Updating SoftControl Service Center 6.0 certificates — различия между версиями

Материал из SafenSoft Wiki
Перейти к: навигация, поиск
(Новая страница: «{{DISPLAYTITLE:Обновление сертификатов SoftControl Server 6|noreplace}} Статья относится к SoftControl 6.0. Для боле…»)
 
 
(не показано 30 промежуточных версий 2 участников)
Строка 1: Строка 1:
{{DISPLAYTITLE:Обновление сертификатов SoftControl Server 6|noreplace}}
+
{{DISPLAYTITLE:Обновление сертификатов SoftControl Service Center 6.0|noreplace}}
Статья относится к SoftControl 6.0. Для более поздних версий статья также может быть актуальной.
+
Статья относится к SoftControl 6.0 Release.
 
== Описание задачи ==
 
== Описание задачи ==
SoftControl Server взаимодействует по сети с клиентскими компонентами SoftControl по защищённому протоколу SSL/TLS. Для установления соединения в протоколе SSL/TLS поддерживается взаимная аутентификация сторон с использованием сертификатов. SoftControl Server генерирует сертификат удостоверяющего центра (CA) и свой сертификат SSL/TLS при первом запуске. Клиентские сертификаты SSL/TLS генерируются с использованием общего с сервером сертификата удостоверяющего центра, после чего выполняется процедура подтверждения вновь подключаемых клиентов, и все последующие взаимодействия происходят с использованием сгенерированных сертификатов.
+
SoftControl Server взаимодействует по сети с клиентскими компонентами SoftControl по защищённому протоколу SSL/TLS. Для установления соединения в протоколе SSL/TLS поддерживается взаимная аутентификация сторон с использованием сертификатов. SoftControl Server генерирует сертификат удостоверяющего центра (CA) и свой сертификат SSL/TLS при первом запуске и далее при необходимости. Клиентские сертификаты SSL/TLS генерируются с использованием общего с сервером сертификата удостоверяющего центра, после чего выполняется процедура подтверждения вновь подключаемых клиентов, и все последующие взаимодействия происходят с использованием сгенерированных сертификатов.
  
 
Однако сертификат CA, сертификат сервера и сертификаты клиентов необходимо периодически заменять в связи с истечением срока их действия, а также в связи с необходимостью обновлять криптографические алгоритмы, используемые для генерации сертификатов, из-за обнаружения уязвимостей в старых версиях алгоритмов.
 
Однако сертификат CA, сертификат сервера и сертификаты клиентов необходимо периодически заменять в связи с истечением срока их действия, а также в связи с необходимостью обновлять криптографические алгоритмы, используемые для генерации сертификатов, из-за обнаружения уязвимостей в старых версиях алгоритмов.
  
В версии SoftControl 6.0 было произведено обновление форматов сертификатов для устранения уязвимостей в старых версиях форматов. В связи с этим новые клиентские компоненты SoftControl 6.0 не могут работать с сервером, на котором установлены старые версии сертификатов. Поэтому при обновлении версии системы SoftControl на 6.0 с более ранней версии необходимо провести процедуру обновления сертификатов.
+
В версии SoftControl 6.0 было произведено обновление сертификатов для устранения уязвимостей в старых версиях алгоритмов. В связи с этим новые клиентские компоненты SoftControl 6.0 не могут работать с сервером, на котором установлены старые версии сертификатов. Поэтому при обновлении версии системы SoftControl на 6.0 с более ранней версии необходимо провести процедуру обновления сертификатов.
 +
 
 +
Процедура обновления сертификатов необходима только для обновления старых клиентов до 6ой версии или установки новых клиентов. А для работы нового сервера 6.0 со старыми клиентами обновление сертификатов проводить не требуется.
  
