Fase 3: Commit del nuovo certificato di autorità subordinata

Procedura di commit automatico

Se si dispone di agenti e tutto è andato secondi i piani, dopo 30 giorni tutti i propri agenti dovrebbero aver effettuato il check-in, ricevuto il nuovo certificato e il sistema dovrebbe aver effettuato automaticamente il commit al nuovo certificato di autorità subordinata. Consultare la sezione in basso intitolata Cosa succede dopo l'emissione del commit? per ulteriori informazioni.

Procedura di commit manuale

È possibile scegliere di emettere manualmente il comando di commit per i motivi seguenti:

  • Se non si dispone di agenti, è possibile imporre manualmente il commit senza attendere 30 giorni.
  • Se ci sono agenti e il sistema non si è impegnato automaticamente sul nuovo certificato dopo 30 giorni (o come definito dall'ottimizzazione interna di Security Controls dall'attività di manutenzione), valutare il motivo per cui il commit non è avvenuto.

    • Stmgmt.exe -commit_authority indicherà quale nomi del computer si aspetta che presenteranno degli errori durante l'esecuzione del commit.

    Esiste una serie di problematiche, errori o avvisi irrisolti che potrebbero essersi verificati e che impediscono l'esecuzione del commit automatico. Il motivo più probabile è un problema correlato a un agente, come uno o più agenti orfani che non hanno eseguito il check-in (e che non lo eseguiranno mai). Le opzioni disponibili sono le seguenti: (1) trovare un modo per spingere tali agenti a eseguire il check-in, (2) eliminare i computer dalla Vista computer, (3) contrassegnare i computer per disinstallarne gli agenti (anche se un computer non effettua mai il check-in per ricevere il comando di disinstallazione; il fatto che Security Controls abbia indicato che l'agente debba essere disinstallato è sufficiente per superare l'errore/problema con tale computer) o (4) eseguire manualmente il commit e rendere permanentemente orfani tali computer degli agenti.

Modalità di prova

È possibile utilizzare la modalità di prova nel comando commit_authority per informare in merito ai potenziali problemi associati all’esecuzione del commit. Il comando è: stmgmt.exe -commit_authority -test

Analizzando tali informazioni è possibile prendere una decisione informata in merito all'esecuzione o meno del commit. In alcune circostanze, è possibile scegliere di forzare il commit e rendere consapevolmente orfani determinati computer problematici.

Per forzare il commit

Utilizzare il seguente comando: stmgmt.exe -commit_authority -force

Se si desidera eseguire il commit e si dispone di agenti che non hanno eseguito il check-in e che si intende mantenere, sarà necessario reinstallare l'agente su tali computer (l'agente sarà impossibilitato a utilizzare le informazioni di configurazione create dalla console e con molto probabilità non riuscirà a effettuare il check-in).

Cosa accade dopo l'emissione del commit?

Una volta emesso il comando commit, il sistema smetterà di utilizzare il certificato autofirmato originale e inizierà a usare il nuovo certificato di autorità subordinata. In particolare, si verificheranno le seguenti azioni.

  • Un nuovo certificato della console verrà emesso automaticamente dal certificato di autorità subordinata, dopodiché verrà salvato nell'archivio personale dell'account del computer sul computer della console.
  • Un nuovo certificato agente verrà emesso automaticamente ogni volta in cui viene installato un nuovo agente o quando è necessario emettere nuovamente il certificato di un agente esistente. Il processo dovrebbe influire in modo molto limitato sulle prestazioni di rete.