search cancel

SEPM で「サーバ証明書」を再作成した後にクライアントがすべてオフラインとなり、通信ができなくなった

book

Article ID: 242150

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

複製環境において、証明書の期限が迫ってきたため、Symantec Endpoint Protection Manager( 以下 SEPM) で「サーバ証明書」を以下の手順で新規で作成した。
ただし、SEPM - クライアント間の通信では暗号化されていない。

  1. 複製のスケジュールの再設定。作業の終了予定時刻より遅く設定
  2. SEPM1 にて「新しいサーバー証明書の生成※」を実施
  3. SEPM2 にて「新しいサーバー証明書の生成※」を実施
  4. SEPM1 にて複製サーバー SEPM2 を指定し「タスクメニュー」→「証明書の確認」を実施
  5. SEPM2 にて複製サーバー SEPM1 を指定し「タスクメニュー」→「証明書の確認」を実施
  6. 同期処理を実施
    →「証明書が更新されたかどうかの確認方法1~2、4」が確認できた後、グループのハートビート時間まで待つ。
  7. 複製のスケジュールの再設定。当初の設定に戻す

新しいサーバー証明書の生成※

  1. SEPMにログインする
  2. 管理 > サーバー SEPMサーバーを選択し、サーバー証明書の管理を選択
  3. 次へをクリック
  4. 新しいサーバー証明書を生成する(自己署名付)
    新しいキーを生成にチェックを入れる

また、証明書が更新されたかどうかの確認方法は、以下の方法で行った。

  1. それぞれのサーバーでサーバー証明書が更新されていることを確認
    C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\apache\conf\ssl
    server.crt を開いて開始日終了日等が更新されていることを確認
  2. それぞれのグループでSyLink.xmlが正しい証明書で更新されていることを確認
    C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\data\outbox\agent
    グループIDごとのフォルダ(弊社例ではB854540A0A19CCAB2288C2A528F0F91C)でSyLink.xml が
    更新されたことを確認
  3. 管理サーバーと複製サーバの同じグループのフォルダでSyLink.xmlが同じであることの確認
  4. グループ内のクライアントマシンでSyLink.xmlが3で確認したSyLink.xmlと同じことを確認
    クライアントの SyLink.xml の場所
    C:\ProgramData\Symantec\Symantec Endpoint Protection\<バージョン番号>\Data\Config

Environment

Release : 14.2 RU2 MP1 またはすべてのバージョン

Component : Symantec Endpoint Protection 

Cause

古いバージョンから複数回のアップグレードを行っている環境でしたが、最初の証明書およびキーが SEPM 12.1 RU6 より前で生成されていたため、署名アルゴリズムに SHA-1 が採用されていました。

旧証明書の環境ではこのキーが SEPM - クライアント間の通信に利用されていました。
SEPM 12.1RU6 以降では証明書およびキーが SHA256 対応の新しいものに更新されたため、SEPM - クライアント間の通信の初期化の段階でキーを利用した証明書が読み出しができず、接続に失敗していました。

Resolution

以下のいずれかを実行して、証明書関連の情報を更新してください。

  • SEPMから現在の通信設定ファイルをエクスポートして、クライアントのマシンでインポートします。
  • 証明書作成時に新しいキーの生成のチェックを外して生成します。

SHA-1のキーの使用はセキュリティ上推奨されないため、機会を見て通信設定ファイルの更新を強く推奨させていただきます。

Additional Information

SEPM - クライアント間の通信で暗号化を使用している場合、必ず暗号化の解除を行ってから証明書の更新作業を行ってください。
暗号化の解除がされていない場合、全てのクライアントに通信設定ファイルを配布または手動でインポートする必要があります。