o ePO 5.10 cu 13 e versões posteriores exigem que os certificados de manipulador de agentes e raiz usados pelo ePO sejam de 2048 bits SHA-256. Se os certificados atuais forem SHA-1, você deverá concluir o processo de migração de certificado, conforme descrito em
KB87017-a migração dos certificados SHA-1 para Sha-2 é necessária após o upgrade para o ePolicy Orchestrator.
Mas, em algumas circunstâncias, é possível que o processo de migração falhe. Esse problema ocorre porque a
keystoreTemp pasta é removida durante o processo de migração. Essa falha pode acontecer se você upgrade ou restaurar o ePO de um instantâneo de recuperação de desastres no meio da migração.
As conseqüências dessa falha podem ser sérias. Em um cenário de pior caso, seria necessário reinstalar os agentes em todos os computadores clientes. Portanto, antes de aplicar CU 13 ou posterior, você deve executar as seguintes verificações e executar a ação apropriada.
Verificar 1:
No console do ePO, execute as seguintes ações:
- Navegue até o menu, configuração, Manager de certificados.
- Verifique quais opções estão disponíveis na seção certificado raiz:
- Se as opções forem gerar certificado novamente ou concluir a migração /cancelar a migração, você não terá o problema que este artigo soluciona.
- Se a opção for ativar o certificado, continue com a verificação 2.
Fazer check-in 2:
No servidor ePO, execute as seguintes ações:
- Abra o sistema de arquivo.
- Navegue até o <ePO install folder>\server folder . Por exemplo: C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Server .
- Verifique se há uma subpasta chamada keystoreTemp, que contenha os seguintes arquivos:
- agentHandler.keystore
- ca.keystore
- clientAuth.keystore
Nota: Também pode haver outro server.keystore arquivo presente.
Se você tiver uma keystoreTemp pasta existente na pasta do servidor, você não terá o problema tratado por este artigo.
Se você não tiver a keystoreTemp pasta ou ela existir, mas ela estiver vazia, vá para a solução abaixo.