Обновление сертификатов SoftControl Server 6.0.187

Материал из SafenSoft Wiki
Перейти к: навигация, поиск

Статья относится к SoftControl 6.0.187.

Описание задачи

SoftControl Server взаимодействует по сети с клиентскими компонентами SoftControl по защищённому протоколу SSL/TLS. Для установления соединения в протоколе SSL/TLS поддерживается взаимная аутентификация сторон с использованием сертификатов. SoftControl Server генерирует сертификат удостоверяющего центра (CA) и свой сертификат SSL/TLS при первом запуске. Клиентские сертификаты SSL/TLS генерируются с использованием общего с сервером сертификата удостоверяющего центра, после чего выполняется процедура подтверждения вновь подключаемых клиентов, и все последующие взаимодействия происходят с использованием сгенерированных сертификатов.

Однако сертификат CA, сертификат сервера и сертификаты клиентов необходимо периодически заменять в связи с истечением срока их действия, а также в связи с необходимостью обновлять криптографические алгоритмы, используемые для генерации сертификатов, из-за обнаружения уязвимостей в старых версиях алгоритмов.

В версии SoftControl 6.0 было произведено обновление форматов сертификатов для устранения уязвимостей в старых версиях форматов. В связи с этим новые клиентские компоненты SoftControl 6.0 не могут работать с сервером, на котором установлены старые версии сертификатов. Поэтому при обновлении версии системы SoftControl на 6.0.187 с более ранней версии необходимо провести процедуру обновления сертификатов.

Процедура обновления сертификатов

В целом процедура обновления сертификатов выглядит следующим образом:

  1. Обновите SoftControl Server на версию 6.0.187
  2. Обновите сертификаты сервера и клиентов.
  3. Обновите клиентские компоненты SoftControl на версию 6.0.187

Самым сложным шагом в этой процедуре является второй, обновление сертификатов сервера и клиентов. Для его выполнения сделайте следующее:

  1. Войдите в Admin Console от имени пользователя с правами администратора.
  2. Откройте окно управления сертификатами - в главном меню Admin Console выберите "Инструменты" - "Управление сертификатами УЦ".
    Cert-page1.png
  3. В открывшемся окне "Управление сертификатами УЦ" сгенерируйте новый сертификат сервера, установите переключатель «Сгенерировать» и нажмите кнопку «Применить».
    Cert-page2.png
  4. В открывшемся окне "Новый сертификат УЦ" нажмите кнопку "Да" для генерации сертификата
    Cert-page3.png
  5. Дождитесь успешного завершения запроса.
    Cert-page4.png
    Обратите внимание, что новый сертификат сервера называется Root CA и отмечен зеленой галочкой.
    Cert-page5.png
  6. Нажмите кнопку "Закрыть" и закройте окно "Управление сертификатами УЦ".
  7. Разошлите новый сертификат на все клиентские компоненты системы SoftControl. Для этого отредактируйте клиентские настройки, которые применены на каждое подразделение, в котором находятся клиенты SysWatch и сохраните их под другим именем. Далее примените соответствующие настройки на свое подразделение, т.е. произведите хотя бы одну операцию смены настроек для каждого клиентского компонента (новый сертификат присылается сервером на клиентский компонент при любой операции смены настроек). Важно обеспечить отправку сертификата на все клиентские компоненты, иначе при переключении сервера на использование нового сертификата клиентские компоненты более не смогут соединиться с ним.
  8. Перезапустите службу сервер управления используя интерфейс командной строки:
    net stop "safensoft server"
    net start "safensoft server"
  9. В окне «Клиенты» выделите всех клиентов (Ctrl+A), нажмите правой кнопкой мыши на выбранные клиенты и через контекстное меню нажмите "Обновить клиентский сертификат".
    Cert-page6.png
  10. Нажмите кнопку «Обновить» (F5) и убедитесь в изменении срока действия сертификатов. Теперь клиентские сертификаты выдаются на 3 года.
    Cert-page7.png
  11. Убедитесь, что клиенты подключаются к серверу.
  12. После перезапуска сервера управления будет сгенерирован новый сертификат первичного подключения клиентов к серверу управления ClientSettings.xmlc. Этот сертификат необходимо скопировать с сервера управления из папки C:\ProgramData\SafenSoft\ и использовать его для подключения новых клиентов SysWatch к серверу управления. Также необходимо заменить файл ClientSettings.xmlc в ранее подготовленных пакетных инсталляторах клиента SysWatch.