証明書の移行は、通信のために
SHA-1 ハッシュを
SHA-256 に移行するプロセスです。
証明書の移行を行う前に、以下の点について考慮する必要があります。
- デフォルトでは、ePO 5.10 のインストールには、通信用の SHA-256 証明書が付属しています。
- サポート終了 (EOL) のバージョン 5.9.1 から ePO をアップグレードする場合、これらのバージョンには SHA-1 証明書があります。
- ePO 5.10 を Update 13 にアップグレードする場合、証明書は SHA-256 である必要があります。
証明書の移行プロセスには、次の 3 つの段階があります。
- 再生成
- 登録
- 移行の完了
注: 証明書の移行が初期化されると、証明書の移行が完了するまで、ePO を新しいサーバーに移行したり、障害復旧を実行したり、ePO をアップグレードしたりすることはお勧めしません。
これらのタスクのいずれかを実行する必要がある場合は、証明書の移行をキャンセルして、古い証明書に戻すことができます。ePO を新しいサーバーに移行した後、障害時復旧を実行するか、ePO をアップグレードした後で、新規の証明書の移行を実行できます。
すべての推奨事項を実行した後に証明書の移行が失敗する場合は、以下の手順を実行します。
- 以下の質問に回答してください。
- ePO で管理されているシステムはいくつですか?
- すべてのクライアントまたは少数のクライアントのみが通信を停止しましたか?
- 環境にリモート エージェント ハンドラーが含まれていますか?はいの場合、詳細を入力します。
- ePO 5.10 の CU バージョンは何ですか?
- クライアントと ePO サーバーから最小エスカレーション要件 (MER) ファイルを収集します。この手順は必須です。
注: いくつかのシステムが通信していて、いくつかが通信していない場合は、1 つの動作中のシステムと 1 つの非動作中のシステムから MER ファイルを収集します。
- ePO サーバーから次のフォルダーのバックアップを取得します。
<ePO installed folder>\Apache2\conf
<ePO installed folder>\server\keystore
<ePO installed folder>\server\conf
次のフォルダーが見つかった場合は、バックアップを取得します。
<ePO installed folder>\server\keystoreTemp
<ePO installed folder>\server\keystoreBackup
- 次の場所にある ePO コンソールからスクリーンショットを収集します。
- 設定、 証明書マネージャー
- 設定、 エージェント ハンドラー
- 設定、 エージェント ハンドラー、アクティブな エージェント ハンドラ数ー をクリックします。
- 管理者コマンド プロンプトを開きます。次のコマンドを実行して、Windows ストアの証明書をテキスト ファイルにエクスポートします。
dir cert: -recurse > c:\certs.txt
- 次の SQL クエリを実行して、出力を CSV ファイルにエクスポートします。
--SELECT * FROM OrionCertStateManager WHERE ProductID = 'agentHandler.keystore'
--Select * from OrionCertStateManager
--Select * from EPOServerCerts
--Select * from EPOServerCertsbackup
上記のクエリの出力をエクスポートする手順は次のとおりです。
- SQL Server Management Studio にログオンします。
- ePO サーバーを右クリックして、 新しいクエリを選択します。
- 上記の SQL クエリをクエリ ウィンドウに貼り付けます。
- ツール バーの上にある クエリ メニュー項目をクリックします。
- 結果、結果のファイル の順にクリックするか、ショートカット Ctrl+Shift+F を使用します。
- ツールバーの 実行 をクリックするか、F5 キーを押します。