Cet article fournit une description des certificats utilisés par le service serveur ePO, ainsi que le processus de régénération de ces certificats, le cas échéant.
Le service serveur ePO (Apache) d’ePO utilise des certificats pour sécuriser les communications des éléments suivants :
- Communications avec McAfee Agent sur les ordinateurs clients
- Communication interne avec le service serveur d’applications ePO
Ces certificats sont créés au cours de l’installation d’ePO ou d’un autre gestionnaire d'agents. Les certificats autosignés, que le service de serveur d’applications ePO (Tomcat) possède, émettent les certificats. Les certificats autosignés sont également créés au cours de l’installation d’ePO.
REMARQUES :
- Il n’est pas possible de remplacer ces certificats par des certificats émis par une autre autorité de certification.
- Les certificats sont stockés dans le ssl.crt dossier. Les chemins d’accès diffèrent si vous avez choisi un chemin d’accès non défini par défaut au moment de l’installation.
- Serveur ePO : C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\ssl.crt
- Gestionnaire de l'agent système d’exploitation 64 bits : C:\Program Files (x86)\McAfee\Agent Handler\Apache2\conf\ssl.crt
- Gestionnaire de l'agent système d’exploitation 32 bits : C:\Program Files\McAfee\Agent Handler\Apache2\conf\ssl.crt
- Le dossier contient les fichiers suivants :
- ahCert.crt
- ahpriv.key
- mfscabundle.cer
- pkcs12store.pfx
- pkcs12store.properties
- In certain situations, you might need the path to re-create or regenerate these certificates.
For example, when ePO is being restored as part of the manual disaster recovery process, as described in KB66616 - ePolicy Orchestrator server backup and disaster recovery procedure.
Pour régénérer les certificats :
- Arrêtez le service serveur ePO :
- Appuyez sur Windows + R.
- Saisissez le texte services.msc dans le champ et appuyez sur entrée.
- Cliquez avec le bouton droit de la même façon sur le service ePO suivant, puis sélectionnez arrêter:
McAfee ePolicy Orchestrator #.#.# Server
- Fermez la fenêtre Services.
- Assurez-vous que le service serveur d’applications McAfee ePolicy Orchestrator est démarré.
- Assurez-vous que vous pouvez vous connecter à la console ePO à l’aide des éléments suivants :
- Le nom NetBIOS de notre serveur ePO dans l’URL.
- Un compte qui est un administrateur ePO et qui utilise l’authentification ePO (non Windows l’authentification)
Vous devez utiliser ce compte ultérieurement pour régénérer les certificats.
Remarque : Certains caractères du nom d’utilisateur ou du mot de passe de l’administrateur provoquent l’échec du processus de régénération de certificat, bien qu’ils soient valides lors de la connexion à la console ePO. Il est conseillé de remplacer temporairement le mot de passe par un mot de passe alphanumérique simple. Ou utilisez un nouvel utilisateur administrateur temporaire avec un mot de passe simple à utiliser lors du processus de régénération de certificat.
Lorsque vous avez terminé, vous pouvez modifier le mot de passe ou supprimer l’utilisateur d’administrateur temporaire.
- Pour que le processus de régénération réussisse, le ssl.crt dossier doit exister et être vide. Recherchez le \Apache2\conf dossier dans le dossier d’installation d’EPO ou du gestionnaire d'agents.
- Si un ssl.crt dossier existe, renommez-le ssl.crt.old .
- Créez un dossier et renommez-le ssl.crt .
- Cliquez sur Démarrer, saisissez cmd dans le champ de recherche, cliquez avec le bouton droit de la même manière, puis cliquez sur Exécuter en tant qu’administrateur.
- Modifiez les répertoires dans votre dossier d’installation d’ePO. Les chemins d’accès par défaut sont fournis ci-dessous :
Composant |
Chemin d'accès |
Serveur ePO |
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\ |
Gestionnaire de l'agent (64 bits) |
C:\Program Files (x86)\McAfee\Agent Handler\ |
Gestionnaire de l'agent (32 bits) |
C:\Program Files\McAfee\Agent Handler\ |
- Exécutez la commande ci-dessous :
Rundll32.exe ahsetup.dll RunDllGenCerts <ePO_server_name> <console_HTTPS_port> <admin_username> <password> <"installdir\Apache2\conf\ssl.crt">
Dans la commande ci-dessus :
- <ePO_server_name> : Nom NetBIOS du serveur ePO
- <console_HTTPS_port> — The port de la console ePO (la valeur par défaut est 8443)
- <admin_username> — Le compte administrateur ePO (voir Etape 3)
- <password> : Mot de passe du compte d’administrateur ePO (voir Etape 3)
- <installdir\Apache2\conf\ssl.crt> : Chemin d’accès complet au dossier vide ssl.crt (Voir l’étape 4). Assurez-vous de placer ce chemin d’accès entre guillemets doubles.
Exemple :
Rundll32.exe ahsetup.dll RunDllGenCerts epo_server_name 8443 administrator password "C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\ssl.crt"
important :
- La commande échoue si vous avez activé le contrôle de compte d’utilisateur sur ce serveur. Si le serveur est en cours d’exécution Windows Server 2008 ou une version ultérieure, désactivez cette fonctionnalité.
Pour plus d’informations, reportez-vous au Guide pas à pas du contrôle de compte d’utilisateur de Microsoft.
- Le paramètre est sensible à la RunDllGenCerts casse.
Remarque : Dans le cas d’une utilisation normale, la commande ne produit pas de messages lorsqu’elle est exécutée. Au bout de quelques secondes, le ssl.crt dossier est rempli avec les fichiers de certificat suivants :
- ahCert.crt
- ahpriv.key
- mfscabundle.cer
- pkcs12store.pfx
- pkcs12store.properties
Un fichier journal est créé ahsetup_<ePO_server_name>.log .
- Ouvrez ce fichier journal dans un éditeur de texte. Si la régénération est réussie, le journal se termine par les lignes suivantes :
AHSETUP The Agent Handler successfully connected to the ePO server.
AHSETUP Successfully created the Agent Handler certs.
AHSETUP Successfully created the Agent Handler CA Certificate.
AHSETUP Successfully imported the PKCS12 Certificates.
- Démarrez le service serveur ePO.