ALERT: Some images may not load properly within the Knowledge Base Article. If you see a broken image, please right-click and select 'Open image in a new tab'. We apologize for this inconvenience.

管理サーバーを 14.3.5427.3000 にアップグレードしたら REST API 接続が認証されなくなった

book

Article ID: 240241

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

Symantec Endpoint Protection Manager (SEPM) を 14.3.5427.3000 にアップグレードした後、REST API 要求に失敗するようになった。semapisrv_log.YYY-MM-DD.log に以下のようなエラーが記録されている。

021-12-17 21:40:52,251 [https-openssl-apr-0.0.0.0-8446-exec-10] ERROR c.s.s.s.c.e.h.GlobalControllerExceptionHandler - EXCEPTION: No subject alternative DNS name matching <name> found. 
javax.net.ssl.SSLHandshakeException: No subject alternative DNS name matching <name> found.
 at java.base/sun.security.ssl.Alert.createSSLException(Alert.java:131)
 at java.base/sun.security.ssl.TransportContext.fatal(TransportContext.java:349)
 at java.base/sun.security.ssl.TransportContext.fatal(TransportContext.java:292)

SEPM と Symantec Endpoint Detection and Response (SEDR) を統合している環境では "Incorrect username, password, or domain provided for SEPM" が表示される。

semapisrv_log.YYY-MM-DD.log に以下のようなエラーが記録されている。

2022-02-16 16:56:45,583 [https-openssl-apr-0.0.0.0-8446-exec-2] ERROR c.s.s.s.c.e.h.GlobalControllerExceptionHandler - EXCEPTION: Account is locked or invalid username, password, or domain. 
com.symantec.sepm.core.exception.InvalidArgumentException: Account is locked or invalid username, password, or domain.

Cause

証明書にホスト名エントリ、SAN エントリが含まれていない場合に発生します。14.3.5427.3000 以降では、接続に使用するホストは、証明書のサブジェクト名のいずれかと一致する必要があります。

Environment

SEPM バージョン 14.3.5427.3000

Resolution

SEPM 14.3 RU4 (14.3.7388.4000) で、この検証を無効にするオプションが追加されました。最新版をダウンロードするには Symantec Enterprise Security ソフトウェアのダウンロード を参照してください。

14.3 RU4 で証明書の検証を無効にするには以下を実行します。

  1. SEPM サービスを停止します。
  2. 管理者権限でテキストエディターを起動し <SEPM インストールフォルダ>\tomcat\etc\conf.properties を開きます。
  3. 一番下に以下を追加します: scm.webui.oauth.cert.validation.enabled=false
  4. conf.properties を保存して閉じます。
  5. SEPM サービスを開始します。

証明書がホスト名と一致しない場合は、証明書を更新することをお勧めします。

サーバー証明書の管理ウィザードを使用して、新しい SEPM サーバー証明書を生成します。 詳細については クライアントとの通信を切断せずに管理サーバ上でサーバ証明書を更新する を参照してください。

Additional Information

ESCRT-8880

 

[英語文書] REST API connections no longer authenticate after upgrading the endpoint protection manager to 14.3.5427.3000