11.3 重新建立證書

以下情況下,您需要重新建立證書︰

重要:ZENworks 10 Configuration Management SP3 目前不支援將主要伺服器上的外部證書變更為內部證書。

11.3.1 將主要伺服器上的內部證書變更為外部證書

在 Windows 或 Linux 主要伺服器上,如果要將現有的內部證書變更為外部證書,或以新的外部證書取代過期的伺服器證書,請執行下列任務以建立新的外部證書:

  1. 在將內部證書變更為外部證書之前,先對管理區域中所有主要伺服器上的以下內容進行安全備份:

    • 內容資料庫目錄: content-repo 目錄預設位於 Windows 上的 ZENworks 安裝目錄\work 目錄中以及 Linux 上的 /var/opt/novell/zenworks/ 目錄中。

      確定 content-repo 目錄內的 images 目錄已成功備份。

    • 證書管理中心︰ 如需如何備份證書管理中心的詳細資訊,請參閱節 10.3, 備份證書管理中心

    • 內嵌式資料庫︰ 如需備份內嵌式資料庫的詳細資訊,請參閱節 34.3, 備份內嵌式 Sybase SQL Anywhere 資料庫

  2. 提供主要伺服器的主機名稱做為標題,建立證書登記申請 (CSR)。

    如需建立 CSR 的詳細資訊,請參閱《ZENworks 10 Configuration Management 安裝指南》中的「建立外部證書管理中心」

  3. 在管理區域中的所有設備上,以新建的外部證書取代現有證書,順序如下所示:

    1. 在主要伺服器上,以新的外部證書取代現有證書

    2. 在輔助設備上,以新的外部證書取代現有證書

    3. 在受管理設備上,以新的外部證書取代現有證書

在主要伺服器上,以新的外部證書取代現有證書

在要變更其證書之管理區域內的所有主要伺服器上,執行下列任務:

  1. 在您於步驟 2 中變更了其 IP 位址與 DNS 名稱的主要伺服器上,透過指令提示符輸入以下指令,以重新設定證書︰

    novell-zenworks-configure -c SSL -Z

    遵照提示進行。

  2. 執行以下指令重新啟動所有 ZENworks 服務︰

    novell-zenworks-configure -c Start

    預設會選取所有服務。您必須選取「重新啟動」做為「動作」

  3. 在安裝了 ZENworks Adaptive Agent 的主要伺服器上,透過指令提示符輸入以下指令,以從管理區域中取消註冊 ZENworks Adaptive Agent:

    zac unr -f

    如需 zac 的詳細資訊,請檢視設備上的 zac man 頁面 (man zac),或參閱《ZENworks 10 Configuration Management 指令行公用程式參考》中的「zac(1)」

  4. 清除 ZENworks 快取。

    在 Windows 上: 執行以下指令:

    zac cc

    刪除 ZENworks 安裝目錄>\Novell\ZENworks\ cache\zmd\ /s

    在 Linux 上︰ 執行以下指令:

    zac cc

    rm -rf /var/opt/novell/zenworks/zmd/cache

  5. 重新啟動 ZENworks Adaptive Agent 服務。

  6. 在安裝了 ZENworks Adaptive Agent 的主要伺服器上,透過設備的指令提示符輸入以下指令,將 ZENworks Adaptive Agent 註冊到正確的主要伺服器:

    zac reg https://主要伺服器的 IP 位址:連接埠

    如需 zac 的詳細資訊,請檢視設備上的 zac man 頁面 (man zac),或參閱《ZENworks 10 Configuration Management 指令行公用程式參考》中的「zac(1)」

