Updating SoftControl Service Center 6.0 certificates — различия между версиями
(→Описание задачи) |
|||
Строка 7: | Строка 7: | ||
В версии SoftControl 6.0 было произведено обновление сертификатов для устранения уязвимостей в старых версиях алгоритмов. В связи с этим новые клиентские компоненты SoftControl 6.0 не могут работать с сервером, на котором установлены старые версии сертификатов. Поэтому при обновлении версии системы SoftControl на 6.0 с более ранней версии необходимо провести процедуру обновления сертификатов. | В версии SoftControl 6.0 было произведено обновление сертификатов для устранения уязвимостей в старых версиях алгоритмов. В связи с этим новые клиентские компоненты SoftControl 6.0 не могут работать с сервером, на котором установлены старые версии сертификатов. Поэтому при обновлении версии системы SoftControl на 6.0 с более ранней версии необходимо провести процедуру обновления сертификатов. | ||
+ | |||
+ | Процедура обновления сертификатов необходима только для обновления старых клиентов до 6ой версии или установки новых. А для работы нового сервера 6.0 со старыми клиентами в этом нет необходимости. | ||
== Процедура обновления сертификатов == | == Процедура обновления сертификатов == |
Версия 16:18, 1 ноября 2022
Статья относится к SoftControl 6.0 Release.
Описание задачи
SoftControl Server взаимодействует по сети с клиентскими компонентами SoftControl по защищённому протоколу SSL/TLS. Для установления соединения в протоколе SSL/TLS поддерживается взаимная аутентификация сторон с использованием сертификатов. SoftControl Server генерирует сертификат удостоверяющего центра (CA) и свой сертификат SSL/TLS при первом запуске и далее при необходимости. Клиентские сертификаты SSL/TLS генерируются с использованием общего с сервером сертификата удостоверяющего центра, после чего выполняется процедура подтверждения вновь подключаемых клиентов, и все последующие взаимодействия происходят с использованием сгенерированных сертификатов.
Однако сертификат CA, сертификат сервера и сертификаты клиентов необходимо периодически заменять в связи с истечением срока их действия, а также в связи с необходимостью обновлять криптографические алгоритмы, используемые для генерации сертификатов, из-за обнаружения уязвимостей в старых версиях алгоритмов.
В версии SoftControl 6.0 было произведено обновление сертификатов для устранения уязвимостей в старых версиях алгоритмов. В связи с этим новые клиентские компоненты SoftControl 6.0 не могут работать с сервером, на котором установлены старые версии сертификатов. Поэтому при обновлении версии системы SoftControl на 6.0 с более ранней версии необходимо провести процедуру обновления сертификатов.
Процедура обновления сертификатов необходима только для обновления старых клиентов до 6ой версии или установки новых. А для работы нового сервера 6.0 со старыми клиентами в этом нет необходимости.
Процедура обновления сертификатов
В целом процедура обновления сертификатов выглядит следующим образом:
- Обновите сертификаты УЦ
- Примените обновленные сертификаты УЦ на клиентские компоненты
- Обновите сертификаты клиентов.
Для выполнения процедуры обновления сделайте следующее:
- Войдите в Admin Console от имени пользователя с правами администратора.
- Откройте окно управления сертификатами - в главном меню Admin Console выберите "Инструменты" - "Управление сертификатами УЦ".
- В открывшемся окне "Управление сертификатами УЦ" сгенерируйте новый сертификат сервера, установите переключатель «Сгенерировать» и нажмите кнопку «Применить».
- В открывшемся окне "Новый сертификат УЦ" нажмите кнопку "Да" для генерации сертификата
- Дождитесь успешного завершения запроса.
- Нажмите кнопку "Закрыть" и закройте окно "Управление сертификатами УЦ".
- Теперь нужно передать сведения о новом сгенерированном сертификате на клиентские устройства. Чтобы это сделать, откройте вкладку «Клиентские настройки», выделите те настройки, которые применены к вашим клиентам сейчас, и нажмите «Редактировать» (иконка с карандашом).
- Введите в поле «Имя» новое название и нажмите «Применить». (Если ваши клиентские компоненты управлялись настройками «По умолчанию», вам также придется указать источник обновления.)
- Теперь перейдите на вкладку «Подразделения» и нажмите «Добавить» (иконка с плюсом).
- Введите название для нового подразделения в поле «Имя», выберите только что созданные настройки в выпадающем списке «Имя настроек» и нажмите «Применить».
- Вернитесь на вкладку «Клиенты», выделите на ней необходимые клиенты и нажмите «Переместить» (иконка с бегущим человечком).
- Выберите в выпадающем списке только что созданное подразделение и нажмите «Применить».
- Перейдите на вкладку «Клиенты» и дождитесь, пока в столбце «Состояние настроек» соответствующих клиентов появится статус «Применены успешно». Теперь настройки с новым сертификатом попали на клиентские устройства.
- Если к вашим клиентам применены разные настройки, вам нужно выполнить шаги 7–13 для каждого подразделения с настройками.
- Перезапустите службу сервер управления используя интерфейс командной строки:
- net stop "safensoft server"
- net start "safensoft server"
- В окне «Клиенты» выделите всех клиентов (Ctrl+A), нажмите правой кнопкой мыши на выбранные клиенты и через контекстное меню нажмите "Обновить клиентский сертификат".
- Нажмите кнопку «Обновить» (F5) и убедитесь в изменении срока действия сертификатов. Теперь клиентские сертификаты выдаются на 3 года.
- Убедитесь, что клиенты подключаются к серверу.
- После перезапуска сервера управления будет сгенерирован новый файл первичного подключения клиентов к серверу управления ClientSettings.xmlc. Этот файл необходимо скопировать с сервера управления из папки C:\ProgramData\SafenSoft\ и использовать его для подключения новых клиентов SysWatch к серверу управления. Также необходимо заменить файл ClientSettings.xmlc в ранее подготовленных пакетных инсталляторах клиента SysWatch.