 
== Процедура обновления сертификатов ==
 
== Процедура обновления сертификатов ==
В целом процедура обновления сертификатов выглядит следующим образом:
+
=== В целом процедура обновления сертификатов выглядит следующим образом: ===
# Обновите SoftControl Server на версию 6.0.
+
# Обновить сертификаты УЦ
# Обновите сертификаты сервера и клиентов.
+
# Доставить обновленные сертификаты УЦ на клиентские компоненты
# Обновите клиентские компоненты SoftControl на версию 6.0.
+
# Обновить сертификаты клиентов.
Самым сложным шагом в этой процедуре является второй, обновление сертификатов сервера и клиентов. Для его выполнения сделайте следующее:
+
 
 +
=== Для выполнения процедуры обновления сделайте следующее: ===
 +
; Обновление сертификатов УЦ
 
# Войдите в Admin Console от имени пользователя с правами администратора.
 
# Войдите в Admin Console от имени пользователя с правами администратора.
# Откройте окно управления сертификатами - в главном меню Admin Console выберите "Инструменты" - "Управление центрами сертификации (CA)".
+
# Откройте окно управления сертификатами - в главном меню Admin Console выберите "Инструменты" - "Управление сертификатами УЦ".
#:[[Файл:Page1.png]]
+
#:[[Файл:cert-page1.png]]
# В открывшемся окне "Управление центрами сертификации (CA)" сгенерируйте новый сертификат сервера, нажав кнопку "Сгенерировать".
+
# В открывшемся окне "Управление сертификатами УЦ" сгенерируйте новый сертификат сервера, установите переключатель «Сгенерировать» и нажмите кнопку «Применить».
#:[[Файл:Page2.png]] <br />Обратите внимание, что новый сертификат сервера будет иметь в своём названии указание на то, что он является EKU-сертификатом (новый, более безопасный тип сертификатов).  
+
#:[[Файл:cert-page2.png]]
#:[[Файл:Page3.png]]
+
# В открывшемся окне "Новый сертификат УЦ" нажмите кнопку "Да" для генерации сертификата
# Нажмите кнопку "Применить" и закройте окно "Управление центрами сертификации (CA)".
+
#:[[Файл:cert-page3.png]]
# Разошлите новый сертификат на все клиентские компоненты системы SoftControl. Для этого произведите хотя бы одну операцию смены настроек для каждого клиентского компонента (новый сертификат присылается сервером на клиентский компонент при любой операции смены настроек). Важно обеспечить отправку сертификата на все клиентские компоненты, иначе при переключении сервера на использование нового сертификата клиентские компоненты более не смогут соединиться с ним.
+
# Дождитесь успешного завершения запроса.
# Вновь откройте окно управления сертификатами и переключите сервер на использование нового сертификата. Новый сертификат при этом станет текущим, а текущий (старый) более не будет использоваться.
+
#:[[Файл:cert-page4.png]] <br />Обратите внимание, что новый сертификат сервера называется Root CA и отмечен зеленой галочкой.  
#:[[Файл:Page4.png]]
+
#:[[Файл:cert-page5.png]]
 +
# Нажмите кнопку "Закрыть" и закройте окно "Управление сертификатами УЦ".
 +
; Теперь нужно передать сведения о новом сгенерированном сертификате на клиентские устройства.
 +
# Чтобы это сделать, откройте вкладку «Клиентские настройки», выделите те настройки, которые применены к вашим клиентам сейчас, и нажмите «Редактировать» (иконка с карандашом).
 +
#:[[File:Edit.png]]
 +
# Введите в поле «Имя» новое название и нажмите «Применить». (Если ваши клиентские компоненты управлялись настройками «По умолчанию», вам также придется указать источник обновления.)
 +
#:[[File:Settings_2.PNG]]
 +
# Теперь перейдите на вкладку «Подразделения» и нажмите «Добавить» (иконка с плюсом).
 +
#:[[File:Unit.png]]
 +
# Введите название для нового подразделения в поле «Имя», выберите только что созданные настройки в выпадающем списке «Имя настроек» и нажмите «Применить».
 +
#:[[File:New_unit.png]]
 +
# Вернитесь на вкладку «Клиенты», выделите на ней необходимые клиенты и нажмите «Переместить» (иконка с бегущим человечком).
 +
#:[[File:Move.png]]
 +
# Выберите в выпадающем списке только что созданное подразделение и нажмите «Применить».
 +
#:[[File:Selectunit.png]]
 +
# Перейдите на вкладку «Клиенты» и дождитесь, пока в столбце «Состояние настроек» соответствующих клиентов появится статус «Применены успешно». Теперь настройки с новым сертификатом попали на клиентские устройства.
 +
# Если к вашим клиентам применены разные настройки, выполните шаги 1–7 для каждого подразделения с настройками.
 
