本文介绍了 ePO 服务器服务所使用的证书以及重新生成这些证书的过程(如有需要)。
ePO 中的 ePO 服务器服务(Apache)使用证书来保护以下通信:
- 与客户端计算机上的 McAfee Agent 通信
- 与 ePO 应用程序服务器服务的内部通信
这些证书是在安装 ePO 或其他代理处理程序期间创建的。 ePO 应用程序服务器服务(Tomcat)拥有的自签名证书颁发证书。 自签名证书也会在 ePO 安装过程中创建。
注意:
- 无法将这些证书替换为另一个证书颁发机构颁发的证书。
- 证书存储在文件夹中 ssl.crt 。如果您在安装时选择非默认路径,则路径会有所不同。
- EPO 服务器: C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\ssl.crt
- 代理处理程序64位操作系统: C:\Program Files (x86)\McAfee\Agent Handler\Apache2\conf\ssl.crt
- 代理处理程序32位操作系统: C:\Program Files\McAfee\Agent Handler\Apache2\conf\ssl.crt
- 该文件夹包含以下文件:
- ahCert.crt
- ahpriv.key
- mfscabundle.cer
- pkcs12store.pfx
- pkcs12store.properties
- In certain situations, you might need the path to re-create or regenerate these certificates.
For example, when ePO is being restored as part of the manual disaster recovery process, as described in KB66616 - ePolicy Orchestrator server backup and disaster recovery procedure.
要重新生成证书:
- 停止 ePO 服务器服务:
- 按Windows + R键。
- 键入 services.msc 到字段中,然后按 Enter。
- 右键单击以下 ePO 服务,然后选择 " 停止":
McAfee ePolicy Orchestrator #.#.# Server
- 关闭服务窗口。
- 请确保已启动 McAfee ePolicy Orchestrator 应用程序服务器 服务。
- 请确保您可以使用以下方法登录到 ePO 控制台:
- 我们 ePO 服务器的 NetBIOS 名称显示在 URL 中。
- 作为 ePO 管理员的帐户并使用 ePO 身份验证(非 Windows 身份验证)
您需要稍后再使用此帐户重新生成证书。
注意: 管理员用户名或密码中的某些字符会导致证书重新生成进程失败,尽管它们在登录到 ePO 控制台时是有效的。我们建议您暂时将密码更改为简单的字母数字密码。或者,使用具有简单密码的新临时管理员用户在证书再生过程中使用。
完成后,您可以改回密码或删除临时管理员用户。
- 要使重新生成过程成功,该 ssl.crt 文件夹必须存在且为空。在 ePO 或代理处理程序安装文件夹中找到该 \Apache2\conf 文件夹。
- 如果某个 ssl.crt 文件夹存在,请将其重命名为 ssl.crt.old 。
- 创建一个文件夹并将其重命名为 ssl.crt 。
- 单击启动,请在搜索字段中键入 cmd ,右键单击,然后单击以管理员身份运行。
- 将目录更改为 ePO 安装文件夹。 默认路径如下所示:
组件 |
路径 |
ePO 服务器 |
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\ |
代理处理程序(64位) |
C:\Program Files (x86)\McAfee\Agent Handler\ |
代理处理程序(32位) |
C:\Program Files\McAfee\Agent Handler\ |
- 运行以下命令。:
Rundll32.exe ahsetup.dll RunDllGenCerts <ePO_server_name> <console_HTTPS_port> <admin_username> <password> <"installdir\Apache2\conf\ssl.crt">
在上述命令。中:
- <ePO_server_name> -EPO 服务器 NetBIOS 名称
- <console_HTTPS_port> — The ePO 控制台端口(默认为8443)
- <admin_username> -EPO 管理员帐户(请参阅步骤3)
- <password> — EPO 管理员帐户的密码(请参阅步骤3)
- <installdir\Apache2\conf\ssl.crt> -空 ssl.crt 文件夹的完整路径(请参阅步骤4)。请确保将此路径包含在双引号.
示例:
Rundll32.exe ahsetup.dll RunDllGenCerts epo_server_name 8443 administrator password "C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\ssl.crt"
重要说明:
- 如果您在此服务器上启用用户账户控制,则命令。会失败。如果服务器运行的是 Windows Server 2008 或更高版本,请禁用此功能。
有关详细信息,请参阅 " 用户账户控制 Microsoft 中的逐步式手册 。
- 该 RunDllGenCerts 参数区分大小写。
注意: 正常使用时,命令。在运行时不会生成消息。几秒钟后,该 ssl.crt 文件夹将使用下列证书文件进行填充:
- ahCert.crt
- ahpriv.key
- mfscabundle.cer
- pkcs12store.pfx
- pkcs12store.properties
创建 ahsetup_<ePO_server_name>.log 日志文件。
- 在文本编辑器中打开此日志文件。 如果重新生成成功,日志将以下列行结尾:
AHSETUP The Agent Handler successfully connected to the ePO server.
AHSETUP Successfully created the Agent Handler certs.
AHSETUP Successfully created the Agent Handler CA Certificate.
AHSETUP Successfully imported the PKCS12 Certificates.
- 启动 ePO 服务器服务。