Обновление сертификатов SoftControl Server

Материал из SafenSoft Wiki
Версия от 12:02, 15 января 2021; AZ (обсуждение | вклад) (Новая страница: «{{DISPLAYTITLE:Обновление сертификатов SoftControl Server|noreplace}} Статья относится к SoftControl 6.0. Для более…»)
(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)
Перейти к: навигация, поиск

Статья относится к SoftControl 6.0. Для более поздних версий статья также может быть актуальной.

Описание проблемы

SoftControl Server взаимодействует по сети с клиентскими компонентами SoftControl по защищённому протоколу SSL/TLS. Для установления соединения в протоколе SSL/TLS поддерживается взаимная аутентификация сторон с использованием сертификатов. SoftControl Server генерирует сертификат удостоверяющего центра (CA) и свой сертификат SSL/TLS при первом запуске. Клиентские сертификаты SSL/TLS генерируются с использованием общего с сервером сертификата удостоверяющего центра, после чего выполняется процедура подтверждения вновь подключаемых клиентов, и все последующие взаимодействия происходят с использованием сгенерированных сертификатов.

Однако сертификат CA, сертификат сервера и сертификаты клиентов необходимо периодически заменять в связи с истечением срока их действия, а также в связи с необходимостью обновлять криптографические алгоритмы, используемые для генерации сертификатов, из-за обнаружения уязвимостей в старых версиях алгоритмов.

В версии SoftControl 6.0 было произведено обновление форматов сертификатов для устранения уязвимостей в старых версиях форматов. В связи с этим новые клиентские компоненты SoftControl 6.0 не могут работать с сервером, на котором установлены старые версии сертификатов. Поэтому при обновлении версии системы SoftControl на 6.0 с более ранней версии необходимо провести процедуру обновления сертификатов.

Процедура обновления сертификтов

В целом процедура обновления сертификатов выглядит следующим образом:

  1. Обновите SoftControl Server на версию 6.0.
  2. Обновите сертификаты сервера и клиентов.
  3. Обновите клиентские компоненты SoftControl на версию 6.0.

Самым сложным шагом в этой процедуре является второй, обновление сертификатов сервера и клиентов. Для его выполнения сделайте следующее:

  1. Войдите в Admin Console от имени пользователя с правами администратора.
  2. Откройте окно управления сертификатами.
  3. Сгенерируйте новый сертификат сервера, нажав кнопку "Генерировать". Обратите внимание, что новый сертификат сервера будет иметь в своём названии указание на то, что он является EKU-сертификатом (новый, более безопасный тип сертификатов).
  4. Закройте окно управления сертификатами.
  5. Разошлите новый сертификат на все клиентские копоненты системы SoftControl. Для этого произведите хотя бы одну операцию смены настроек для каждого клиентского компонента (новый сертификат присылается сервером на клиентский компонент при любой операции смены настроек). Важно обеспечить отправку сертификата на все клиентские компоненты, иначе при переключении сервера на использование нового сертификата клиентские компоненты более не смогут соединиться с ним.
  6. Вновь откройте окно управления сертификатами и переключите сервер на использование нового сертификата. Новый сертификат при этом станет текущим, а текущий (старый) более не будет использоваться.
  7. Перезапустите сервер.
  8. Убедитесь, что клиенты подключаются к серверу.
Источник — «http://kb.safensoft.com/index.php?title=Updating_SoftControl_Server_certificates&oldid=1619»