Schritt 3: Neues Zertifikat der untergeordneten Zertifizierungsstelle bestätigen

Automatische Übernahme

Bei planmäßigem Ablauf sollten nach 30 Tagen alle Agenten eingecheckt sein und das neue Zertifikat der untergeordneten Zertifizierungsstelle erhalten haben, sodass es vom System automatisch übernommen werden kann. Weitere Informationen finden Sie im nächsten Abschnitt unter Was passiert nach der Übernahme?

Manuelle Übernahme

Aus den folgenden Gründen können Sie den Befehl zur Übernahme auch manuell erteilen:

  • Wenn Sie keine Agenten haben, ist es auch nicht erforderlich, 30 Tage zu warten. Sie können die Übernahme also sofort manuell erzwingen.
  • Wenn Agenten vorhanden sind und das neue Zertifikat nach 30 Tagen nicht automatisch durch das System übernommen wurde (oder nach Ablauf einer anderen Frist von Security Controls zur internen Optimierung des Wartungstasks), müssen Sie zunächst den Grund herausfinden, warum die Übernahme fehlgeschlagen ist.

    • Stmgmt.exe -commit_authority – Dieser Befehl zeigt alle Computernamen an, bei denen die Übernahme voraussichtlich fehlschlagen wird.

    Möglicherweise wird die automatische Übernahme durch ausstehende Probleme, Fehler oder Warnungen verhindert. Der wahrscheinlichste Grund ist ein agentenbezogenes Problem, zum Beispiel ein verwaister Agent, der nicht eingecheckt hat (und niemals einchecken kann). Sie haben folgende Optionen: (1) Finden Sie eine Möglichkeit, diese Agenten einzuchecken. (2) Löschen Sie die Computer in der Computeransicht. Folgende Optionen stehen Ihnen zur Verfügung: (1) Machen Sie eine Möglichkeit ausfindig, diese Agenten zum Einchecken zu bewegen. (2) Löschen Sie die Computer aus der Computeransicht. (3) Markieren Sie die Computer zum Deinstallieren der zugehörigen Agenten (selbst wenn ein Computer niemals eincheckt, also den Deinstallationsbefehl niemals erhält, kann allein die Tatsache, dass Security Controls den Agenten zum Deinstallieren gekennzeichnet hat, ausreichen, um den Fehler/das Problem auf diesem Computer zu beseitigen). (4) Erteilen Sie den Befehl zur Übernahme manuell und verwaisen Sie die Agentencomputer dauerhaft.

Testmodus

Sie können den Testmodus im Befehl commit_authority verwenden, um potenzielle Probleme bei der Übernahme anzuzeigen. Der Befehl lautet: stmgmt.exe -commit_authority -test

Analysieren Sie diese Informationen und entscheiden Sie dann, ob die Übernahme durchgeführt werden soll. Unter Umständen kann es sinnvoll sein, die Übernahme zu erzwingen und bestimmte Computer vorsätzlich zu verwaisen.

So erzwingen Sie die Übernahme

Verwenden Sie den folgenden Befehl: stmgmt.exe -commit_authority -force

Wenn Sie die Übernahme erzwingen und bestimmte Agenten behalten möchten, die nicht eingecheckt haben, müssen Sie den Agenten auf diesen Computern neu installieren. (Der Agent ist nicht in der Lage, die von der Konsole erstellten Konfigurationsdaten zu verwenden, und kann vermutlich aus diesem Grund nicht einchecken).

Was passiert nach der Übernahme?

Nach Übernahme des Commit-Befehls verwendet das System nicht mehr das ursprünglich selbstsignierte Zertifikat, sondern das neue Zertifikat der untergeordneten Zertifizierungsstelle. Im Einzelnen kommt es zu folgenden Aktionen:

  • Vom Zertifikat der untergeordneten Zertifizierungsstelle wird automatisch ein neues Konsolenzertifikat ausgegeben und im privaten Speicher des Computerkontos auf dem Konsolencomputer gespeichert.
  • Ein neues Zertifikat für den Agenten wird automatisch jedes Mal erstellt, wenn ein neuer Agent installiert wird oder wenn das Zertifikat eines vorhandenen Agenten erneuert werden muss. Der Prozess sollte sich nur geringfügig auf die Netzwerkleistung auswirken.