Este artigo fornece uma descrição dos certificados usados pelo serviço do servidor ePO e o processo de gerá-los novamente, se necessário.
O serviço do servidor ePO (Apache) no ePO usa certificados para proteger as comunicações para o seguinte:
- Comunicação com o McAfee Agent em computadores clientes
- Comunicação interna com o serviço do servidor de aplicativos do ePO
Esses certificados são criados durante a instalação do ePO ou de outro Manipulador de agentes. Certificados autoassinados, que o serviço de servidor de aplicativos do ePO (Tomcat) possui, emitir os certificados. Os certificados autoassinados também são criados durante a instalação do ePO.
NOTAS:
- Não é possível substituir esses certificados por certificados emitidos por outra autoridade de certificação.
- Os certificados são armazenados na ssl.crt pasta. Os caminhos são diferentes se você escolher um caminho não padrão no momento da instalação.
- O servidor ePO: C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\ssl.crt
- Manipulador de agentes sistema operacional de 64 bits: C:\Program Files (x86)\McAfee\Agent Handler\Apache2\conf\ssl.crt
- Manipulador de agentes sistema operacional de 32 bits: C:\Program Files\McAfee\Agent Handler\Apache2\conf\ssl.crt
- A pasta contém os seguintes arquivos:
- ahCert.crt
- ahpriv.key
- mfscabundle.cer
- pkcs12store.pfx
- pkcs12store.properties
- In certain situations, you might need the path to re-create or regenerate these certificates.
For example, when ePO is being restored as part of the manual disaster recovery process, as described in KB66616 - ePolicy Orchestrator server backup and disaster recovery procedure.
Para gerar novamente os certificados:
- Interrompa o serviço do servidor ePO:
- Pressione Windows + R.
- Digite services.msc no campo e pressione Enter.
- Clique com o botão direito do mouse no seguinte serviço ePO e selecione parar:
McAfee ePolicy Orchestrator #.#.# Server
- Feche a janela serviços.
- Certifique-se de que o serviço do servidor de aplicativos da McAfee ePolicy Orchestrator foi iniciado.
- Verifique se você pode efetuar logon no console do ePO usando o seguinte:
- O nome NetBIOS do servidor ePO no URL.
- Uma conta que é um administrador do ePO e usa a autenticação do ePO (não Windows autenticação)
Você precisará usar esta conta mais tarde para gerar novamente os certificados.
Nota: Determinados caracteres no nome de usuário do administrador ou na senha fazem com que o processo de regeneração de certificado falhe, embora eles sejam válidos ao efetuarem logon no console do ePO. Recomendamos que você altere a senha temporariamente para uma senha alfanumérica simples. Ou então, use um novo usuário administrador temporário com uma senha simples para usar durante o processo de regeneração do certificado.
Ao concluir, você pode alterar a senha novamente ou remover o usuário administrador temporário.
- Para que o processo de regeneração seja bem-sucedido, a ssl.crt pasta deve existir e ficar vazia. Localize a \Apache2\conf pasta na pasta de instalação do EPO ou do manipulador de agentes.
- Se houver uma ssl.crt pasta, renomeie-a para ssl.crt.old .
- Criar uma pasta e renomeá-la para ssl.crt .
- Clique em Iniciar, digite cmd o campo de pesquisa, clique com o botão direito do mouse e clique em executar como administrador.
- Altere os diretórios para a pasta de instalação do ePO. Os caminhos padrão são fornecidos abaixo:
Componente |
Caminho |
Servidor ePO |
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\ |
Manipulador de agentes (64 bits) |
C:\Program Files (x86)\McAfee\Agent Handler\ |
Manipulador de agentes (32 bits) |
C:\Program Files\McAfee\Agent Handler\ |
- Execute o comando a seguir:
Rundll32.exe ahsetup.dll RunDllGenCerts <ePO_server_name> <console_HTTPS_port> <admin_username> <password> <"installdir\Apache2\conf\ssl.crt">
No comando acima:
- <ePO_server_name> — O nome NetBIOS do servidor ePO
- <console_HTTPS_port> — The porta do console do ePO (o padrão é 8443)
- <admin_username> — A conta do administrador do ePO (consulte a etapa 3)
- <password> — A senha da conta do administrador do ePO (consulte a etapa 3)
- <installdir\Apache2\conf\ssl.crt> — O caminho completo para a pasta vazia ssl.crt (consulte a etapa 4). Verifique se você coloca esse caminho entre aspas duplas.
Exemplo:
Rundll32.exe ahsetup.dll RunDllGenCerts epo_server_name 8443 administrator password "C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\ssl.crt"
importante :
- O comando falhará se você tiver ativado o controle de conta de usuário neste servidor. Se o servidor estiver executando o Windows Server 2008 ou uma versão posterior, desative esse recurso.
Para obter detalhes, consulte o guia detalhado controle de conta de usuário em Microsoft.
- O parâmetro diferencia maiúsculas de RunDllGenCerts minúsculas.
Nota: No uso normal, o comando não produz mensagens quando é executado. Após alguns segundos, a ssl.crt pasta é preenchida com os seguintes arquivos de certificado:
- ahCert.crt
- ahpriv.key
- mfscabundle.cer
- pkcs12store.pfx
- pkcs12store.properties
Um arquivo de log é criado ahsetup_<ePO_server_name>.log .
- Abra esse arquivo de log em um editor de texto. Se a regeneração for bem-sucedida, o registro terminará com as seguintes linhas:
AHSETUP The Agent Handler successfully connected to the ePO server.
AHSETUP Successfully created the Agent Handler certs.
AHSETUP Successfully created the Agent Handler CA Certificate.
AHSETUP Successfully imported the PKCS12 Certificates.
- Inicie o serviço do servidor ePO.