Обновление сертификата сервера управления без нарушения соединений с клиентом

Для аутентификации соединений между
Symantec Endpoint Protection Manager
и клиентами
Symantec Endpoint Protection
используется сертификат. Кроме того, сертификат применяется для цифровой подписи файлов политики и пакетов установки, которые клиент загружает с сервера. Клиент сохраняет кэшированную копию сертификата в списке серверов управления. Если сертификат поврежден или недействителен, клиенты не могут подключиться к серверу. Если отключить защищенный протокол связи, клиенты смогут подключаться к серверу, но аутентификация соединения с сервером управления выполняться не будет.
Защищенный протокол связи следует отключать для обновления сертификата в следующих ситуациях:
  • На вашем сайте есть только один сервер
    Symantec Endpoint Protection Manager
    .
  • На сайте есть несколько серверов
    Symantec Endpoint Protection Manager
    , но не удается включить аварийное переключение или распределение нагрузки.
Если сертификат действителен, но по какой-либо причине поврежден, то рекомендуется выполнить процедуру аварийного восстановления.
После того как сертификат будет обновлен, а клиенты обнаружат и загрузят его, следует вновь включить безопасный протокол связи.
Когда сертификат обновляется на сайте с несколькими серверами управления, в котором также применяется аварийное переключение или распределение нагрузки, происходит обновление сертификата в списке серверов управления. В процессе аварийного переключения или распределения нагрузки клиент получает обновленный список серверов управления, а вместе с ним и новый сертификат.
Шаги 15 применимы только к версии 14 и более поздним. Если вы используете версию 12.x, начните с шага 6.
  1. Чтобы обновить сертификат сервера на сайте с одним сервером управления, не нарушая связи с клиентом, в консоли выберите
    Политики > Компоненты политики > Списки серверов управления
    .
  2. В разделе
    Задачи
    нажмите
    Копировать список
    , а затем
    Вставить список
    .
  3. Дважды нажмите копию списка, чтобы изменить его, а затем внесите следующие изменения:
    • Нажмите
      Использовать протокол HTTP
      .
    • Для каждого адреса сервера в разделе
      Серверы управления
      нажмите
      Изменить
      , а затем
      Настроить порт HTTP
      .
      Оставьте значение по умолчанию: 8014. Если вы используете пользовательский порт, используйте его здесь.
  4. Нажмите кнопку
    ОК
    , затем нажмите
    ОК
    еще раз.
  5. Нажмите правой кнопкой мыши копию списка, затем нажмите
    Назначить
    .
  6. В консоли выберите
    Клиенты > Политики > Общие параметры
    .
  7. На вкладке
    Параметры безопасности
    снимите флажок
    Разрешить безопасные соединения между сервером управления и клиентами за счет применения цифровых сертификатов для аутентификации
    и нажмите
    ОК
    .
  8. После внесения этого изменения во всех группах дождитесь завершения хотя бы трех циклов контрольных сигналов, прежде чем переходить к шагу 9.
    Настройте данный параметр также для групп, которые не наследуют его от родительской группы.
  9. Нажмите кнопку
    ОК
    .
    Чтобы повторно активировать исходные параметры, подождите хотя бы три цикла контрольных сигналов, затем вновь установите флажок
    Разрешить безопасные соединения между сервером управления и клиентами за счет применения цифровых сертификатов для аутентификаци
    и и переназначьте исходный список серверов управления обратно на свои группы.
  10. Чтобы обновить сертификат сервера на сайте c несколькими серверами управления, не нарушая связи с клиентом, в консоли проверьте, настроены ли клиенты таким образом, чтобы распределять нагрузку или переключатся по крайней мере на один другой
    Symantec Endpoint Protection Manager
    .
    Если распределение нагрузки или аварийное переключение включить невозможно, то воспользуйтесь процедурой, описанной для сайта с одним сервером управления: выключите, а затем снова включите безопасный протокол связи.
    Из-за изменения модуля связи клиентские версии 14.2.x не могут использовать этот метод для обновления сертификата сервера.Чтобы избежать разрыва связи с этими клиентами, используйте для этих версий клиентов процедурой, описанной для сайта с одним сервером управления (даже для сайтов с несколькими серверами управления).
  11. Обновите сертификат сервера на
    Symantec Endpoint Protection Manager
    .
  12. Подождите хотя бы три цикла контрольных сигналов, затем обновите сертификат сервера на следующем
    Symantec Endpoint Protection Manager
    .
  13. Повторяйте шаги 2 и 3 до тех пор, пока новый сертификат не будет установлен на всех серверах
    Symantec Endpoint Protection Manager
    .
    Пользователи, отсутствующие на рабочем месте или находящиеся в длительном отпуске, могут не получить эти обновления, поскольку их устройства могут быть выключены. Во многих организациях процедура с аварийным переключением выполняется в течение 30 и более дней, чтобы охватить как можно большее число пользователей, находящихся в разных ситуациях. Чтобы не пропустить пользователей, которые отсутствуют в офисе длительное время, можно оставить в инфраструктуре один сервер
    Symantec Endpoint Protection Manager
    со старым сертификатом на 90 дней.