En este artículo se proporciona una descripción de los certificados utilizados por el servicio del servidor de ePO y el proceso para regenerarlos, si es necesario.
El servicio del servidor de ePO (Apache) en ePO utiliza certificados para proteger las comunicaciones para lo siguiente:
- Comunicaciones con McAfee Agent en equipos cliente
- Comunicación interna con el servicio servidor de aplicaciones de ePO
Estos certificados se crean durante la instalación de ePO u otro Controlador de agentes. Los certificados autofirmados, que posee el servicio servidor de aplicaciones de ePO (Tomcat), emiten los certificados. Los certificados autofirmados también se crean durante la instalación de ePO.
NOTAS:
- No es posible sustituir estos certificados por certificados emitidos por otra autoridad de certificación.
- Los certificados se almacenan en la ssl.crt carpeta. Las rutas difieren si se elige una ruta no predeterminada en el momento de la instalación.
- El servidor de ePO: C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\ssl.crt
- Sistema operativo Controlador de agentes 64-bit: C:\Program Files (x86)\McAfee\Agent Handler\Apache2\conf\ssl.crt
- Sistema operativo Controlador de agentes 32-bit: C:\Program Files\McAfee\Agent Handler\Apache2\conf\ssl.crt
- La carpeta contiene los siguientes archivos:
- ahCert.crt
- ahpriv.key
- mfscabundle.cer
- pkcs12store.pfx
- pkcs12store.properties
- In certain situations, you might need the path to re-create or regenerate these certificates.
For example, when ePO is being restored as part of the manual disaster recovery process, as described in KB66616 - ePolicy Orchestrator server backup and disaster recovery procedure.
Para regenerar los certificados:
- Detenga el servicio del servidor de ePO:
- Pulse Windows + R.
- Escriba services.msc en el campo y pulse Intro.
- Haga clic con el botón derecho en el siguiente servicio de ePO y seleccione detener:
McAfee ePolicy Orchestrator #.#.# Server
- Cierre la ventana servicios.
- Asegúrese de que se haya iniciado el servicio McAfee ePolicy Orchestrator Application Server .
- Asegúrese de que puede iniciar sesión en la consola de ePO mediante lo siguiente:
- El nombre NetBIOS del servidor de ePO en la URL.
- Una cuenta que es un administrador de ePO y que utiliza autenticación de ePO (no Windows autenticación)
Debe utilizar esta cuenta posteriormente para volver a generar los certificados.
Nota: Ciertos caracteres en el nombre de usuario o la contraseña del administrador provocan un error en el proceso de regeneración de certificados, aunque son válidos al iniciar sesión en la consola de ePO. Se recomienda cambiar temporalmente la contraseña por una contraseña alfanumérica simple. O bien, utilice un nuevo usuario administrador temporal con una contraseña sencilla para utilizar durante el proceso de regeneración de certificados.
Cuando termine, podrá volver a cambiar la contraseña o eliminar el usuario administrador temporal.
- Para que el proceso de regeneración se realice correctamente, la ssl.crt carpeta debe existir y estar vacía. Localice la \Apache2\conf carpeta en la carpeta de instalación de ePO o controlador de agentes.
- Si existe una ssl.crt carpeta, cámbiele el nombre a ssl.crt.old .
- Cree una carpeta y cámbiele el nombre a ssl.crt .
- Haga clic en Inicio, escriba cmd en el campo de búsqueda, haga clic con el botón derecho del ratón y seleccione Ejecutar como administrador.
- Cambie los directorios a la carpeta de instalación de ePO. Las rutas predeterminadas se proporcionan a continuación:
Componente |
Ruta |
Servidor de ePO |
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\ |
Controlador de agentes (64 bits) |
C:\Program Files (x86)\McAfee\Agent Handler\ |
Controlador de agentes (32 bits) |
C:\Program Files\McAfee\Agent Handler\ |
- Ejecute el siguiente comando:
Rundll32.exe ahsetup.dll RunDllGenCerts <ePO_server_name> <console_HTTPS_port> <admin_username> <password> <"installdir\Apache2\conf\ssl.crt">
En el comando anterior:
- <ePO_server_name> : El nombre NetBIOS del servidor de ePO
- <console_HTTPS_port> — The Puerto de la consola de ePO (el valor predeterminado es 8443)
- <admin_username> — La cuenta del administrador de ePO (véase el paso 3)
- <password> : La contraseña de la cuenta del administrador de ePO (consulte el paso 3)
- <installdir\Apache2\conf\ssl.crt> : La ruta completa a la carpeta vacía ssl.crt (véase el paso 4). Asegúrese de incluir esta ruta entre comillas dobles.
Ejemplo:
Rundll32.exe ahsetup.dll RunDllGenCerts epo_server_name 8443 administrator password "C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\ssl.crt"
importante:
- El comando falla si se ha activado el control de cuentas de usuario en este servidor. Si el servidor está ejecutando Windows Server 2008 o posterior, desactive esta función.
Para obtener detalles, consulte la Guía paso a paso de control de cuentas de usuario de Microsoft.
- El RunDllGenCerts parámetro distingue entre mayúsculas y minúsculas.
Nota: En su uso normal, el comando no genera mensajes cuando se ejecuta. Tras unos segundos, la ssl.crt carpeta se rellena con los siguientes archivos de certificado:
- ahCert.crt
- ahpriv.key
- mfscabundle.cer
- pkcs12store.pfx
- pkcs12store.properties
Se crea ahsetup_<ePO_server_name>.log un archivo de registro.
- Abra este archivo de registro en un editor de texto. Si la regeneración se realiza correctamente, el registro finaliza con las siguientes líneas:
AHSETUP The Agent Handler successfully connected to the ePO server.
AHSETUP Successfully created the Agent Handler certs.
AHSETUP Successfully created the Agent Handler CA Certificate.
AHSETUP Successfully imported the PKCS12 Certificates.
- Inicie el servicio del servidor de ePO.