Paso 3: confirmar el nuevo certificado de autoridad secundaria

Proceso de confirmación automática

Si tiene agentes y todo ha sucedido según el plan, dentro de 30 días, todos los agentes se habrán conectado y habrán recibido el nuevo certificado; y el sistema habrá confirmado automáticamente el nuevo certificado de autoridad secundaria. Para obtener más información, consulte la sección siguiente titulada ¿Qué pasa después de emitir una confirmación?.

Proceso de confirmación manual

Puede elegir emitir manualmente el comando de confirmación, por los motivos siguientes:

  • Si no tiene agentes, puede forzar manualmente la confirmación sin esperar 30 días.
  • Si hay agentes y el sistema no se ha comprometido automáticamente con el nuevo certificado después de 30 días (o según lo definido por la optimización interna Security Controls de la tarea de mantenimiento), evalúe por qué no se ha llevado a cabo el compromiso.

    • Stmgmt.exe -commit_authority le dirá los nombres de los equipos que espera que fallen cuando se realice la confirmación.

    Hay una serie de problemas, errores o advertencias importantes que se pueden haber producido y evitan la confirmación automática. El motivo más probable es un problema relacionado con los agentes, como que uno o más agentes huérfanos no se hayan conectado, y no lo harán nunca. Las opciones que tiene son (1) averiguar la manera de que se conecten esos agentes; (2) eliminar los equipos de la vista Equipo; (3) marcar los equipos para desinstalar sus agentes, aunque un equipo no se conecte nunca para recibir el comando de desinstalación, el hecho de que Security Controls haya indicado que el agente se debe desinstalar es suficiente para omitir el error/problema con dicho equipo; o (4) emitir la confirmación manualmente y dejar esos equipos huérfanos de agente permanentemente.

Modo de prueba

Puede utilizar el modo de prueba del comando commit_authority para que le informe de problemas potenciales con la confirmación. El comando es: stmgmt.exe -commit_authority -test

Al analizar esta información podrá tomar una decisión informada sobre si realizar o no la confirmación. En algunos casos, podrá elegir forzar la confirmación y dejar huérfanos determinados equipos problemáticos.

Para forzar una confirmación

Utilice el comando siguiente: stmgmt.exe -commit_authority -force

Si fuerza la confirmación y tiene agentes que no se hayan conectado, deberá volver a instalar el agente en esos equipos. El agente no podrá utilizar la información de configuración que haya creado la consola y es más que probable que no se conecte.

¿Qué pasa después de emitir una confirmación?

Cuando se emite el comando de confirmación, el sistema dejará de utilizar el certificado autofirmado original y empezará a usar el nuevo certificado de autoridad secundaria. Concretamente, se producirán las siguientes acciones:

  • Se emitirá automáticamente un nuevo certificado de consola desde el certificado de autoridad secundaria y se guardará en el almacén Personal del equipo de la consola.
  • Se emitirá automáticamente un nuevo certificado de agente siempre que se instale un nuevo agente o cuando sea necesario volver a emitir un certificado de agente existente. El proceso debería afectar afectar muy poco al rendimiento de la red.