サーバー証明書を更新してクライアント/サーバー接続を維持するためのベストプラクティス

次のような場合、セキュリティ証明書の更新が必要になることがあります。
  • クライアントがすでに使用している、以前のセキュリティ証明書を復元する場合。
  • デフォルトの証明書 (.JKS) とは別のセキュリティ証明書を使用する場合。
クライアントがサーバーとの間でセキュア通信を行う場合、サーバー証明書はサーバーとクライアントの間で交換されます。この交換により、サーバーとクライアントの間に信頼関係が確立されます。サーバーで証明書を変更すると、信頼関係が壊れ、クライアントは通信できなくなります。この問題は孤立クライアントと呼ばれます。
1 つの管理サーバーを更新する場合、または複数の管理サーバーを同時に更新する場合は、この処理を使います。
以下の表に、サーバが管理するクライアントを孤立させずに証明書を更新する手順を示します。
サーバー証明書を更新する手順
手順
説明
ステップ 1: 複製関係を解消する
アップデートする管理サーバーを他の管理サーバーで複製する場合は、複製関係を解消します。次のサイトを参照してください。
ステップ 2: サーバー証明書の検証を無効にする
サーバーとクライアント間のセキュア通信を無効にします。検証を無効にすると、クライアントの接続は維持したまま、サーバーはサーバー証明書を更新します。次のサイトを参照してください。
ステップ 3: すべてのクライアントで更新ポリシーを受信するまで待つ
更新されたポリシーを配備するプロセスには、次のような要因に応じて 1 週間以上かかることがあります。
  • 管理サーバーに接続するクライアントの数。新しいポリシーを受け取るには管理下コンピュータがオンラインになる必要があるため、大規模なインストールでは処理が完了するまでに数日かかることがあります。
  • ユーザーが休暇中でコンピュータがオフラインになっている、といった可能性があります。
詳細については、次を参照してください。
ステップ 4: サーバー証明書を更新する
サーバーの証明書を更新する. 管理サーバーをアップグレードする計画がある場合は、最初に証明書をアップグレードします。次のサイトを参照してください。
新しい証明書を使うには次のサービスを再起動する必要があります。
  • つの Symantec Endpoint Protection Manager
    サービス
  • つの Symantec Endpoint Protection Manager
    Webserver サービス
  • つの Symantec Endpoint Protection Manager
    API サービス
    (14 の時点)
ステップ 5: サーバー証明書の検証を再度有効にする
サーバーとクライアント間のセキュア通信を再度有効にします。次のサイトを参照してください。
ステップ 6: すべてのクライアントで更新ポリシーを受信するまで待つ
クライアントコンピュータは前の手順で行ったポリシーの変更を受け取る必要があります。
ステップ 7: 複製関係を復元する*
アップデートした管理サーバーを他の管理サーバーで複製する場合は、複製関係を復元します。次のサイトを参照してください。
* これらのステップは、
つの Symantec Endpoint Protection Manager
環境で複製を使用する場合にのみ実行する必要があります。
詳しい情報