ePO 5.10 cu 13 et versions ultérieures requièrent que les certificats de gestionnaire d’agent et racine utilisés par ePO soient de 2048 bits SHA-256. Si les certificats actuels sont SHA-1, vous devez effectuer le processus de migration des certificats, comme décrit dans
article kb87017-la migration de SHA-1 vers les certificats SHA-2 est nécessaire après la mise à niveau vers ePolicy Orchestrator.
Toutefois, dans certaines circonstances, il est possible que le processus de migration échoue. Ce problème se produit, car le
keystoreTemp dossier est supprimé au cours du processus de migration. Cet échec peut se produire si vous mettez à niveau ou restaurez ePO à partir d’une capture instantanée de reprise sur sinistre au milieu de la migration.
Les conséquences de cet échec peuvent être graves. Dans le pire des cas, il est nécessaire de réinstaller les agents sur tous les ordinateurs clients. Par conséquent, avant d’appliquer la version 13 ou ultérieure, vous devez effectuer les vérifications suivantes et entreprendre l’action appropriée.
Vérification 1 :
Dans la console ePO, effectuez les actions suivantes :
- Accédez à menu, Système, certificat Manager.
- Vérifiez les options disponibles dans la section certificat racine :
- Si les options sont soit régénérer le certificat , soit terminer la migration/annuler la migration, vous n’avez pas le problème décrit dans cet article.
- Si l’option est activer le certificat, passez à la case à cocher 2.
Vérification 2 :
Sur le serveur ePO, effectuez les actions suivantes :
- Ouvrez le système de fichiers.
- Accédez à <ePO install folder>\server folder . Par exemple : C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Server .
- Vérifiez s’il existe un sous-dossier appelé keystoreTemp, qui contient les fichiers suivants :
- agentHandler.keystore
- ca.keystore
- clientAuth.keystore
Remarque : Un autre server.keystore fichier peut également être présent.
Si vous disposez d’un keystoreTemp dossier existant dans le dossier serveur, vous n’avez pas le problème auquel il est adressé dans cet article.
Si vous n’avez pas le keystoreTemp dossier ou s’il existe, mais qu’il est vide, passez à la solution temporaire ci-dessous.