更新伺服器憑證和維護用戶端伺服器連線的最佳實務準則

在下列情況中,您可能需要更新安全憑證:
  • 您還原用戶端已使用的舊有安全憑證。
  • 您想要使用預設憑證 (.JKS) 以外的不同安全憑證。
當用戶端與伺服器使用安全通訊時,伺服器憑證會在伺服器與用戶端之間交換。這樣的交換動作會建立伺服器與用戶端間的信任關係。當伺服器上的憑證變更,信任關係就會破裂,用戶端即無法再通訊。此問題稱為遺棄用戶端。
請使用此程序來更新一部管理伺服器,或是一次更新多部管理伺服器。
更新伺服器憑證的步驟列出了在不遺棄伺服器所管理的用戶端情況下更新憑證的步驟。
更新伺服器憑證的步驟
步驟
說明
步驟 1:中斷遠端複製關係*
如果要更新的管理伺服器會透過其他管理伺服器進行遠端複製,請中斷遠端複製關係。
步驟 2:停用伺服器憑證驗證
停用伺服器與用戶端之間的安全通訊。當您停用驗證時,用戶端會在伺服器更新伺服器憑證時保持連線。
步驟 3:等候所有用戶端接收更新的政策
根據下列因素而定,部署更新政策的程序可能需要一週或更長的時間:
  • 連線到管理伺服器的用戶端數目。大型安裝可能需要數天才能完成此程序,因為受管電腦必須上線才能接收新政策。
  • 某些使用者可能正在休假,而其電腦為離線狀態。
步驟 4:更新伺服器憑證
更新伺服器憑證。如果您也打算升級管理伺服器,請先升級憑證。
您必須重新啟動下列服務以使用新的憑證:
  • Symantec Endpoint Protection Manager
    服務
  • Symantec Endpoint Protection Manager
    Webserver 服務。
  • Symantec Endpoint Protection Manager
    API 服務
    (自第 14 版起)
步驟 5:再次啟用伺服器憑證驗證
再次啟用伺服器與用戶端之間的安全通訊。
步驟 6:等候所有用戶端接收更新的政策
用戶端電腦必須在先前步驟中接收政策變更。
步驟 7:還原遠端複製關係*
如果所更新的管理伺服器會透過其他管理伺服器進行遠端複製,請還原遠端複製關係。
*如果您在
Symantec Endpoint Protection Manager
環境中使用遠端複製,則只需執行這些步驟。