クライアントとの通信を切断しない、管理サーバー上のサーバー証明書のアップデート

Symantec Endpoint Protection Manager
は、
Symantec Endpoint Protection
クライアントとの通信を証明書を使用して認証します。 証明書は、クライアントがダウンロードするポリシーファイルやインストールパッケージに対する電子署名も行います。 クライアントは、証明書のキャッシュコピーを管理サーバーリストに保存します。 証明書が壊れているか無効な場合、クライアントはサーバーと通信できません。 セキュア通信を無効にしても、クライアントはサーバーと通信できますが、管理サーバーからの通信を認証しません。
次のような場合は、セキュア通信を無効にして証明書を更新します。
  • 単一の
    Symantec Endpoint Protection Manager
    のサイト
  • 複数の
    Symantec Endpoint Protection Manager
    , のサイトで、フェールオーバーや負荷分散を有効にできない場合
証明書は壊れているがそれ以外は有効である場合は、ディザスタリカバリを実行するのがベストプラクティスです。
証明書の更新後、クライアントがチェックインしてそれを受け取ったら、セキュア通信を再び有効にします。
複数の管理サーバーがありフェールオーバーや負荷分散を使用するサイトで証明書をアップデートすると、証明書は管理サーバーリストでアップデートされます。 フェールオーバーまたは負荷分散の処理中、クライアントはアップデート済みの管理サーバーリストと新しい証明書を受け取ります。
手順 1 から 5 まではバージョン 14 以降にのみ適用されます。 12.x を使用するには、手順 6 から開始します。
  1. クライアントとの通信を切断せずに、単一管理サーバーサイト上でサーバー証明書をアップデートするには、コンソールで
    [ポリシー] > [ポリシーコンポーネント] > [管理サーバーリスト]
    をクリックします。
  2. [タスク]
    [リストをコピー]
    をクリックして、
    [リストの貼り付け]
    をクリックします。
  3. リストのコピーをダブルクリックして編集し、次の変更を行います。
    • [HTTP プロトコルを使う]
      をクリックします。
    • 各サーバーアドレスについて、
      [管理サーバー]
      [編集]
      をクリックし、
      [HTTP ポートをカスタマイズする]
      をクリックします。
      デフォルトの 8014 のまま残します。 カスタムポートを使用する場合は、ここで使用します。
  4. [OK]
    をクリックし、もう一度
    [OK]
    をクリックします。
  5. リストのコピーを右クリックして、
    [割り当て]
    をクリックします。
  6. コンソールで、
    [クライアント] > [ポリシー] > [全般の設定]
    をクリックします。
  7. [セキュリティの設定]
    タブで、
    [認証にデジタル認証を使うことによって管理サーバーとクライアントの間でセキュア通信を有効にする]
    のチェックマークをはずし、
    [OK]
    をクリックします。
  8. すべてのグループに対してこの変更を行った後、少なくとも 3 ハートビートサイクル待機してから、手順 9 に進みます。
    この設定は、親グループから継承しないグループにも設定してください。
  9. サーバー証明書を更新する。
  10. [OK]
    をクリックします。
    元の設定を再度有効にするには、少なくとも 3 回ハートビートサイクルを待機してから、
    [認証にデジタル認証を使うことによって管理サーバーとクライアントの間でセキュア通信を有効にする]
    に再度チェックマークを付け、自分のグループに元の管理サーバーリストを割り当て直します。
  11. クライアントとの通信を切断せずに、複数管理サーバーサイト上でサーバー証明書をアップデートするには、コンソールで、1 つ以上の他の
    Symantec Endpoint Protection Manager
    に負荷分散またはフェールオーバーするようにクライアントが構成されていることを確認します。
    負荷分散またはフェールオーバーを有効にできない場合は、単一管理サーバーサイトの場合の手順に従って、セキュア通信を一度無効にしてから再び有効にします。
    通信モジュールの変更により、クライアントバージョン 14.2 では、この方法を使ってサーバー証明書を更新することはできません。これらのクライアントとの通信が切断されないようにするには、複数管理サーバーサイトの場合でも、これらのクライアントバージョンに対して単一管理サーバーサイトの手順を使います。
  12. Symantec Endpoint Protection Manager
    上のサーバー証明書をアップデートします。
  13. 少なくとも 3 ハートビートサイクル待機してから、サイトの次の
    Symantec Endpoint Protection Manager
    上のサーバー証明書を更新します。
  14. サイトの各
    Symantec Endpoint Protection Manager
    に新しい証明書が置かれるまで、手順 23 を繰り返します。
    社外にいるユーザーや休暇中のユーザーのデバイスはオフライン状態であるため、これらの更新を受け取らない可能性があります。 多くの組織では、こうした状態のクライアントをできるだけ多くキャッチするため、30 日間以上のフェールオーバー方法を採用しています。 1 つの
    Symantec Endpoint Protection Manager
    を古い証明書で 90 日間実行し続けて、こうしたユーザーに対応することもできます。