In questo articolo viene fornita una descrizione dei certificati utilizzati dal servizio del server ePO e del processo di rigenerazione, se necessario.

Il servizio server ePO (Apache) in ePO utilizza i certificati per proteggere le comunicazioni per le seguenti operazioni:

• Comunicazioni con McAfee Agent sui computer client
• Comunicazione interna con il servizio del server applicazioni ePO.

Questi certificati vengono creati durante l'installazione di ePO o di un altro gestore degli agent. Certificati autofirmati, che sono proprietari del servizio Application server ePO (Tomcat), emettono i certificati. I certificati autofirmati vengono creati anche durante l'installazione di ePO.

Nota: Non è possibile sostituire questi certificati con certificati emessi da un'altra autorità di certificazione.

I certificati vengono memorizzati nella ssl.crt cartella. I percorsi predefiniti sono elencati di seguito:

Nota I percorsi sono diversi se si è scelto un percorso non predefinito al momento dell'installazione.

Componente	Percorso
Server ePO	C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\ssl.crt
Gestore Agent sistema operativo a 64 bit	C:\Program Files (x86)\McAfee\Agent Handler\Apache2\conf\ssl.crt
Gestore Agent sistema operativo a 32 bit	C:\Program Files\McAfee\Agent Handler\Apache2\conf\ssl.crt

La cartella contiene i seguenti file:

• ahCert.crt
• ahpriv.key
• mfscabundle.cer
• pkcs12store.pfx
• pkcs12store.properties

In determinate situazioni, potrebbe essere necessario il percorso per ricreare o rigenerare questi certificati. Ad esempio, se ePO viene ripristinato come parte del processo di disaster recovery manuale, come descritto in ARTICOLO KB66616.

Per rigenerare i certificati:

1. Arrestare il servizio del server ePO.
   1. Premere il tasto Windows + R.
   2. Tipo services.msc nel campo e premere INVIO.
   3. Fare clic con il pulsante destro del mouse sul servizio ePO seguente, quindi selezionare Stop:
      
      McAfee ePolicy Orchestrator #.#.# Server
      
   4. Chiudere la finestra dei servizi.
      
2. Assicurarsi che il Server applicazioni McAfee ePolicy Orchestrator servizio avviato.
3. Assicurarsi di poter accedere alla console di ePolicy Orchestrator utilizzando:
   • Il nome NetBIOS del server McAfee ePO nell'URL
   • Un account che è un amministratore ePO e utilizza l'autenticazione ePO (non Windows autenticazione)
   
   È necessario utilizzare questo account in un secondo momento per rigenerare i certificati.
   
   Nota Alcuni caratteri nel nome utente amministratore o password causano l'errore del processo di rigenerazione del certificato. Anche se sono valide quando accedono alla console ePO. McAfee consiglia di modificare temporaneamente il password in Una password alfanumerico semplice. In alternativa, utilizzare un nuovo utente di amministratore temporaneo con Una password semplice da utilizzare durante il processo di rigenerazione del certificato.
   
   Al termine, è possibile modificare il password indietro o rimuovere l'utente amministratore temporaneo.
   
4. Affinché il processo di rigenerazione riesca, il ssl.crt la cartella deve esistere ed essere vuota. Individuare la cartella \Apache2\conf nella cartella di installazione del gestore ePO o Agent.
5. Se esiste una cartella SSL. CRT, rinominarla in SSL. CRT. old.
6. Creare una cartella e rinominarla in SSL. CRT.
7. Fare clic su Start, digitare cmd nel campo di ricerca, fare clic con il pulsante destro del mouse e fare clic su Esegui come amministratore.
8. Modificare le directory nella cartella di installazione di ePO. I percorsi predefiniti sono disponibili nella sezione Introduzione sopra.
9. Eseguire il comando seguente:
   
   Rundll32.exe ahsetup.dll RunDllGenCerts <"installdir\Apache2\conf\ssl.crt">
   
   In cui
   • <ePO_server_name> -Nome NetBIOS del server ePO
   • <console_HTTPS_port> - The porta della console ePO (il valore predefinito è 8443)
   • <admin_username> -L'account di amministratore ePO (vedi passaggio 3)
   • <password> -La password per l'account di amministratore ePO (vedi passaggio 3)
   • <installdir\Apache2\conf\ssl.crt> -Il percorso completo della cartella SSL. CRT vuota (vedi passaggio 4). Assicurarsi di racchiudere questo percorso tra virgolette doppie.
   
   Esempio
   Rundll32.exe ahsetup.dll RunDllGenCerts epo_server_name 8443 administrator password "C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\ssl.crt"
   
   IMPORTANTE:
   • Il comando non riesce se è stato attivato controllo account utente (UAC) su questo server. Se il server è in esecuzione Windows Server 2008 o versione successiva, disattivare questa funzionalità. Per informazioni dettagliate sul controllo dell'account utente, consultare: http://technet.Microsoft.com/en-us/library/cc709691 (WS. 10). aspx.
   • Il RunDllGenCerts il parametro è distinzione tra maiuscole e minuscole.
     
   Nota In uso normale, il comando non genera messaggi quando viene eseguito. Dopo alcuni secondi, la cartella SSL. CRT viene popolata con i seguenti file di certificato:
   • ahCert.crt
   • ahpriv.key
   • mfscabundle.cer
   • pkcs12store.pfx
   • pkcs12store.properties
     
   Viene creato un file di registro ahsetup_.log.
   
10. Aprire questo file di registro in un editor di testo. Se la rigenerazione ha avuto esito positivo, il registro termina con le seguenti righe:
    
    AHSETUP The Agent Handler successfully connected to the ePO server.
    AHSETUP Successfully created the Agent Handler certs.
    AHSETUP Successfully created the Agent Handler CA Certificate.
    AHSETUP Successfully imported the PKCS12 Certificates.
    
11. Avviare il servizio server ePO.