# Перезапустите службу сервер управления используя интерфейс командной строки:
 
# Перезапустите службу сервер управления используя интерфейс командной строки:
 
#: net stop "safensoft server"
 
#: net stop "safensoft server"
 
#: net start "safensoft server"
 
#: net start "safensoft server"
 +
; Обновление сертификатов клиентов
 +
# В окне «Клиенты» выделите всех клиентов (Ctrl+A), нажмите правой кнопкой мыши на выбранные клиенты и через контекстное меню нажмите "Обновить клиентский сертификат".
 +
#:[[Файл:cert-page6.png]]
 +
# Нажмите кнопку «Обновить» (F5) и убедитесь в изменении срока действия сертификатов. Теперь клиентские сертификаты выдаются на 3 года.
 +
#:[[Файл:cert-page7.png]]
 
# Убедитесь, что клиенты подключаются к серверу.
 
# Убедитесь, что клиенты подключаются к серверу.
# После перезапуска сервера управления будет сгенерирован новый сертификат первичного подключения клиентов к серверу управления ClientSettings.xmlc. Этот сертификат необходимо скопировать с сервера управления из папки C:\ProgramData\SafenSoft\ и использовать его для подключения новых клиентов SysWatch к серверу управления. Также необходимо заменить файл ClientSettings.xmlc в ранее подготовленных пакетных инсталляторах клиента SysWatch.
+
 
 +
=== Файл первичного подключения клиентов ===
 +
После перезапуска сервера управления будет сгенерирован новый файл первичного подключения клиентов к серверу управления ClientSettings.xmlc. Этот файл необходимо скопировать с сервера управления из папки C:\ProgramData\SafenSoft\ и использовать его для подключения новых клиентов SysWatch к серверу управления. Также необходимо заменить файл ClientSettings.xmlc в ранее подготовленных пакетных инсталляторах клиента SysWatch.
 
[[Category: Service Center - Updating{{#translation:}}]]
 
[[Category: Service Center - Updating{{#translation:}}]]

Текущая версия на 18:28, 1 ноября 2022

Статья относится к SoftControl 6.0 Release.

Описание задачи

SoftControl Server взаимодействует по сети с клиентскими компонентами SoftControl по защищённому протоколу SSL/TLS. Для установления соединения в протоколе SSL/TLS поддерживается взаимная аутентификация сторон с использованием сертификатов. SoftControl Server генерирует сертификат удостоверяющего центра (CA) и свой сертификат SSL/TLS при первом запуске и далее при необходимости. Клиентские сертификаты SSL/TLS генерируются с использованием общего с сервером сертификата удостоверяющего центра, после чего выполняется процедура подтверждения вновь подключаемых клиентов, и все последующие взаимодействия происходят с использованием сгенерированных сертификатов.

Однако сертификат CA, сертификат сервера и сертификаты клиентов необходимо периодически заменять в связи с истечением срока их действия, а также в связи с необходимостью обновлять криптографические алгоритмы, используемые для генерации сертификатов, из-за обнаружения уязвимостей в старых версиях алгоритмов.

В версии SoftControl 6.0 было произведено обновление сертификатов для устранения уязвимостей в старых версиях алгоритмов. В связи с этим новые клиентские компоненты SoftControl 6.0 не могут работать с сервером, на котором установлены старые версии сертификатов. Поэтому при обновлении версии системы SoftControl на 6.0 с более ранней версии необходимо провести процедуру обновления сертификатов.