    如此即會取代本地快取中的伺服器證書。

  7. ZENworks 安裝目錄\Novell\ZENworks\conf 目錄 (Windows) 或 /etc/opt/novell/zenworks/ 目錄 (Linux) 中 initial-web-service 檔案的第一行變更為:

    https://localhost:port_number;https://127.0.0.1:port_number

    其中,port_number 為伺服器執行的連接埠。

  8. 執行 zac cc 指令以清除 ZENworks 快取。

  9. 重新啟動 ZENworks Adaptive Agent 服務。

  10. 重新建立所有預設與自定的部署套件。

    預設部署套件: 在伺服器的指令提示符中,輸入以下指令:

    novell-zenworks-configure -c CreateExtractorPacks -Z

    自定部署套件: 在伺服器的指令提示符中,輸入以下指令:

    novell-zenworks- configure -c RebuildCustomPacks -Z

在輔助設備上,以新的外部證書取代現有證書

變更主要伺服器的證書後,在已向其註冊的每部輔助設備的指令提示符處執行以下任務︰

  1. 執行以下指令以於本地強制取消註冊設備︰

    zac unr -f

    如需 zac 的詳細資訊,請檢視設備上的 zac man 頁面 (man zac),或參閱《ZENworks 10 Configuration Management 指令行公用程式參考》中的「zac(1)」

  2. 清除 ZENworks 快取。

    在 Windows 上: 執行以下指令:

    zac cc

    delete c:\program files\novell\zenworks\cache\zmd /s

    在 Linux 上︰ 執行以下指令:

    zac cc

    rm -rf /var/opt/novell/zenworks/zmd/cache

  3. 重新啟動 ZENworks Adaptive Agent 服務。

  4. 重新啟動所有輔助設備上的 Proxy DHCP Service。

  5. 執行以下指令以在管理區域中註冊設備︰

    zac reg https://ZENworks 伺服器的 DNS 名稱:埠號碼

    如需 zac 的詳細資訊,請檢視設備上的 zac man 頁面 (man zac),或參閱《ZENworks 10 Configuration Management 指令行公用程式參考》中的「zac(1)」

    如此即會取代本地快取中的伺服器證書。

  6. (視情況而定) 如果為管理區域中的某部輔助設備設定了驗證角色,請執行以下任務:

    1. 從設備移除驗證角色。

      如需從設備移除驗證角色的詳細資訊,請參閱節 7.3, 從輔助設備移除角色

    2. 在輔助設備的提示符中輸入以下指令,設定輔助設備使用新的外部證書:

      zac import-authentication-cert(iac)[-pk <private-key.der>] [-c <signed-servercertificate.der>] [-ca <signing-authority-public-certificate.der>] [-ks<keystore.jks>] [-ksp <keystore-pass-phrase>] [-a <signed-cert-alias>] [-ks<signed-cert-passphrase>] [-u username] [-p password]

      如需 zac 的詳細資訊,請檢視設備上的 zac man 頁面 (man zac),或參閱《ZENworks 10 Configuration Management 指令行公用程式參考》中的「zac(1)」

    3. 將驗證角色新增至設備。

      如需將驗證角色新增至設備的詳細資訊,請參閱節 7.2.1, 驗證角色

    4. (視情況而定) 如果只為輔助設備設定了驗證角色,且該設備已納入最近的伺服器規則,則重新設定最近的伺服器規則以包含輔助設備。

      1. 在預設的最近伺服器規則中,確定設備已正確置於「驗證伺服器」清單。視需要變更設備在清單中的位置。

      2. (選擇性) 將設備手動新增至其他非預設的最近伺服器規則。

      如需使用最近的伺服器規則的詳細資訊,請參閱節 9.0, 最近的伺服器規則

在受管理設備上,以新的外部證書取代現有證書

變更主要伺服器的證書後,在已向其註冊的每部受管理設備的指令提示符處執行以下步驟︰

  1. 在受管理設備的提示符中輸入以下指令,從本地取消註冊所有受管理設備:

    zac unr -f

    如需 zac 的詳細資訊,請檢視設備上的 zac man 頁面 (man zac),或參閱《ZENworks 10 Configuration Management 指令行公用程式參考》中的「zac(1)」

  2. 在每部受管理設備的提示符中輸入以下指令,以清除快取並刪除 ZENworks 安裝目錄\Novell\ZENworks\cache\zmd 目錄的內容。

    zac cc

    delete ZENworks 安裝目錄>\Novell\ZENworks\cache\zmd\ /s

  3. 重新啟動 ZENworks Adaptive Agent 服務。

  4. 執行以下指令以在管理區域中註冊設備︰

    zac reg https://ZENworks 伺服器的 DNS 名稱:埠號碼

    如需 zac 的詳細資訊,請檢視設備上的 zac man 頁面 (man zac),或參閱《ZENworks 10 Configuration Management 指令行公用程式參考》中的「zac(1)」

