Aggiornamento del certificato del server nel server di gestione senza interrompere le comunicazioni con il client

Symantec Endpoint Protection Manager
utilizza un certificato per autenticare le comunicazioni con i client di
Symantec Endpoint Protection
. Il certificato firma anche digitalmente i file di politica e i pacchetti di installazione che il client scarica dal server. I client memorizzano una copia cache del certificato nell'elenco di server di gestione. Se il certificato è danneggiato o non è valido, i client non possono comunicare con il server. Se si disattivano le comunicazioni protette, i client possono comunque comunicare con il server, ma non autenticano le comunicazioni dal server di gestione.
È necessario disattivare le comunicazioni sicure per aggiornare il certificato nelle seguenti situazioni:
  • Un sito con un unico
    Symantec Endpoint Protection Manager
  • Un sito con più di un
    Symantec Endpoint Protection Manager
    , se non è possibile abilitare il failover o il bilanciamento del carico
Se il certificato è danneggiato ma altrimenti valido, è possibile eseguire il recupero di emergenza come best practice.
Dopo aver aggiornato il certificato e aver eseguito l'archiviazione e aver ricevuto i client, è necessario abilitare nuovamente le comunicazioni protette.
Quando si aggiorna il certificato in un sito con più server di gestione e si utilizza il failover o il bilanciamento del carico, il certificato si aggiorna nell'elenco di server di gestione. Durante il processo di failover o bilanciamento del carico, il client riceve l'elenco di server di gestione aggiornato e il nuovo certificato.
I passaggi da 1 a 5 si applicano solo alla versione 14 e successive. Se si utilizza la versione 12.x, iniziare dal passaggio 6 .
  1. Per aggiornare il certificato del server su un unico sito del server di gestione senza interrompere le comunicazioni con il client, nella console fare clic su
    Politiche > Componenti politiche > Elenchi di server di gestione
    .
  2. In
    Attività
    , fare clic su
    Copia elenco
    e quindi su
    Incolla elenco
    .
  3. Fare doppio clic sulla copia dell'elenco per modificarla, quindi apportare le modifiche seguenti:
    • Fare clic su
      Usa protocollo HTTP
      .
    • Per ogni indirizzo del server in
      Server di gestione
      , fare clic su
      Modifica
      e quindi su
      Personalizza porta HTTP
      .
      Lasciare l'impostazione predefinita 8014. Se si utilizza una porta personalizzata, utilizzarla qui.
  4. Fare clic su
    OK
    , quindi nuovamente su
    OK
    .
  5. Fare clic con il pulsante destro sulla copia dell'elenco, quindi fare clic su
    Assegna
    .
  6. Nella console, fare clic su
    Client > Politiche > Impostazioni generali
    .
  7. Nella scheda
    Impostazioni di sicurezza
    , deselezionare
    Attiva comunicazioni protette tra il server di gestione e i client utilizzando certificati digitali per l'autenticazione
    e fare clic su
    OK
    .
  8. Attendere almeno tre cicli di heartbeat dopo aver apportato questo cambiamento in tutti i gruppi prima di andare al passaggio 9.
    Assicurarsi di configurare questa impostazione anche per i gruppi che non la ereditano da un gruppo di appartenenza.
  9. Aggiornare il certificato del server.
  10. Fare clic su
    OK
    .
    Per riattivare le impostazioni originali, attendere almeno tre cicli di heartbeat, quindi selezionare di nuovo
    Attiva comunicazioni protette tra il server di gestione e i client utilizzando certificati digitali per l'autenticazione
    e riassegnare la lista dei server di gestione originale ai gruppi.
  11. Per aggiornare il certificato del server su un sito del server a gestione multipla senza interrompere le comunicazioni con il client, nella console assicurarsi che i client siano configurati per il bilanciamento del carico o il failover su almeno un altro
    Symantec Endpoint Protection Manager
    .
    Se non è possibile attivare il bilanciamento del carico o il failover, utilizzare la procedura per i siti con un solo server di gestione per disattivare e poi riattivare le comunicazioni sicure.
    A causa di un cambiamento del modulo di comunicazione, le versioni client 14.2.x non possono utilizzare questo metodo per aggiornare il certificato del server.Per evitare di interrompere la comunicazione con questi client, utilizzare la procedura del sito del server di gestione unico per queste versioni di client, anche per i siti di server a gestione multipla. Per evitare di interrompere la comunicazione con questi client, utilizzare la procedura del sito del server di gestione unico per queste versioni di client, anche per i siti di server a gestione multipla.
  12. Aggiornare il certificato del server in
    Symantec Endpoint Protection Manager
    .
  13. Attendere almeno tre cicli di heartbeat, quindi aggiornare il certificato del server nel successivo
    Symantec Endpoint Protection Manager
    del sito.
  14. Ripetere i passaggi 2 e 3 fino a quando tutti i
    Symantec Endpoint Protection Manager
    nel sito hanno il nuovo certificato.
    Gli utenti fuori sede o in ferie potrebbero non ricevere questi aggiornamenti sulla loro periferica, poiché questa non è in linea. Molte organizzazioni eseguono il metodo di failover per almeno 30 giorni per poter contattare il maggior numero possibile di client fuori sede. È consigliabile lasciare un
    Symantec Endpoint Protection Manager
    in esecuzione per 90 giorni con il vecchio certificato per assicurarsi che non restino periferiche orfane.