Comment importer le certificat du gestionnaire d'agents dans le magasin de certificats de l’ordinateur local
Articles techniques ID:
KB92120
Date de la dernière modification : 2022-07-18 18:50:46 Etc/GMT
Environnement
McAfee ePolicy Orchestrator (ePO) 5.10.x , 5.9.x
Problème
Si le certificat du gestionnaire d’agent ne figure pas dans le magasin de certificats personnel de l’ordinateur local, les symptômes suivants s’affichent :
- Lors du démarrage du service serveur ePO, des messages d’erreur semblables aux suivants sont enregistrés dans server_<eposervername>.log :
E MCUPLOAD SecureHttp.cpp(454): Error obtaining MY AH_ certificate from cert store
E MCUPLOAD SecureHttp.cpp(505): Error finding MY, CA, or ROOT certificates in cert store
E MCUPLOAD SecureHttp.cpp(656): Failed to set the client auth.
E MCUPLOAD SecureHttp.cpp(863): Failed to query auth schemes (error=4317)
E MCUPLOAD SecureHttp.cpp(454): Error obtaining MY AH_ certificate from cert store
E MCUPLOAD SecureHttp.cpp(505): Error finding MY, CA, or ROOT certificates in cert store
E MCUPLOAD SecureHttp.cpp(656): Failed to set the client auth.
- Les opérations de canal de données telles que les appels de réactivation et l' exécution de tâches client maintenant échouent. Les erreurs semblables aux suivantes sont enregistrées dans server_<eposervername>.log :
E #03552 MCUPLOAD SecureHttp.cpp(454): Error obtaining MY AH_ certificate from cert store
E #03552 MCUPLOAD SecureHttp.cpp(505): Error finding MY, CA, or ROOT certificates in cert store
E #03552 MCUPLOAD SecureHttp.cpp(1024): Failed to disable client auth options
E #03552 NAIMSERV server.cpp(558): Failed to send request, err=0x80004005, HTTP status code=0
Cause
Un certificat de gestionnaire d'agents manquant dans le magasin de certificats personnel de l’ordinateur local est à l’origine de ce problème. Si ePO est installé dans un environnement de cluster, ces symptômes peuvent uniquement affecter un seul nœud du cluster.
Le certificat du gestionnaire d’agent est nommé :
- AH_ : pour une installation ePO individuelle
- AH_ : pour plus de l'agent les systèmes gestionnaires
- AH_ : pour les installations d’EPO en cluster
REMARQUES :
- Si le serveur ePO a été renommé, les mêmes symptômes et messages d’erreur que ceux décrits ci-dessus s’affichent.
- Cet article s’applique uniquement si le certificat du gestionnaire d'agents est manquant.
- Si le serveur a été renommé et que le magasin de certificats contient un certificat avec l’ancien nom de serveur, vous n’avez pas le problème décrit dans cet article.
Pour déterminer si vous avez ce problème, examinez le magasin de certificats sur le système concerné, en procédant comme suit :
- Cliquez sur Démarrer, exécuter, saisissez MMC, puis cliquez sur OK.
- Dans le menu fichier, sélectionnez Ajouter/supprimer un composant logiciel enfichable.
- Dans la liste des composants logiciels enfichables, choisissez certificats, puis cliquez sur Ajouter.
- Sélectionnez compte d’ordinateur, puis cliquez sur suivant.
- Sélectionnez ordinateur local, puis cliquez sur Terminer.
- Cliquez sur OK.
- Dans le volet de gauche, sous racine de la console, développez l’objet certificats (ordinateur local) .
- Développez le magasin personnel, puis sélectionnez l' objet certificats.
Les certificats installés s’affichent dans le volet central de la fenêtre.
Solution
Pour réinstaller le certificat du gestionnaire d'agents sur le système concerné, procédez comme suit :
- Arrêtez le service serveur ePO. Dans une installation ePO en cluster, vous pouvez soit mettre le service partagé hors ligne, soit faire échouer ePO sur le nœud de travail.
- Appuyez sur la touche Windows + R.
- Saisissez le texte services.msc dans le champ et appuyez sur entrée.
- Cliquez avec le bouton droit de la même façon sur chacun des services ePO suivants, puis sélectionnez arrêter:
McAfee ePolicy Orchestrator #.#.# Application Server
McAfee ePolicy Orchestrator #.#.# Event Parser
McAfee ePolicy Orchestrator #.#.# Server
- Recherchez le dossier de certificat. Par défaut, le dossier se trouve à <epo install folder>\Apache2\conf\ssl.crt .
- Dans le ssl.crt dossier, double-cliquez sur le pkcs12store.pfx fichier pour lancer l’Assistant d’importation de certificat.
- Pour Store Location , sélectionnez Local Machine , puis cliquez sur suivant.
- Cliquez sur suivant sur la File to import page.
- Dans le ssl.crt dossier, ouvrez le pkcs12store.properties fichier dans un éditeur de texte. Vous voyez une entrée similaire à ce qui suit :
storePassword=UsRo8RY
- Copiez le mot de passe, c’est-à-dire tout ce qui suit la storePassword= chaîne. Dans l’exemple ci-dessus, le mot de passe est UsRo8RY .
- Collez le mot de passe dans le champ mot de passe de l’Assistant d’importation de certificat. Ne modifiez pas les autres sélections. Cliquez sur Suivant.
- Sélectionnez Placer tous les certificats dans la Banque suivante, cliquez sur Parcourir, sélectionnez le magasin personnel , puis cliquez sur OK.
- Cliquez sur suivant, Terminer.
- Ouvrez à nouveau la banque personnelle dans le composant logiciel enfichable certificat MMC. Trois certificats sont ajoutés à cette banque, dont le nom est le suivant :
Sur un serveur ePO individuel :
- AH_<eposervername>
- AH_CA_<eposervername>
- Orion_CA_<eposervername>
Sur un nœud de serveur ePO en cluster :
- AH_<clustername>
- AH_CA_<primarynodename>
- Orion_CA_<clustername>
Sur un gestionnaire d'agents :
- AH_<agenthandlername>
- AH_CA_<eposervername>
- Orion_CA_<eposervername>
- Vous devez conserver uniquement le certificat AH_ dans le magasin personnel. Supprimez les certificats Orion_CA_ et AH_CA_ , en ne laissant que le certificat AH_ .
- Démarrez le service serveur ePO. Dans la fenêtre services, cliquez avec le bouton droit sur chacun des services ePO suivants, puis sélectionnez Start :
McAfee ePolicy Orchestrator #.#.# Application Server
McAfee ePolicy Orchestrator #.#.# Event Parser
McAfee ePolicy Orchestrator #.#.# Server
Le service démarre sans erreur et les opérations de canal de données réussissent.
- Fermez la fenêtre Services.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
|