Patch for Windows® Servers, powered by Shavlik

> 管理 > ユーティリティ > サード パーティ CA からの証明書の生成 > 新しい下位認証局証明書の確定

新しい下位認証局証明書の確定

自動確定処理

エージェントがあり、すべてが計画通りに進んでいる場合は、30日後に、すべてのエージェントがチェックインし、新しい証明書を受信し、システムは自動的に新しい下位認証局証明書を確定します。詳細については、「確定後の処理」セクションをご参照ください。

手動確定処理

次の理由で、手動で確定コマンドを発行できます。

エージェントがない場合は、30日間待機せずに手動で確定を強制実行できます。

エージェントがあり、システムが30日後に自動的に新しい証明書を確定しない場合 (またはメンテナンス タスクのIvanti Patch for Windows® Servers内部最適化で定義)、確定が発生しない理由を評価します。

Stmgmt.exe -commit_authority は、確定の実行時に失敗することが想定されるコンピュータ名を示します。

多数の未解決の問題、エラー、または警告が発生し、確定を自動的に実行できない可能性があります。最も考えられる理由は、チェックインしていない (絶対にチェックインしない) 1つ以上の孤立したエージェントといった、エージェント関連の問題です。選択肢は (1) これらのエージェントをチェックインさせる方法を見つける、(2) コンピュータ ビューからコンピュータを削除する、(3) エージェントをアンインストールするようにコンピュータにフラグを付ける (コンピュータが絶対にチェックインしてアンインストール コマンドを受信しない場合でも、Ivanti Patch for Windows® Serversがエージェントをアンインストールすることを指示するだけで、そのコンピュータの過去のエラー/問題を取得します)、(4) 確定を手動で発行し、これらのエージェント コンピュータを永久的に孤立させることです。  

テストモード

commit_authority コマンドでテストモードを使用し、確定の実行に関する潜在的な問題を示すことができます。コマンド: stmgmt.exe -commit_authority -test

この情報を分析すると、状況を把握したうえで確定を実行するかどうかを決定できます。状況によっては、強制的に確定し、意図的に特定の問題のコンピュータを隔離できます。

強制的に確定するには

次のコマンドを使用します。stmgmt.exe -commit_authority -force

強制的に確定し、保持するまだチェックインしていないエージェントがない場合は、これらのコンピュータでエージェントを再インストールする必要があります (エージェントはコンソールによって作成された構成情報を使用できず、一般的にチェックインが失敗します)。

確定後の処理

確定コマンドが発行されると、システムは元の自己署名証明書の使用を停止し、新しい下位認証局証明書を使用し始めます。特に、次の処理が発生します。

新しいコンソール証明書が下位認証局証明書から自動的に発行され、コンソール コンピュータのコンピュータ アカウントの個人ストアに保存されます。

Ivantiスケジューラがインストールされるか、Ivanti Scheduler を使用してエージェントレス配布が実行されるたびに、新しいスケジューラ証明書が発行されます。

新しいエージェントがインストールされるか、既存のエージェントの証明書を再発行する必要があるときに、新しいエージェント証明書が自動的に発行されます。プロセスはネットワーク性能にほとんど影響しません。


この記事は役に立ちましたか?    

トピック:

不正確

不完全

期待した内容ではない

その他