Aktualizacja certyfikatu serwera na serwerze zarządzania bez zakłócania łączności z klientem

Program
Symantec Endpoint Protection Manager
uwierzytelnia swoją komunikację z klientami
Symantec Endpoint Protection
przy użyciu certyfikatu. Certyfikat ten podpisuje cyfrowo pliki zasad oraz pakiety instalacyjne pobierane z serwera. Klienty przechowują kopię certyfikatu w pamięci podręcznej na liście serwera zarządzania. Jeśli certyfikat jest uszkodzony lub nieprawidłowy, klienty nie mogą komunikować się z serwerem. W razie wyłączenia bezpiecznej komunikacji klienty nadal mogą komunikować się z serwerem, ale nie uwierzytelniają komunikacji przychodzącej od serwera zarządzania.
Bezpieczną komunikację wyłącza się w celu aktualizacji certyfikatu w następujących sytuacjach:
  • Lokacja z pojedynczą instancją
    Symantec Endpoint Protection Manager
  • Lokacja z co najmniej jedną instancją
    Symantec Endpoint Protection Manager
    , jeśli nie można włączyć przełączania awaryjnego ani równoważenia obciążenia
Jeśli certyfikat jest uszkodzony, ale wciąż ważny, jako najlepszą praktykę zaleca się przeprowadzenie odzyskiwania.
Gdy po zaktualizowaniu certyfikatu klienty zgłoszą się, aby go otrzymać, należy ponownie włączyć bezpieczną komunikację.
W przypadku aktualizacji certyfikatu w lokacji, w której znajduje się kilka serwerów zarządzania oraz stosowane jest przełączanie awaryjne i równoważenie obciążenia, certyfikat aktualizuje się na liście serwerów zarządzania. W procesie przełączania awaryjnego i równoważenia obciążenia klient otrzymuje zaktualizowaną listę serwerów zarządzania wraz z nowym certyfikatem.
Kroki od 1 do 5 mają zastosowanie tylko w przypadku wersji 14 i nowszych. Jeśli korzystasz z wersji 12.x, rozpocznij od kroku 6.
  1. Aby zaktualizować certyfikat serwera na serwerze zarządzania bez zakłócania łączności z klientem, w konsoli programu kliknij
    Zasady > Składniki zasad > Listy serwerów zarządzania
    .
  2. W obszarze
    Zadania
    , kliknij
    Kopiuj listę
    , a następnie kliknij
    Wklej listę
    .
  3. Kliknij dwukrotnie kopię listy, aby ją edytować, a następnie wprowadź następujące zmiany:
    • Kliknij
      Użyj protokołu HTTP
      .
    • W przypadku każdego adresu serwera w obszarze
      Serwery zarządzania
      kliknij polecenie
      Edytuj
      , a następnie
      Dostosuj port HTTPS
      .
      Pozostaw domyślną wartość 8014. Jeśli korzystasz z portu niestandardowego, wprowadź go tutaj.
  4. Kliknij przycisk
    OK
    , a następnie ponownie kliknij przycisk
    OK
    .
  5. Kliknij prawym przyciskiem myszy kopię listy, a następnie kliknij
    Przypisz
    .
  6. W konsoli kliknij pozycję
    Klienci > Zasady > Ustawienia ogólne
    .
  7. Na karcie
    Ustawienia zabezpieczeń
    usuń zaznaczenie opcji
    Włącz między serwerem zarządzania a klientami bezpieczną komunikację z uwierzytelnianiem za pomocą certyfikatów cyfrowych
    , a następnie kliknij przycisk
    OK
    .
  8. Po wprowadzeniu tej zmiany dla wszystkich grup odczekaj co najmniej trzy cykle pulsu, zanim przejdziesz do kroku 9.
    To ustawienie należy skonfigurować tylko w przypadku grup, które nie dziedziczą ustawień z grupy nadrzędnej.
  9. Kliknij przycisk
    OK
    .
    Aby ponownie włączyć ustawienia oryginalne, odczekaj co najmniej trzy cykle pulsu, a następnie zaznacz ponownie opcję
    Włącz między serwerem zarządzania a klientami bezpieczną komunikację z uwierzytelnianiem za pomocą certyfikatów cyfrowych
    i ponownie przypisz oryginalną listę serwerów zarządzania do swoich grup.
  10. Aby zaktualizować certyfikat serwera w lokacji z wieloma serwerami zarządzania bez zakłócania łączności z klientem, z poziomu konsoli sprawdź, czy klienty są skonfigurowane na potrzeby równoważenia obciążenia lub przełączania awaryjnego do co najmniej jednej innej instancji
    Symantec Endpoint Protection Manager
    .
    Jeśli nie można włączyć równoważenia obciążenia ani przełączania awaryjnego, skorzystaj z procedury dla lokacji z jednym serwerem zarządzania, aby najpierw wyłączyć, a następnie włączyć bezpieczną komunikację.
    Ze względu na zmianę w module komunikacji, w wersji 14.2.x klienta nie można użyć tej metody do aktualizacji certyfikatu serwera.Aby uniknąć zakłócania komunikacji z tymi klientami, należy użyć procedury lokacji z jednym serwerem zarządzania dla tych wersji klienta, nawet dla lokacji z wieloma serwerami zarządzania.
  11. Zaktualizuj certyfikat w programie
    Symantec Endpoint Protection Manager
    .
  12. Odczekaj co najmniej trzy cykle pulsu, a następnie zaktualizuj certyfikat serwera w następnej instancji
    Symantec Endpoint Protection Manager
    w lokacji.
  13. Powtarzaj kroki 2 i 3 do momentu, aż każda instancja
    Symantec Endpoint Protection Manager
    w lokacji otrzyma nowy certyfikat.
    Użytkownicy przebywający poza biurem lub na urlopie/zwolnieniu lekarskim mogą nie otrzymać tych aktualizacji, ponieważ ich urządzenie będzie pozbawione dostępu do sieci. Wiele instytucji stosuje przełączanie awaryjne przez 30 lub więcej dni, aby objąć zasięgiem jak najwięcej urządzeń niepodłączonych do sieci. Warto zachować jedną instancję
    Symantec Endpoint Protection Manager
    działającą przez 90 dni ze starym certyfikatem, aby uniknąć wykluczenia użytkowników przebywających poza biurem.