    如此即會取代本地快取中的伺服器證書。

11.3.2 安裝 ZENworks 10 Configuration Management 後變更主要伺服器的 IP 位址

如果要在安裝 ZENworks 10 Configuration Management SP3 後變更主要伺服器的 IP 位址,且證書的 CN 尚未設定 IP 位址,請執行以下步驟變更主要伺服器的 IP 位址:

附註:此情況僅在 Windows 主要伺服器與內嵌式 Sybase 資料庫上進行了測試。在此設定中,DNS 與 DHCP 伺服器設定於同一部設備。

  1. 變更主要伺服器的 IP 位址之前,先對管理區域中所有主要伺服器上的以下內容進行安全備份:

    • 內容資料庫目錄: content-repo 目錄預設位於 Windows 上的 ZENworks 安裝目錄\work 目錄中以及 Linux 上的 /var/opt/novell/zenworks/ 目錄中。

      確定 content-repo 目錄內的 images 目錄已成功備份。

    • 證書管理中心︰ 如需如何備份證書管理中心的詳細資訊,請參閱節 10.3, 備份證書管理中心

    • 內嵌式資料庫︰ 如需備份內嵌式資料庫的詳細資訊,請參閱節 34.3, 備份內嵌式 Sybase SQL Anywhere 資料庫

  2. 變更主要伺服器的 IP 位址。

    重要:不要變更伺服器的 DNS 名稱。

  3. 確定伺服器的新 IP 位址已正確對應到 DNS 伺服器上現有的 DNS 名稱。

  4. 在伺服器的指令提示符中執行以下指令,重新啟動所有 ZENworks 服務:

    novell-zenworks-configure -c Start

    預設會選取所有服務。您必須選取「重新啟動」做為「動作」

  5. 重新建立所有預設與自定的部署套件。

    預設部署套件: 在伺服器的指令提示符中,輸入以下指令:

    novell-zenworks-configure -c CreateExtractorPacks -Z

    自定部署套件: 在伺服器的指令提示符中,輸入以下指令:

    novell-zenworks- configure -c RebuildCustomPacks -Z

  6. 如果資料庫位於您在步驟 2 中變更了其 IP 位址的主要伺服器上,則必須變更所有次要主要伺服器上資料庫伺服器的位址。在所有次要主要伺服器上,將 ZENworks 安裝目錄\Novell\ZENworks\conf\datamodel\zdm.xml 中資料庫伺服器位址的值變更為指向首要主要伺服器的新 IP 位址。

  7. 重新啟動 ZENworks Adaptive Agent。

  8. 重新啟動所有輔助設備上的 Proxy DHCP Service。

11.3.3 安裝 ZENworks 10 Configuration Management 後,變更主要伺服器的 DNS 名稱或 IP 位址與 DNS 名稱

如果要在安裝 ZENworks 10 Configuration Management SP3 後,變更主要伺服器的 DNS 名稱,或同時變更其 IP 位址與 DNS 名稱,並且已為證書的 CN 設定完全合格的 DNS,可以執行以下步驟:

附註:此情況僅在 Windows 主要伺服器與內嵌式 Sybase 資料庫上進行了測試。在此設定中,DNS 與 DHCP 伺服器設定於同一部設備。

  1. 變更主要伺服器的 IP 位址之前,先對管理區域中所有主要伺服器上的以下內容進行安全備份:

    • 內容資料庫目錄: content-repo 目錄預設位於 Windows 上的 ZENworks 安裝目錄\work 目錄中以及 Linux 上的 /var/opt/novell/zenworks/ 目錄中。

