Действие 3: Принятие нового сертификата подчиненного центра сертификации

Процесс автоматического принятия

Если вы установили агентов, и все идет по намеченному плану, через 30 дней все ваши агенты должны пройти регистрацию, получить новый сертификат, и система автоматически получит новый сертификат подчиненного центра сертификации. Для получения дополнительной информации см. следующий раздел с названием Что случится после выдачи команды commit?.

Процесс принятия вручную

Вы можете вручную выдать команду принятия (commit) по следующим причинам:

  • Если у вас нет агентов, вы можете вручную принудительно принять сертификат в течение 30 дней.
  • Если вы используете агенты, и система автоматически не получила новый сертификат в течение 30 дней (или как это определено внутренней оптимизацией Security Controls в задаче обслуживания), узнайте, почему принятие сертификата оказалось неудачным.

    • Stmgmt.exe -commit_authority – команда, которая сообщит вам имена компьютеров, на которых возникла ошибка принятия.

    Существует ряд очевидных проблем, ошибок или предупреждений, которые могут возникнуть или отображаться с информацией о том, что помешало автоматическому принятию сертификата. Наиболее вероятной причиной этого является отсутствие регистрации одного или нескольких агентов (не произойдет никогда). Вы можете (1) найти способ регистрации этих агентов, (2) удалить компьютеры из вида "Компьютеры", (3) пометить эти компьютеры для удаления из них агентов (даже если компьютер никогда не был зарегистрирован для получения команды удаления, указанной в Security Controls, удаления агента достаточно для устранения ошибки/проблемы на данном компьютере) или (4) вы можете вручную отдать команду принятия для продолжения использования этих компьютеров.

Режим тестирования

Вы можете использовать режим тестирования с командой commit_authority для определения потенциальных проблем принятия сертификата. Команда: stmgmt.exe -commit_authority -test

Анализируя эту информацию, вы можете принять обоснованное решение о необходимости использования команды commit. В некоторых ситуациях вы можете выполнить принудительное принятие на проблемных компьютерах.

Для принудительного принятия:

Используйте следующую команду: stmgmt.exe -commit_authority -force

Если вы выполняете принудительное принятие, и у вас есть агенты без регистрации, но вы хотите продолжить их использовать, вам потребуется переустановить агенты на этих компьютерах (агент не сможет использовать информацию конфигурации, созданную на консоли, и скорее всего, его регистрация завершится с ошибкой).

Что случится после выдачи команды commit?

После выдачи команды commit система прекратит использовать исходный самоподписывающий сертификат и начнет использовать новый сертификат подчиненного центра сертификации. В частности, будут происходить следующие действия:

  • Новый сертификат консоли будет автоматически выдан подчиненным центром сертификации и сохранен для учетной записи на компьютере консоли в персональном хранилище сертификатов.
  • Новый сертификат агента будет автоматически выдан во время установки нового агента или, когда необходимо выдать сертификат существующего агента. Процесс не должен оказать воздействие на производительность сети.