Share Notes

chundev

View the Project on GitHub latteouka/share-notes

Trellix ePO 憑證到期處理 — 落地版 Server 完整指南

日期:2026-03-31 環境:Trellix ePO On-Premise(Appliance / Windows Server)

TL;DR

Trellix ePO 落地版的自簽憑證(Self-Signed Certificate)會過期,導致 Web Console 出現憑證警告或 Agent 無法回報。處理方式取決於部署型態:Windows 軟體安裝版ahsetup.dll CLI 重新產生;Appliance 一體機優先透過 Web Console 的 Certificate Manager 操作,SSH 手動處理為備案。

⚠️ 重要:Web Console Regenerate 一次只能產生效期一年的憑證,無法自訂期限,因此每年都需要重新操作一次。

背景

Trellix ePO(ePolicy Orchestrator)是企業端點安全的集中管理平台,前身為 McAfee ePO。落地版部署時,ePO 會在安裝過程中自動產生多組自簽憑證,用於:

這些自簽憑證有效期到期後,會出現瀏覽器憑證警告、Agent check-in 失敗等症狀。

兩種部署型態

處理之前,先確認你的 ePO 是哪種部署方式:

特徵 Windows 軟體安裝版 Appliance 一體機
底層 OS Windows Server Linux(CentOS/RHEL-based)
遠端管理 RDP SSH
安裝路徑 C:\Program Files (x86)\McAfee\ePolicy Orchestrator\ /opt/McAfee//var/McAfee/
憑證路徑 Apache2\conf\ssl.crt\ Apache2/conf/ssl.crt/
憑證重建工具 Rundll32.exe ahsetup.dll Web Console Certificate Manager / OpenSSL
服務管理 services.msc / net start/stop service mcafee-epo start/stop

判斷方法:能 SSH 進去的是 Appliance;要用 RDP 的是 Windows 版。也可以從安裝當時的交付文件確認。

方法 A:Appliance(Linux)— Web Console Certificate Manager

⚠️ 即使憑證過期,Web Console 通常仍可登入(瀏覽器會出現安全警告,點選「繼續前往」即可)。

步驟

  1. 瀏覽器開啟 ePO Web Console
    • 連線到 https://<ePO-IP>:8443
    • 忽略瀏覽器的憑證安全警告,繼續登入
  2. 進入 Certificate Manager
    • Menu → Configuration → Server Settings
    • 找到 Certificate ManagerServer Certificate
  3. 重新產生憑證
    • 點選 Regenerate
    • 系統會自動產生新的自簽憑證
    • ⚠️ 一次只能產生效期一年的憑證,無法調整期限
  4. 等待服務恢復
    • Regenerate 後系統會自動套用新憑證,短暫中斷約 30 秒
    • 等待約半分鐘後 Web Console 即自動恢復,不需要 SSH 進去手動重啟服務
  5. 驗證
    • 重新開啟 Web Console,確認憑證日期已更新
    • 等待 Agent 下次 check-in,確認通訊正常

方法 B:Appliance(Linux)— SSH 手動處理

當 Web Console 完全無法存取時的備案。

步驟

# 1. SSH 進入 Appliance
ssh root@<ePO-IP>

# 2. 確認安裝路徑
ls /opt/McAfee/epo/
# 或
ls /var/McAfee/

# 3. 停止 ePO 服務
service mcafee-epo stop

# 4. 備份現有憑證
cd <ePO安裝路徑>/Apache2/conf/
mv ssl.crt ssl.crt.old
mkdir ssl.crt

# 5. 重新產生憑證(使用 OpenSSL)
# 具體指令依 ePO 版本而異,參考 KB72477

# 6. 重啟服務
service mcafee-epo start

# 7. 驗證
# 瀏覽器開 https://<ePO-IP>:8443 確認 Console 正常

方法 C:Windows 軟體安裝版 — ahsetup.dll CLI

適用於 ePO 安裝在 Windows Server 上的環境。

步驟

:: 1. 停止 ePO 相關服務(以系統管理員身分執行 CMD)
net stop "McAfee ePolicy Orchestrator Application Server"
net stop "McAfee ePolicy Orchestrator Event Parser"
net stop "McAfee ePolicy Orchestrator Server"

:: 2. 備份現有憑證
cd "C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf"
rename ssl.crt ssl.crt.old
mkdir ssl.crt

:: 3. 重新產生憑證
Rundll32.exe ahsetup.dll RunDllGenCerts ^
  <ePO主機名稱> <Console_Port> <admin帳號> <密碼> ^
  "C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\ssl.crt"

:: 4. 確認 log
:: 檢查 ahsetup_<主機名稱>.log
:: 應看到 "Successfully created the Agent Handler certs"

:: 5. 重啟服務(反向順序)
net start "McAfee ePolicy Orchestrator Server"
net start "McAfee ePolicy Orchestrator Event Parser"
net start "McAfee ePolicy Orchestrator Application Server"

範例

Rundll32.exe ahsetup.dll RunDllGenCerts EPOSERVER01 8443 admin MyP4ssw0rd "C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\ssl.crt"

常見地雷

地雷 說明 解法
密碼含特殊字元 ahsetup.dll 無法正確解析 @, !, & 等字元 暫時將 admin 密碼改為純英數,完成後改回
Windows UAC 未以系統管理員執行 CMD 會導致指令失敗 右鍵「以系統管理員身分執行」CMD
ssl.crt 資料夾非空 重建指令需要空資料夾 一定要先 rename 舊的再 mkdir 新的
安裝路徑非預設 有些環境裝在 D 槽或自訂路徑 services.msc 檢視服務的可執行檔路徑確認
Agent Handler 有遠端 Agent Handler 時,其憑證也需要單獨重建 參考 KB90821
憑證鏈不一致 修改部分憑證鏈會導致 Agent 通訊失敗 確保整條憑證鏈一起重建,不要只換單一憑證

學到的事

參考資料