Updating SoftControl Service Center 6.0 certificates — различия между версиями
м |
м (Добавил заголовки третьего уровня) |
||
Строка 11: | Строка 11: | ||
== Процедура обновления сертификатов == | == Процедура обновления сертификатов == | ||
− | В целом процедура обновления сертификатов выглядит следующим образом: | + | === В целом процедура обновления сертификатов выглядит следующим образом: === |
# Обновить сертификаты УЦ | # Обновить сертификаты УЦ | ||
# Доставить обновленные сертификаты УЦ на клиентские компоненты | # Доставить обновленные сертификаты УЦ на клиентские компоненты | ||
# Обновить сертификаты клиентов. | # Обновить сертификаты клиентов. | ||
− | Для выполнения процедуры обновления сделайте следующее: | + | === Для выполнения процедуры обновления сделайте следующее: === |
; Обновление сертификатов УЦ | ; Обновление сертификатов УЦ | ||
# Войдите в Admin Console от имени пользователя с правами администратора. | # Войдите в Admin Console от имени пользователя с правами администратора. | ||
Строка 54: | Строка 54: | ||
# Убедитесь, что клиенты подключаются к серверу. | # Убедитесь, что клиенты подключаются к серверу. | ||
− | После перезапуска сервера управления будет сгенерирован новый | + | === Файл первичного подключения клиентов === |
+ | После перезапуска сервера управления будет сгенерирован новый файл первичного подключения клиентов к серверу управления ClientSettings.xmlc. Этот файл необходимо скопировать с сервера управления из папки C:\ProgramData\SafenSoft\ и использовать его для подключения новых клиентов SysWatch к серверу управления. Также необходимо заменить файл ClientSettings.xmlc в ранее подготовленных пакетных инсталляторах клиента SysWatch. | ||
[[Category: Service Center - Updating{{#translation:}}]] | [[Category: Service Center - Updating{{#translation:}}]] |
Версия 17:43, 1 ноября 2022
Статья относится к SoftControl 6.0 Release.
Содержание
Описание задачи
SoftControl Server взаимодействует по сети с клиентскими компонентами SoftControl по защищённому протоколу SSL/TLS. Для установления соединения в протоколе SSL/TLS поддерживается взаимная аутентификация сторон с использованием сертификатов. SoftControl Server генерирует сертификат удостоверяющего центра (CA) и свой сертификат SSL/TLS при первом запуске и далее при необходимости. Клиентские сертификаты SSL/TLS генерируются с использованием общего с сервером сертификата удостоверяющего центра, после чего выполняется процедура подтверждения вновь подключаемых клиентов, и все последующие взаимодействия происходят с использованием сгенерированных сертификатов.
Однако сертификат CA, сертификат сервера и сертификаты клиентов необходимо периодически заменять в связи с истечением срока их действия, а также в связи с необходимостью обновлять криптографические алгоритмы, используемые для генерации сертификатов, из-за обнаружения уязвимостей в старых версиях алгоритмов.
В версии SoftControl 6.0 было произведено обновление сертификатов для устранения уязвимостей в старых версиях алгоритмов. В связи с этим новые клиентские компоненты SoftControl 6.0 не могут работать с сервером, на котором установлены старые версии сертификатов. Поэтому при обновлении версии системы SoftControl на 6.0 с более ранней версии необходимо провести процедуру обновления сертификатов.
Процедура обновления сертификатов необходима только для обновления старых клиентов до 6ой версии или установки новых клиентов. А для работы нового сервера 6.0 со старыми клиентами обновление сертификатов проводить не требуется.
Процедура обновления сертификатов
В целом процедура обновления сертификатов выглядит следующим образом:
- Обновить сертификаты УЦ
- Доставить обновленные сертификаты УЦ на клиентские компоненты
- Обновить сертификаты клиентов.
Для выполнения процедуры обновления сделайте следующее:
- Обновление сертификатов УЦ
- Войдите в Admin Console от имени пользователя с правами администратора.
- Откройте окно управления сертификатами - в главном меню Admin Console выберите "Инструменты" - "Управление сертификатами УЦ".
- В открывшемся окне "Управление сертификатами УЦ" сгенерируйте новый сертификат сервера, установите переключатель «Сгенерировать» и нажмите кнопку «Применить».
- В открывшемся окне "Новый сертификат УЦ" нажмите кнопку "Да" для генерации сертификата
- Дождитесь успешного завершения запроса.
- Нажмите кнопку "Закрыть" и закройте окно "Управление сертификатами УЦ".
- Теперь нужно передать сведения о новом сгенерированном сертификате на клиентские устройства.
- Чтобы это сделать, откройте вкладку «Клиентские настройки», выделите те настройки, которые применены к вашим клиентам сейчас, и нажмите «Редактировать» (иконка с карандашом).
- Введите в поле «Имя» новое название и нажмите «Применить». (Если ваши клиентские компоненты управлялись настройками «По умолчанию», вам также придется указать источник обновления.)
- Теперь перейдите на вкладку «Подразделения» и нажмите «Добавить» (иконка с плюсом).
- Введите название для нового подразделения в поле «Имя», выберите только что созданные настройки в выпадающем списке «Имя настроек» и нажмите «Применить».
- Вернитесь на вкладку «Клиенты», выделите на ней необходимые клиенты и нажмите «Переместить» (иконка с бегущим человечком).
- Выберите в выпадающем списке только что созданное подразделение и нажмите «Применить».
- Перейдите на вкладку «Клиенты» и дождитесь, пока в столбце «Состояние настроек» соответствующих клиентов появится статус «Применены успешно». Теперь настройки с новым сертификатом попали на клиентские устройства.
- Если к вашим клиентам применены разные настройки, выполните шаги 1–7 для каждого подразделения с настройками.
- Перезапустите службу сервер управления используя интерфейс командной строки:
- net stop "safensoft server"
- net start "safensoft server"
- Обновление сертификатов клиентов
- В окне «Клиенты» выделите всех клиентов (Ctrl+A), нажмите правой кнопкой мыши на выбранные клиенты и через контекстное меню нажмите "Обновить клиентский сертификат".
- Нажмите кнопку «Обновить» (F5) и убедитесь в изменении срока действия сертификатов. Теперь клиентские сертификаты выдаются на 3 года.
- Убедитесь, что клиенты подключаются к серверу.
Файл первичного подключения клиентов
После перезапуска сервера управления будет сгенерирован новый файл первичного подключения клиентов к серверу управления ClientSettings.xmlc. Этот файл необходимо скопировать с сервера управления из папки C:\ProgramData\SafenSoft\ и использовать его для подключения новых клиентов SysWatch к серверу управления. Также необходимо заменить файл ClientSettings.xmlc в ранее подготовленных пакетных инсталляторах клиента SysWatch.