Updating SoftControl Service Center 6.0 certificates — различия между версиями

Статья относится к SoftControl 6.0 Release.

Описание задачи

SoftControl Server взаимодействует по сети с клиентскими компонентами SoftControl по защищённому протоколу SSL/TLS. Для установления соединения в протоколе SSL/TLS поддерживается взаимная аутентификация сторон с использованием сертификатов. SoftControl Server генерирует сертификат удостоверяющего центра (CA) и свой сертификат SSL/TLS при первом запуске и далее при необходимости. Клиентские сертификаты SSL/TLS генерируются с использованием общего с сервером сертификата удостоверяющего центра, после чего выполняется процедура подтверждения вновь подключаемых клиентов, и все последующие взаимодействия происходят с использованием сгенерированных сертификатов.

Однако сертификат CA, сертификат сервера и сертификаты клиентов необходимо периодически заменять в связи с истечением срока их действия, а также в связи с необходимостью обновлять криптографические алгоритмы, используемые для генерации сертификатов, из-за обнаружения уязвимостей в старых версиях алгоритмов.

В версии SoftControl 6.0 было произведено обновление сертификатов для устранения уязвимостей в старых версиях алгоритмов. В связи с этим новые клиентские компоненты SoftControl 6.0 не могут работать с сервером, на котором установлены старые версии сертификатов. Поэтому при обновлении версии системы SoftControl на 6.0 с более ранней версии необходимо провести процедуру обновления сертификатов.

Процедура обновления сертификатов необходима только для обновления старых клиентов до 6ой версии или установки новых клиентов. А для работы нового сервера 6.0 со старыми клиентами обновление сертификатов проводить не требуется.

Процедура обновления сертификатов

В целом процедура обновления сертификатов выглядит следующим образом:

1. Обновите сертификаты УЦ
2. Примените обновленные сертификаты УЦ на клиентские компоненты
3. Обновите сертификаты клиентов.

Для выполнения процедуры обновления сделайте следующее:

1. Войдите в Admin Console от имени пользователя с правами администратора.
2. Откройте окно управления сертификатами - в главном меню Admin Console выберите "Инструменты" - "Управление сертификатами УЦ".

   

3. В открывшемся окне "Управление сертификатами УЦ" сгенерируйте новый сертификат сервера, установите переключатель «Сгенерировать» и нажмите кнопку «Применить».

   

4. В открывшемся окне "Новый сертификат УЦ" нажмите кнопку "Да" для генерации сертификата

   

5. Дождитесь успешного завершения запроса.

   
   Обратите внимание, что новый сертификат сервера называется Root CA и отмечен зеленой галочкой.

   

6. Нажмите кнопку "Закрыть" и закройте окно "Управление сертификатами УЦ".
7. Теперь нужно передать сведения о новом сгенерированном сертификате на клиентские устройства. Чтобы это сделать, откройте вкладку «Клиентские настройки», выделите те настройки, которые применены к вашим клиентам сейчас, и нажмите «Редактировать» (иконка с карандашом).

   

8. Введите в поле «Имя» новое название и нажмите «Применить». (Если ваши клиентские компоненты управлялись настройками «По умолчанию», вам также придется указать источник обновления.)

   

9. Теперь перейдите на вкладку «Подразделения» и нажмите «Добавить» (иконка с плюсом).

   

10. Введите название для нового подразделения в поле «Имя», выберите только что созданные настройки в выпадающем списке «Имя настроек» и нажмите «Применить».

    

11. Вернитесь на вкладку «Клиенты», выделите на ней необходимые клиенты и нажмите «Переместить» (иконка с бегущим человечком).

    

12. Выберите в выпадающем списке только что созданное подразделение и нажмите «Применить».

    

13. Перейдите на вкладку «Клиенты» и дождитесь, пока в столбце «Состояние настроек» соответствующих клиентов появится статус «Применены успешно». Теперь настройки с новым сертификатом попали на клиентские устройства.
14. Если к вашим клиентам применены разные настройки, вам нужно выполнить шаги 7–13 для каждого подразделения с настройками.
15. Перезапустите службу сервер управления используя интерфейс командной строки:

    net stop "safensoft server"

    net start "safensoft server"

16. В окне «Клиенты» выделите всех клиентов (Ctrl+A), нажмите правой кнопкой мыши на выбранные клиенты и через контекстное меню нажмите "Обновить клиентский сертификат".

    

17. Нажмите кнопку «Обновить» (F5) и убедитесь в изменении срока действия сертификатов. Теперь клиентские сертификаты выдаются на 3 года.

    

18. Убедитесь, что клиенты подключаются к серверу.
19. После перезапуска сервера управления будет сгенерирован новый файл первичного подключения клиентов к серверу управления ClientSettings.xmlc. Этот файл необходимо скопировать с сервера управления из папки C:\ProgramData\SafenSoft\ и использовать его для подключения новых клиентов SysWatch к серверу управления. Также необходимо заменить файл ClientSettings.xmlc в ранее подготовленных пакетных инсталляторах клиента SysWatch.