Процедура обновления сертификатов необходима только для обновления старых клиентов до 6ой версии или установки новых клиентов. А для работы нового сервера 6.0 со старыми клиентами обновление сертификатов проводить не требуется.

Процедура обновления сертификатов

В целом процедура обновления сертификатов выглядит следующим образом:

  1. Обновить сертификаты УЦ
  2. Доставить обновленные сертификаты УЦ на клиентские компоненты
  3. Обновить сертификаты клиентов.

Для выполнения процедуры обновления сделайте следующее:

Обновление сертификатов УЦ
  1. Войдите в Admin Console от имени пользователя с правами администратора.
  2. Откройте окно управления сертификатами - в главном меню Admin Console выберите "Инструменты" - "Управление сертификатами УЦ".
    Cert-page1.png
  3. В открывшемся окне "Управление сертификатами УЦ" сгенерируйте новый сертификат сервера, установите переключатель «Сгенерировать» и нажмите кнопку «Применить».
    Cert-page2.png
  4. В открывшемся окне "Новый сертификат УЦ" нажмите кнопку "Да" для генерации сертификата
    Cert-page3.png
  5. Дождитесь успешного завершения запроса.
    Cert-page4.png
    Обратите внимание, что новый сертификат сервера называется Root CA и отмечен зеленой галочкой.
    Cert-page5.png
  6. Нажмите кнопку "Закрыть" и закройте окно "Управление сертификатами УЦ".
Теперь нужно передать сведения о новом сгенерированном сертификате на клиентские устройства.
  1. Чтобы это сделать, откройте вкладку «Клиентские настройки», выделите те настройки, которые применены к вашим клиентам сейчас, и нажмите «Редактировать» (иконка с карандашом).
    Edit.png
  2. Введите в поле «Имя» новое название и нажмите «Применить». (Если ваши клиентские компоненты управлялись настройками «По умолчанию», вам также придется указать источник обновления.)
    Settings 2.PNG
  3. Теперь перейдите на вкладку «Подразделения» и нажмите «Добавить» (иконка с плюсом).
    Unit.png
  4. Введите название для нового подразделения в поле «Имя», выберите только что созданные настройки в выпадающем списке «Имя настроек» и нажмите «Применить».
    New unit.png
  5. Вернитесь на вкладку «Клиенты», выделите на ней необходимые клиенты и нажмите «Переместить» (иконка с бегущим человечком).
    Move.png
  6. Выберите в выпадающем списке только что созданное подразделение и нажмите «Применить».
    Selectunit.png
  7. Перейдите на вкладку «Клиенты» и дождитесь, пока в столбце «Состояние настроек» соответствующих клиентов появится статус «Применены успешно». Теперь настройки с новым сертификатом попали на клиентские устройства.
  8. Если к вашим клиентам применены разные настройки, выполните шаги 1–7 для каждого подразделения с настройками.
  9. Перезапустите службу сервер управления используя интерфейс командной строки:
    net stop "safensoft server"
    net start "safensoft server"
Обновление сертификатов клиентов
  1. В окне «Клиенты» выделите всех клиентов (Ctrl+A), нажмите правой кнопкой мыши на выбранные клиенты и через контекстное меню нажмите "Обновить клиентский сертификат".
    Cert-page6.png
  2. Нажмите кнопку «Обновить» (F5) и убедитесь в изменении срока действия сертификатов. Теперь клиентские сертификаты выдаются на 3 года.
    Cert-page7.png
  3. Убедитесь, что клиенты подключаются к серверу.

Файл первичного подключения клиентов

После перезапуска сервера управления будет сгенерирован новый файл первичного подключения клиентов к серверу управления ClientSettings.xmlc. Этот файл необходимо скопировать с сервера управления из папки C:\ProgramData\SafenSoft\ и использовать его для подключения новых клиентов SysWatch к серверу управления. Также необходимо заменить файл ClientSettings.xmlc в ранее подготовленных пакетных инсталляторах клиента SysWatch.

Источник — «http://kb.safensoft.com/index.php?title=Updating_SoftControl_Service_Center_6.0_certificates&oldid=1773»