      確定 content-repo 目錄內的 images 目錄已成功備份。

    • 證書管理中心︰ 如需如何備份證書管理中心的詳細資訊,請參閱節 10.3, 備份證書管理中心

    • 內嵌式資料庫︰ 如需備份內嵌式資料庫的詳細資訊,請參閱節 34.3, 備份內嵌式 Sybase SQL Anywhere 資料庫

  2. 請執行下列其中一個步驟︰

    • 變更主要伺服器的 IP 位址與 DNS 名稱。

    • 僅變更主要伺服器的 DNS 名稱。

  3. 將主要伺服器重新開機。

  4. 確定主要伺服器的 DNS 項目已更新為新的 DNS 名稱。

  5. 提供主要伺服器的主機名稱做為標題,建立證書登記申請 (CSR)。

    如需建立 CSR 的詳細資訊,請參閱《ZENworks 10 Configuration Management 安裝指南》中的「建立外部證書管理中心」

  6. (視情況而定) 如果您變更了 DNS 名稱的主要伺服器正在代管資料庫,並且資料庫伺服器的 IP 位址或 DNS 名稱已變更,則在所有主要伺服器上執行以下操作︰

    1. 確定位於 ZENworks 安裝目錄\Novell\ZENworks\conf\datamodel\ 目錄 (Windows) 及 /etc/opt/novell/zenworks/datamodel/ 目錄 (Linux) 中的 zdm.xml 檔案內,已正確設定資料庫伺服器的 IP 位址或 DNS 名稱。

    2. 重新啟動以下服務︰

      • Novell ZENworks Server

      • Novell ZENworks Loader

      • Novell ZENworks Agent Service

  7. 在管理區域中的所有設備上,以新建的外部證書取代現有證書,順序如下所示:

    1. 在主要伺服器上,以新的外部證書取代現有證書

    2. 在輔助設備上,以新的外部證書取代現有證書

    3. 在受管理設備上,以新的外部證書取代現有證書

在主要伺服器上,以新的外部證書取代現有證書

在要變更其證書之管理區域內的所有主要伺服器上,執行下列任務:

  1. 在您於步驟 2 中變更了其 IP 位址與 DNS 名稱的主要伺服器上,透過指令提示符輸入以下指令,以重新設定證書︰

    novell-zenworks-configure -c SSL -Z

    遵照提示進行。

  2. 執行以下指令重新啟動所有 ZENworks 服務︰

    novell-zenworks-configure -c Start

    預設會選取所有服務。您必須選取「重新啟動」做為「動作」

  3. 在安裝了 ZENworks Adaptive Agent 的主要伺服器上,透過指令提示符輸入以下指令,以從管理區域中取消註冊 ZENworks Adaptive Agent:

    zac unr -f

    如需 zac 的詳細資訊,請檢視設備上的 zac man 頁面 (man zac),或參閱《ZENworks 10 Configuration Management 指令行公用程式參考》中的「zac(1)」

  4. 清除 ZENworks 快取。

    在 Windows 上: 執行以下指令:

    zac cc

    刪除 ZENworks 安裝目錄>\Novell\ZENworks\ cache\zmd\ /s

    在 Linux 上︰ 執行以下指令:

    zac cc

    rm -rf /var/opt/novell/zenworks/zmd/cache

  5. 重新啟動 ZENworks Adaptive Agent 服務。

  6. 在安裝了 ZENworks Adaptive Agent 的主要伺服器上,透過設備的指令提示符輸入以下指令,將 ZENworks Adaptive Agent 註冊到正確的主要伺服器:

    zac reg https://主要伺服器的 IP 位址:連接埠

    如需 zac 的詳細資訊,請檢視設備上的 zac man 頁面 (man zac),或參閱《ZENworks 10 Configuration Management 指令行公用程式參考》中的「zac(1)」

    如此即會取代本地快取中的伺服器證書。

  7. ZENworks 安裝目錄\Novell\ZENworks\conf 目錄 (Windows) 或 /etc/opt/novell/zenworks/ 目錄 (Linux) 中 initial-web-service 檔案的第一行變更為:

    https://localhost:port_number;https://127.0.0.1:port_number

    其中,port_number 為伺服器執行的連接埠。

  8. 執行 zac cc 指令以清除 ZENworks 快取。

  9. 重新啟動 ZENworks Adaptive Agent 服務。

  10. 重新建立所有預設與自定的部署套件。

    預設部署套件: 在伺服器的指令提示符中,輸入以下指令:

    novell-zenworks-configure -c CreateExtractorPacks -Z

    自定部署套件: 在伺服器的指令提示符中,輸入以下指令:

    novell-zenworks- configure -c RebuildCustomPacks -Z

在輔助設備上,以新的外部證書取代現有證書

變更主要伺服器的證書後,在已向其註冊的每部輔助設備的指令提示符處執行以下任務︰

  1. 執行以下指令以於本地強制取消註冊設備︰

    zac unr -f

    如需 zac 的詳細資訊,請檢視設備上的 zac man 頁面 (man zac),或參閱《ZENworks 10 Configuration Management 指令行公用程式參考》中的「zac(1)」

