クライアントとの通信を切断せずに管理サーバ上でサーバ証明書を更新する

Symantec Endpoint Protection Manager
は、
Symantec Endpoint Protection
クライアントとの通信を証明書を使用して認証します。証明書は、クライアントがダウンロードするポリシーファイルやインストールパッケージに対する電子署名も行います。クライアントは、証明書のキャッシュコピーを管理サーバーリストに保存します。証明書が壊れているか無効な場合、クライアントはサーバーと通信できません。セキュア通信を無効にしても、クライアントはサーバーと通信できますが、管理サーバーからの通信を認証しません。
次のような場合は、セキュア通信を無効にして証明書を更新します。
  • 単一の
    Symantec Endpoint Protection Manager
    のサイト
  • 複数の
    Symantec Endpoint Protection Manager
    , のサイトで、フェールオーバーや負荷分散を有効にできない場合
証明書は壊れているがそれ以外は有効である場合は、ディザスタリカバリを実行するのがベストプラクティスです。次のサイトを参照してください。
証明書の更新後、クライアントがチェックインしてそれを受け取ったら、セキュア通信を再び有効にします。
複数の管理サーバーがありフェールオーバーや負荷分散を使用するサイトで証明書をアップデートすると、証明書は管理サーバーリストでアップデートされます。フェールオーバーまたは負荷分散の処理中、クライアントはアップデート済みの管理サーバーリストと新しい証明書を受け取ります。
手順 1 から 5 まではバージョン 14 以降にのみ適用されます。12.x を使用するには、手順 6 から開始します。
  1. クライアントとの通信を切断せずに、単一管理サーバーサイト上でサーバー証明書をアップデートするには
  2. コンソールで、
    [ポリシー] > [ポリシー コンポーネント] > [管理サーバ リスト]
    をクリックします。
  3. [タスク]
    [リストをコピー]
    をクリックして、
    [リストの貼り付け]
    をクリックします。
  4. リストのコピーをダブルクリックして編集し、次の変更を行います。
    • [HTTP プロトコルを使う]
      をクリックします。
    • 各サーバーアドレスについて、
      [管理サーバー]
      [編集]
      をクリックし、
      [HTTP ポートをカスタマイズする]
      をクリックします。
      デフォルトの 8014 のまま残します。カスタムポートを使用する場合は、ここで使用します。
  5. [OK]
    をクリックし、もう一度
    [OK]
    をクリックします。
  6. リストのコピーを右クリックして、
    [割り当て]
    をクリックします。
  7. コンソールで、
    [クライアント] > [ポリシー] > [全般]
    をクリックします。
  8. [セキュリティの設定]
    タブで、
    [認証にデジタル認証を使うことによって管理サーバーとクライアントの間でセキュア通信を有効にする]
    のチェックマークをはずし、
    [OK]
    をクリックします。
  9. すべてのグループに対してこの変更を行った後、少なくとも 3 ハートビートサイクル待機してから、手順 9 に進みます。
    この設定は、親グループから継承しないグループにも設定してください。
  10. サーバーの証明書を更新する. 次のサイトを参照してください。
  11. [OK]
    をクリックします。
    元の設定を再度有効にするには、少なくとも 3 回ハートビートサイクルを待機してから、
    [認証にデジタル認証を使うことによって管理サーバーとクライアントの間でセキュア通信を有効にする]
    に再度チェックマークを付け、自分のグループに元の管理サーバーリストを割り当て直します。
  12. クライアントとの通信を切断せずに、複数管理サーバーサイト上でサーバー証明書をアップデートするには、コンソールで、1 つ以上の他の
    Symantec Endpoint Protection Manager
    に負荷分散またはフェールオーバーするようにクライアントが構成されていることを確認します。次のサイトを参照してください。
    負荷分散またはフェールオーバーを有効にできない場合は、単一管理サーバーサイトの場合の手順に従って、セキュア通信を一度無効にしてから再び有効にします。
    通信モジュールの変更により、クライアントバージョン 14.2 では、この方法を使ってサーバー証明書を更新することはできません。 これらのクライアントとの通信が切断されないようにするには、複数管理サーバーサイトの場合でも、これらのクライアントバージョンに対して単一管理サーバーサイトの手順を使います。
  13. Symantec Endpoint Protection Manager
    上のサーバー証明書をアップデートします。次のサイトを参照してください。
  14. 少なくとも 3 ハートビートサイクル待機してから、サイトの次の
    Symantec Endpoint Protection Manager
    上のサーバー証明書を更新します。
  15. サイトの各
    Symantec Endpoint Protection Manager
    に新しい証明書が置かれるまで、手順 23 を繰り返します。
    社外にいるユーザーや休暇中のユーザーのデバイスはオフライン状態であるため、これらの更新を受け取らない可能性があります。多くの組織では、こうした状態のクライアントをできるだけ多くキャッチするため、30 日間以上のフェールオーバー方法を採用しています。1 つの
    Symantec Endpoint Protection Manager
    を古い証明書で 90 日間実行し続けて、こうしたユーザーに対応することもできます。