本文介绍了 ePO 服务器服务所使用的证书以及重新生成这些证书的过程（如有需要）。

介绍
ePO 中的 ePO 服务器服务（Apache）使用证书来保护以下通信：

• 与客户端计算机上的 McAfee Agent 通信
• 与 ePO 应用程序服务器服务的内部通信。

这些证书是在安装 ePO 或其他代理处理程序期间创建的。 ePO 应用程序服务器服务（Tomcat）拥有的自签名证书颁发证书。 自签名证书也会在 ePO 安装过程中创建。

注意：无法将这些证书替换为其他证书颁发机构颁发的证书。

证书存储在ssl.crt文件夹。 默认位置如下所示：

注意：如果您在安装时选择了非默认路径，则路径会有所不同。

组件	路径
ePO 服务器	C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\ssl.crt
代理处理程序 64位操作系统	C:\Program Files (x86)\McAfee\Agent Handler\Apache2\conf\ssl.crt
代理处理程序 32位操作系统	C:\Program Files\McAfee\Agent Handler\Apache2\conf\ssl.crt

该文件夹包含以下文件：

• ahCert.crt
• ahpriv.key
• mfscabundle.cer
• pkcs12store.pfx
• pkcs12store.properties

在某些情况下，您可能需要重新创建或重新生成这些证书的路径。 例如，如果 ePO 作为手动灾难恢复过程的一部分被还原，请参阅KB66616。

要重新生成证书：

1. 停止 ePO 服务器服务。
2. 请确保已启动 McAfee ePolicy Orchestrator 应用程序服务器服务。
3. 请确保您可以使用以下选项登录 ePolicy Orchestrator 控制台：
   • URL 中 McAfee ePO 服务器的 NetBIOS 名称
   • 作为 ePO 管理员的帐户并使用 ePO 身份验证（非 Windows 身份验证）
   
   您需要稍后使用此帐户来重新生成证书。
   
   注意：管理员用户名或密码中的某些字符会导致证书再生过程失败，即使这些字符在登录到 ePO 控制台时有效。 McAfee 建议暂时将密码更改为简单的字母数字密码。 或者，使用具有简单密码的新临时管理员用户在证书再生过程中使用。
   
   完成后，您可以更改密码或删除临时管理员用户。
   
4. 为使再生过程成功，ssl.crt 文件夹必须存在且为空。 在 ePO 或代理处理程序安装文件夹中找到\Apache2\conf文件夹。
5. 如果某个ssl.crt文件夹存在，请将其重命名为ssl.crt.old。
6. 创建文件夹并将其重命名为ssl.crt。
7. 单击开始，请在搜索字段中键入cmd，右键单击，然后单击以管理员身份运行。
8. 将目录更改为 ePO 安装文件夹。 默认路径在上面的导言部分提供。
9. 运行以下命令：
   
   Rundll32.exe ahsetup.dll RunDllGenCerts <"installdir\Apache2\conf\ssl.crt">
   
   Where:
   • 是您的 ePO 服务器 NetBIOS 名称
   • 是您的 ePO 控制台端口（默认为8443）
   • 是 ePO 管理员帐户（请参阅步骤3）
   • 是 ePO 管理员帐户的密码（请参阅步骤3）
   • 是空 ssl.crt 文件夹的完整路径（请参阅步骤4）。 请确保将此路径括在双引号中。
   
   Example:
   Rundll32.exe ahsetup.dll RunDllGenCerts epo_server_name 8443 administrator password "C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\ssl.crt"
   
   重要说明：
   • 如果您在此服务器上启用了用户帐户控制（UAC），则该命令失败。 如果服务器运行的是 Windows Server 2008 或更高版本，请禁用此功能。有关 UAC 的详细信息，请参阅： http://technet.microsoft.com/en-us/library/cc709691(WS.10).aspx。
   • RunDllGenCerts参数区分大小写。
     
   注意：在正常使用中，该命令在运行时不会生成消息。 几秒钟后，ssl.crt 文件夹使用以下证书文件填充：
   • ahCert.crt
   • ahpriv.key
   • mfscabundle.cer
   • pkcs12store.pfx
   • pkcs12store.properties
     
   A log file is created ahsetup_.log.
   
10. 在文本编辑器中打开此日志文件。 如果重新生成成功，日志将以以下行结尾：
    
    AHSETUP TheAgent Handler successfully connected to the ePO server.
    AHSETUP Successfully created the Agent Handler certs.
    AHSETUP Successfully created the Agent Handler CA Certificate.
    AHSETUP Successfully imported the PKCS12 Certificates.
    
11. 启动 ePO 服务器服务。