Updating SoftControl Service Center 6.0 certificates — различия между версиями
(→Процедура обновления сертификатов) |
|||
Строка 10: | Строка 10: | ||
== Процедура обновления сертификатов == | == Процедура обновления сертификатов == | ||
В целом процедура обновления сертификатов выглядит следующим образом: | В целом процедура обновления сертификатов выглядит следующим образом: | ||
− | # Обновите | + | # Обновите сертификаты УЦ |
− | # Обновите сертификаты | + | # Примените обновленные сертификаты УЦ на клиентские компоненты |
− | + | # Обновите сертификаты клиентов. | |
+ | Для выполнения процедуры обновления сделайте следующее: | ||
# Войдите в Admin Console от имени пользователя с правами администратора. | # Войдите в Admin Console от имени пользователя с правами администратора. | ||
# Откройте окно управления сертификатами - в главном меню Admin Console выберите "Инструменты" - "Управление сертификатами УЦ". | # Откройте окно управления сертификатами - в главном меню Admin Console выберите "Инструменты" - "Управление сертификатами УЦ". | ||
Строка 24: | Строка 25: | ||
#:[[Файл:cert-page5.png]] | #:[[Файл:cert-page5.png]] | ||
# Нажмите кнопку "Закрыть" и закройте окно "Управление сертификатами УЦ". | # Нажмите кнопку "Закрыть" и закройте окно "Управление сертификатами УЦ". | ||
− | # Разошлите новый сертификат на все клиентские компоненты системы SoftControl. Для этого отредактируйте клиентские настройки, которые применены на каждое подразделение, в котором находятся | + | # Разошлите новый сертификат на все клиентские компоненты системы SoftControl. Для этого отредактируйте клиентские настройки, которые применены на каждое подразделение, в котором находятся клиентские компоненты и сохраните их под другим именем. Далее примените соответствующие настройки на свое подразделение, т.е. произведите хотя бы одну операцию смены настроек для каждого клиентского компонента (новый сертификат присылается сервером на клиентский компонент при любой операции смены настроек). Важно обеспечить отправку сертификата на все клиентские компоненты, иначе при переключении сервера на использование нового сертификата клиентские компоненты более не смогут соединиться с ним. |
# Перезапустите службу сервер управления используя интерфейс командной строки: | # Перезапустите службу сервер управления используя интерфейс командной строки: | ||
#: net stop "safensoft server" | #: net stop "safensoft server" |
Версия 15:45, 1 ноября 2022
Статья относится к SoftControl 6.0 Release.
Описание задачи
SoftControl Server взаимодействует по сети с клиентскими компонентами SoftControl по защищённому протоколу SSL/TLS. Для установления соединения в протоколе SSL/TLS поддерживается взаимная аутентификация сторон с использованием сертификатов. SoftControl Server генерирует сертификат удостоверяющего центра (CA) и свой сертификат SSL/TLS при первом запуске и далее при необходимости. Клиентские сертификаты SSL/TLS генерируются с использованием общего с сервером сертификата удостоверяющего центра, после чего выполняется процедура подтверждения вновь подключаемых клиентов, и все последующие взаимодействия происходят с использованием сгенерированных сертификатов.
Однако сертификат CA, сертификат сервера и сертификаты клиентов необходимо периодически заменять в связи с истечением срока их действия, а также в связи с необходимостью обновлять криптографические алгоритмы, используемые для генерации сертификатов, из-за обнаружения уязвимостей в старых версиях алгоритмов.
В версии SoftControl 6.0 было произведено обновление сертификатов для устранения уязвимостей в старых версиях алгоритмов. В связи с этим новые клиентские компоненты SoftControl 6.0 не могут работать с сервером, на котором установлены старые версии сертификатов. Поэтому при обновлении версии системы SoftControl на 6.0 с более ранней версии необходимо провести процедуру обновления сертификатов.
Процедура обновления сертификатов
В целом процедура обновления сертификатов выглядит следующим образом:
- Обновите сертификаты УЦ
- Примените обновленные сертификаты УЦ на клиентские компоненты
- Обновите сертификаты клиентов.
Для выполнения процедуры обновления сделайте следующее:
- Войдите в Admin Console от имени пользователя с правами администратора.
- Откройте окно управления сертификатами - в главном меню Admin Console выберите "Инструменты" - "Управление сертификатами УЦ".
- В открывшемся окне "Управление сертификатами УЦ" сгенерируйте новый сертификат сервера, установите переключатель «Сгенерировать» и нажмите кнопку «Применить».
- В открывшемся окне "Новый сертификат УЦ" нажмите кнопку "Да" для генерации сертификата
- Дождитесь успешного завершения запроса.
- Нажмите кнопку "Закрыть" и закройте окно "Управление сертификатами УЦ".
- Разошлите новый сертификат на все клиентские компоненты системы SoftControl. Для этого отредактируйте клиентские настройки, которые применены на каждое подразделение, в котором находятся клиентские компоненты и сохраните их под другим именем. Далее примените соответствующие настройки на свое подразделение, т.е. произведите хотя бы одну операцию смены настроек для каждого клиентского компонента (новый сертификат присылается сервером на клиентский компонент при любой операции смены настроек). Важно обеспечить отправку сертификата на все клиентские компоненты, иначе при переключении сервера на использование нового сертификата клиентские компоненты более не смогут соединиться с ним.
- Перезапустите службу сервер управления используя интерфейс командной строки:
- net stop "safensoft server"
- net start "safensoft server"
- В окне «Клиенты» выделите всех клиентов (Ctrl+A), нажмите правой кнопкой мыши на выбранные клиенты и через контекстное меню нажмите "Обновить клиентский сертификат".
- Нажмите кнопку «Обновить» (F5) и убедитесь в изменении срока действия сертификатов. Теперь клиентские сертификаты выдаются на 3 года.
- Убедитесь, что клиенты подключаются к серверу.
- После перезапуска сервера управления будет сгенерирован новый сертификат первичного подключения клиентов к серверу управления ClientSettings.xmlc. Этот сертификат необходимо скопировать с сервера управления из папки C:\ProgramData\SafenSoft\ и использовать его для подключения новых клиентов SysWatch к серверу управления. Также необходимо заменить файл ClientSettings.xmlc в ранее подготовленных пакетных инсталляторах клиента SysWatch.