En este artículo se proporciona una descripción de los certificados utilizados por el servicio del servidor de ePO y el proceso para regenerarlos, si es necesario.

El servicio del servidor de ePO (Apache) en ePO utiliza certificados para proteger las comunicaciones para lo siguiente:

• Comunicaciones con McAfee Agent en equipos cliente
• Comunicación interna con el servicio servidor de aplicaciones de ePO.

Estos certificados se crean durante la instalación de ePO u otro Controlador de agentes. Los certificados autofirmados, que posee el servicio servidor de aplicaciones de ePO (Tomcat), emiten los certificados. Los certificados autofirmados también se crean durante la instalación de ePO.

NOTA:: No es posible sustituir estos certificados por certificados emitidos por otra autoridad de certificación.

Los certificados se almacenan en la ssl.crt directorio. Las ubicaciones predeterminadas se enumeran a continuación:

NOTA: Las rutas de acceso son distintas si se elige una ruta no predeterminada en el momento de la instalación.

Componente	Ruta
Servidor de ePO	C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\ssl.crt
Controlador de agentes sistema operativo de 64 bits	C:\Program Files (x86)\McAfee\Agent Handler\Apache2\conf\ssl.crt
Controlador de agentes sistema operativo de 32 bits	C:\Program Files\McAfee\Agent Handler\Apache2\conf\ssl.crt

La carpeta contiene los siguientes archivos:

• ahCert.crt
• ahpriv.key
• mfscabundle.cer
• pkcs12store.pfx
• pkcs12store.properties

En algunas situaciones, es posible que necesite la ruta para volver a crear o generar estos certificados. Por ejemplo, si se va a restaurar ePO como parte del proceso de recuperación de desastres manual, tal y como se describe en EL KB66616.

Para regenerar los certificados:

1. Detenga el servicio del servidor de ePO.
   1. Pulse la tecla Windows + R.
   2. Escriba services.msc en el campo y pulse Intro.
   3. Haga clic con el botón derecho en el siguiente servicio de ePO y seleccione Final:
      
      McAfee ePolicy Orchestrator #.#.# Server
      
   4. Cierre la ventana servicios.
      
2. Asegúrese de que la Servidor de aplicaciones de McAfee ePolicy Orchestrator se ha iniciado el servicio.
3. Asegúrese de que puede iniciar sesión en la consola de ePolicy Orchestrator mediante:
   • El nombre NetBIOS del servidor de McAfee ePO en la URL
   • Una cuenta que es un administrador de ePO y que utiliza autenticación de ePO (no Windows autenticación)
   
   Debe utilizar esta cuenta posteriormente para volver a generar los certificados.
   
   NOTA: Ciertos caracteres en el nombre de usuario o la contraseña del administrador provocan un error en el proceso de regeneración del certificado. Aunque sean válidos al iniciar sesión en la consola de ePO. McAfee recomienda cambiar temporalmente la contraseña por una contraseña alfanumérica simple. O bien, utilice un nuevo usuario administrador temporal con una contraseña sencilla para utilizar durante el proceso de regeneración de certificados.
   
   Cuando termine, podrá volver a cambiar la contraseña o eliminar el usuario administrador temporal.
   
4. Para que el proceso de regeneración se realice correctamente, el ssl.crt la carpeta debe existir y estar vacía. Localice la carpeta \Apache2\conf en la carpeta de instalación de ePO o Controlador de agentes.
5. Si existe una carpeta SSL. CRT, cámbiele el nombre a SSL. CRT. old.
6. Cree una carpeta y cámbiele el nombre a SSL. CRT.
7. Haga clic en Inicio, escriba cmd en el campo de búsqueda, haga clic con el botón derecho del ratón y seleccione Ejecutar como administrador.
8. Cambie los directorios a la carpeta de instalación de ePO. Las rutas predeterminadas se proporcionan en la sección introducción anterior.
9. Ejecute el siguiente comando:
   
   Rundll32.exe ahsetup.dll RunDllGenCerts <"installdir\Apache2\conf\ssl.crt">
   
   Donde
   • <ePO_server_name> -Nombre NetBIOS del servidor de ePO
   • <console_HTTPS_port> - The Puerto de la consola de ePO (el valor predeterminado es 8443)
   • <admin_username> -La cuenta del administrador de ePO (véase el paso 3)
   • <password> -La contraseña de la cuenta del administrador de ePO (consulte el paso 3)
   • <installdir\Apache2\conf\ssl.crt> -La ruta completa a la carpeta vacía SSL. CRT (consulte el paso 4). Asegúrese de incluir esta ruta entre comillas dobles.
   
   Como
   Rundll32.exe ahsetup.dll RunDllGenCerts epo_server_name 8443 administrator password "C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\ssl.crt"
   
   IMPORTANTE:
   • El comando falla si ha activado control de cuentas de usuario (UAC) en este servidor. Si el servidor está ejecutando Windows Server 2008 o posterior, desactive esta función. Para obtener detalles sobre el UAC, consulte: http://technet.Microsoft.com/en-us/library/cc709691 (WS. 10). aspx.
   • Lo RunDllGenCerts el parámetro distingue entre mayúsculas y minúsculas.
     
   NOTA: En su uso normal, el comando no genera mensajes cuando se ejecuta. Tras unos segundos, la carpeta SSL. CRT se rellena con los siguientes archivos de certificado:
   • ahCert.crt
   • ahpriv.key
   • mfscabundle.cer
   • pkcs12store.pfx
   • pkcs12store.properties
     
   Se crea un archivo de registro ahsetup_.log.
   
10. Abra este archivo de registro en un editor de texto. Si la regeneración se ha realizado correctamente, el registro finaliza con las siguientes líneas:
    
    AHSETUP The Agent Handler successfully connected to the ePO server.
    AHSETUP Successfully created the Agent Handler certs.
    AHSETUP Successfully created the Agent Handler CA Certificate.
    AHSETUP Successfully imported the PKCS12 Certificates.
    
11. Inicie el servicio del servidor de ePO.