants pour utiliser le nouveau certificat :
  • Le service
     instance de Symantec Endpoint Protection Manager
  • Le service Serveur Web
     instance de Symantec Endpoint Protection Manager
  • Le service API
     instance de Symantec Endpoint Protection Manager
    (A compter de la version 14)
Étape 5 : réactiver la vérification de certificat de serveur
Activez à nouveau les communications protégées entre le serveur et les clients.
Étape 6 : attendre que tous les clients reçoivent la politique mise à jour
Les ordinateurs client doivent recevoir les changements de politique de l'étape précédente.
Étape 7 : restaurer la relation de réplication*
Si le serveur de gestion mis à jour réplique d'autres serveurs de gestion, restaurez les relations de réplication.
* Vous devez seulement suivre étapes si vous utilisez une réplication dans votre environnement
 instance de Symantec Endpoint Protection Manager
.