クライアントとの通信を切断しない、管理サーバー上のサーバー証明書のアップデート
Symantec Endpoint Protection Manager
は、Symantec Endpoint Protection
クライアントとの通信を証明書を使用して認証します。 証明書は、クライアントがダウンロードするポリシーファイルやインストールパッケージに対する電子署名も行います。 クライアントは、証明書のキャッシュコピーを管理サーバーリストに保存します。 証明書が壊れているか無効な場合、クライアントはサーバーと通信できません。 セキュア通信を無効にしても、クライアントはサーバーと通信できますが、管理サーバーからの通信を認証しません。
次のような場合は、セキュア通信を無効にして証明書を更新します。
- 単一のSymantec Endpoint Protection Managerのサイト
- 複数のSymantec Endpoint Protection Manager, のサイトで、フェールオーバーや負荷分散を有効にできない場合
証明書は壊れているがそれ以外は有効である場合は、ディザスタリカバリを実行するのがベストプラクティスです。
証明書の更新後、クライアントがチェックインしてそれを受け取ったら、セキュア通信を再び有効にします。
複数の管理サーバーがありフェールオーバーや負荷分散を使用するサイトで証明書をアップデートすると、証明書は管理サーバーリストでアップデートされます。 フェールオーバーまたは負荷分散の処理中、クライアントはアップデート済みの管理サーバーリストと新しい証明書を受け取ります。
- クライアントとの通信を切断せずに、単一管理サーバーサイト上でサーバー証明書をアップデートするには、コンソールで[ポリシー] > [ポリシーコンポーネント] > [管理サーバーリスト]をクリックします。
- [タスク]で[リストをコピー]をクリックして、[リストの貼り付け]をクリックします。
- リストのコピーをダブルクリックして編集し、次の変更を行います。
- [HTTP プロトコルを使う]をクリックします。
- 各サーバーアドレスについて、[管理サーバー]で[編集]をクリックし、[HTTP ポートをカスタマイズする]をクリックします。デフォルトの 8014 のまま残します。 カスタムポートを使用する場合は、ここで使用します。
- [OK]をクリックし、もう一度[OK]をクリックします。
- リストのコピーを右クリックして、[割り当て]をクリックします。
- コンソールで、[クライアント] > [ポリシー] > [全般の設定]をクリックします。
- [セキュリティの設定]タブで、[認証にデジタル認証を使うことによって管理サーバーとクライアントの間でセキュア通信を有効にする]のチェックマークをはずし、[OK]をクリックします。
- すべてのグループに対してこの変更を行った後、少なくとも 3 ハートビートサイクル待機してから、手順 9 に進みます。この設定は、親グループから継承しないグループにも設定してください。
- サーバー証明書を更新する。
- [OK]をクリックします。元の設定を再度有効にするには、少なくとも 3 回ハートビートサイクルを待機してから、[認証にデジタル認証を使うことによって管理サーバーとクライアントの間でセキュア通信を有効にする]に再度チェックマークを付け、自分のグループに元の管理サーバーリストを割り当て直します。
- クライアントとの通信を切断せずに、複数管理サーバーサイト上でサーバー証明書をアップデートするには、コンソールで、1 つ以上の他のSymantec Endpoint Protection Managerに負荷分散またはフェールオーバーするようにクライアントが構成されていることを確認します。負荷分散またはフェールオーバーを有効にできない場合は、単一管理サーバーサイトの場合の手順に従って、セキュア通信を一度無効にしてから再び有効にします。通信モジュールの変更により、クライアントバージョン 14.2 では、この方法を使ってサーバー証明書を更新することはできません。これらのクライアントとの通信が切断されないようにするには、複数管理サーバーサイトの場合でも、これらのクライアントバージョンに対して単一管理サーバーサイトの手順を使います。
- Symantec Endpoint Protection Manager上のサーバー証明書をアップデートします。
- 少なくとも 3 ハートビートサイクル待機してから、サイトの次のSymantec Endpoint Protection Manager上のサーバー証明書を更新します。