In questo articolo viene fornita una descrizione dei certificati utilizzati dal servizio del server ePO e del processo di rigenerazione, se necessario.
Il servizio server ePO (Apache) in ePO utilizza i certificati per proteggere le comunicazioni per le seguenti operazioni:
- Comunicazioni con McAfee Agent sui computer client
- Comunicazione interna con il servizio server applicazioni ePO
Questi certificati vengono creati durante l'installazione di ePO o di un altro gestore degli agent. Certificati autofirmati, che sono proprietari del servizio Application server ePO (Tomcat), emettono i certificati. I certificati autofirmati vengono creati anche durante l'installazione di ePO.
NOTE:
- Non è possibile sostituire questi certificati con certificati emessi da un'altra autorità di certificazione.
- I certificati vengono memorizzati nella ssl.crt cartella. I percorsi sono diversi se si sceglie un percorso non predefinito al momento dell'installazione.
- Il server ePO: C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\ssl.crt
- Agent gestore di sistemi operativi a 64 bit: C:\Program Files (x86)\McAfee\Agent Handler\Apache2\conf\ssl.crt
- Agent gestore di sistemi operativi a 32 bit: C:\Program Files\McAfee\Agent Handler\Apache2\conf\ssl.crt
- La cartella contiene i seguenti file:
- ahCert.crt
- ahpriv.key
- mfscabundle.cer
- pkcs12store.pfx
- pkcs12store.properties
- In certain situations, you might need the path to re-create or regenerate these certificates.
For example, when ePO is being restored as part of the manual disaster recovery process, as described in KB66616 - ePolicy Orchestrator server backup and disaster recovery procedure.
Per rigenerare i certificati:
- Arrestare il servizio server ePO:
- Premere Windows + R.
- Digitare services.msc il campo e premere INVIO.
- Fare clic con il pulsante destro del mouse sul servizio ePO seguente e selezionare Interrompi:
McAfee ePolicy Orchestrator #.#.# Server
- Chiudere la finestra dei servizi.
- Assicurarsi che il servizio McAfee ePolicy Orchestrator server applicazioni sia stato avviato.
- Assicurarsi di poter accedere alla console ePO utilizzando quanto segue:
- Il nome NetBIOS del server ePO nell'URL.
- Un account che è un amministratore ePO e utilizza l'autenticazione ePO (non Windows autenticazione)
È necessario utilizzare questo account in un secondo momento per rigenerare i certificati.
Nota: Alcuni caratteri nel nome utente amministratore o password causano l'errore del processo di rigenerazione del certificato, anche se sono validi quando accedono alla console ePO. Si consiglia di modificare temporaneamente il password in Una password alfanumerico semplice. In alternativa, utilizzare un nuovo utente di amministratore temporaneo con Una password semplice da utilizzare durante il processo di rigenerazione del certificato.
Al termine, è possibile modificare il password indietro o rispostare l'utente amministratore temporaneo.
- Affinché il processo di rigenerazione abbia esito positivo, la ssl.crt cartella deve esistere ed essere vuota. Individuare la \Apache2\conf cartella nella cartella di installazione del gestore ePO o Agent.
- Se esiste una ssl.crt cartella, rinominarla in ssl.crt.old .
- Creare una cartella e rinominarla in ssl.crt .
- Fare clic su Start, digitare cmd il campo di ricerca, fare clic con il pulsante destro del mouse e fare clic su Esegui come amministratore.
- Modificare le directory nella cartella di installazione di ePO. Di seguito sono riportati i percorsi predefiniti:
Componente |
Percorso |
Server ePO |
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\ |
Gestore Agent (64 bit) |
C:\Program Files (x86)\McAfee\Agent Handler\ |
Gestore Agent (32 bit) |
C:\Program Files\McAfee\Agent Handler\ |
- Eseguire il comando riportato di seguito:
Rundll32.exe ahsetup.dll RunDllGenCerts <ePO_server_name> <console_HTTPS_port> <admin_username> <password> <"installdir\Apache2\conf\ssl.crt">
Nel comando precedente:
- <ePO_server_name> : Il nome NetBIOS del server ePO
- <console_HTTPS_port> — The porta della console ePO (il valore predefinito è 8443)
- <admin_username> — L'account di amministratore ePO (vedi passaggio 3)
- <password> : La password per l'account di amministratore ePO (vedi passaggio 3)
- <installdir\Apache2\conf\ssl.crt> : Il percorso completo della cartella vuota ssl.crt (vedi passaggio 4). Assicurarsi di racchiudere questo percorso tra virgolette doppie.
Esempio:
Rundll32.exe ahsetup.dll RunDllGenCerts epo_server_name 8443 administrator password "C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\ssl.crt"
importante:
- Il comando non riesce se è stato attivato il controllo dell'account utente su questo server. Se il server è in esecuzione Windows Server 2008 o versione successiva, disattivare questa funzionalità.
Per informazioni dettagliate, consultare la Guida dettagliata del controllo dell'account utente da Microsoft.
- Il RunDllGenCerts parametro è distinzione tra maiuscole e minuscole.
Nota: In uso normale, il comando non produce messaggi quando viene eseguito. Dopo alcuni secondi, la ssl.crt cartella viene popolata con i seguenti file di certificato:
- ahCert.crt
- ahpriv.key
- mfscabundle.cer
- pkcs12store.pfx
- pkcs12store.properties
Viene creato ahsetup_<ePO_server_name>.log un file di registro.
- Aprire questo file di registro in un editor di testo. Se la rigenerazione ha esito positivo, il registro termina con le seguenti righe:
AHSETUP The Agent Handler successfully connected to the ePO server.
AHSETUP Successfully created the Agent Handler certs.
AHSETUP Successfully created the Agent Handler CA Certificate.
AHSETUP Successfully imported the PKCS12 Certificates.
- Avviare il servizio server ePO.