证书迁移是将
sha-1 哈希迁移到
sha-256 进行通信的过程。
在继续进行证书迁移之前,需要考虑以下几点:
- 默认情况下,ePO 5.10 安装附带了 SHA-256 证书用于通信。
- 对于从任何寿命终止或更早版本 5.9.1 升级的 ePO,这些版本具有 sha-1 证书。
- 如果将 ePO 5.10 升级到更新13,则证书为 SHA-256 是强制性的。
证书迁移过程分为三个阶段:
- 重新生成
- 激活
- 完成迁移
注意: 在初始化证书迁移后,除非证书迁移完成,否则不建议将 ePO 迁移到新的服务器、执行灾难恢复或升级 ePO。
如果您需要执行这些任务中的任何一项,则可以取消证书迁移并还原到旧证书。将 ePO 迁移到新服务器、执行灾难恢复或升级 ePO 之后,您可以执行全新的认证迁移。
如果在遵循所有建议后证书迁移失败,请执行以下步骤。
- 回答以下问题:
- 有多少个系统使用 ePO 进行管理?
- 是拥有所有客户端,还是只有少数客户端停止通信?
- 该环境是否包含远程代理处理程序?如果回答是,请提供详细信息。
- EPO 5.10 的 CU 版本是什么?
- 从客户端和 ePO 服务器收集最小升级要求(MER)文件。此步骤为必填字段。
注意: 如果几个系统正在通信,而有些则不是,请从一个工作系统和一个非工作系统收集一个 MER 文件。
- 从 ePO 服务器获取以下文件夹备份:
<ePO installed folder>\Apache2\conf
<ePO installed folder>\server\keystore
<ePO installed folder>\server\conf
如果您找到这些文件夹,请获取备份:
<ePO installed folder>\server\keystoreTemp
<ePO installed folder>\server\keystoreBackup
- 从以下位置收集 ePO 控制台中的屏幕截图:
- 配置, 证书 Manager
- 配置, 代理处理程序
- 配置, 代理处理程序,单击 Active Agent 处理程序计数
- 打开管理员命令提示符。通过运行以下命令。将 Windows 应用商店中的证书导出到文本文件中:
dir cert: -recurse > c:\certs.txt
- 运行以下 SQL 查询并将输出导出到 CSV 文件:
--SELECT * FROM OrionCertStateManager WHERE ProductID = 'agentHandler.keystore'
--Select * from OrionCertStateManager
--Select * from EPOServerCerts
--Select * from EPOServerCertsbackup
导出上述查询的输出的步骤:
- 登录 SQL Server Management Studio。
- 右键单击 ePO 服务器,然后选择 新建查询。
- 将上面的 SQL 查询粘贴到查询窗口中。
- 在工具栏上方,单击 查询 菜单项。
- 单击 结果、 结果到文件或使用快捷方式 Ctrl + Shift + F。
- 点击执行在工具栏上或按下F5.