  2. 清除 ZENworks 快取。

    在 Windows 上: 執行以下指令:

    zac cc

    delete c:\program files\novell\zenworks\cache\zmd /s

    在 Linux 上︰ 執行以下指令:

    zac cc

    rm -rf /var/opt/novell/zenworks/zmd/cache

  3. 重新啟動 ZENworks Adaptive Agent 服務。

  4. 重新啟動所有輔助設備上的 Proxy DHCP Service。

  5. 執行以下指令以在管理區域中註冊設備︰

    zac reg https://ZENworks 伺服器的 DNS 名稱:埠號碼

    如需 zac 的詳細資訊,請檢視設備上的 zac man 頁面 (man zac),或參閱《ZENworks 10 Configuration Management 指令行公用程式參考》中的「zac(1)」

    如此即會取代本地快取中的伺服器證書。

  6. (視情況而定) 如果為管理區域中的某部輔助設備設定了驗證角色,請執行以下任務:

    1. 從設備移除驗證角色。

      如需從設備移除驗證角色的詳細資訊,請參閱節 7.3, 從輔助設備移除角色

    2. 在輔助設備的提示符中輸入以下指令,設定輔助設備使用新的外部證書:

      zac import-authentication-cert(iac)[-pk <private-key.der>] [-c <signed-servercertificate.der>] [-ca <signing-authority-public-certificate.der>] [-ks<keystore.jks>] [-ksp <keystore-pass-phrase>] [-a <signed-cert-alias>] [-ks<signed-cert-passphrase>] [-u username] [-p password]

      如需 zac 的詳細資訊,請檢視設備上的 zac man 頁面 (man zac),或參閱《ZENworks 10 Configuration Management 指令行公用程式參考》中的「zac(1)」

    3. 將驗證角色新增至設備。

      如需將驗證角色新增至設備的詳細資訊,請參閱節 7.2.1, 驗證角色

    4. (視情況而定) 如果只為輔助設備設定了驗證角色,且該設備已納入最近的伺服器規則,則重新設定最近的伺服器規則以包含輔助設備。

      1. 在預設的最近伺服器規則中,確定設備已正確置於「驗證伺服器」清單。視需要變更設備在清單中的位置。

      2. (選擇性) 將設備手動新增至其他非預設的最近伺服器規則。

      如需使用最近的伺服器規則的詳細資訊,請參閱節 9.0, 最近的伺服器規則

在受管理設備上,以新的外部證書取代現有證書

變更主要伺服器的證書後,在已向其註冊的每部受管理設備的指令提示符處執行以下步驟︰

  1. 在受管理設備的提示符中輸入以下指令,從本地取消註冊所有受管理設備:

    zac unr -f

    如需 zac 的詳細資訊,請檢視設備上的 zac man 頁面 (man zac),或參閱《ZENworks 10 Configuration Management 指令行公用程式參考》中的「zac(1)」

  2. 在每部受管理設備的提示符中輸入以下指令,以清除快取並刪除 ZENworks 安裝目錄\Novell\ZENworks\cache\zmd 目錄的內容。

    zac cc

    delete ZENworks 安裝目錄>\Novell\ZENworks\cache\zmd\ /s

  3. 重新啟動 ZENworks Adaptive Agent 服務。

  4. 執行以下指令以在管理區域中註冊設備︰

    zac reg https://ZENworks 伺服器的 DNS 名稱:埠號碼

    如需 zac 的詳細資訊,請檢視設備上的 zac man 頁面 (man zac),或參閱《ZENworks 10 Configuration Management 指令行公用程式參考》中的「zac(1)」

    如此即會取代本地快取中的伺服器證書。