Updating SoftControl Service Center 6.0 certificates — различия между версиями

Материал из SafenSoft Wiki
Перейти к: навигация, поиск
 
(не показаны 4 промежуточные версии 2 участников)
Строка 7: Строка 7:
  
 
В версии SoftControl 6.0 было произведено обновление сертификатов для устранения уязвимостей в старых версиях алгоритмов. В связи с этим новые клиентские компоненты SoftControl 6.0 не могут работать с сервером, на котором установлены старые версии сертификатов. Поэтому при обновлении версии системы SoftControl на 6.0 с более ранней версии необходимо провести процедуру обновления сертификатов.
 
В версии SoftControl 6.0 было произведено обновление сертификатов для устранения уязвимостей в старых версиях алгоритмов. В связи с этим новые клиентские компоненты SoftControl 6.0 не могут работать с сервером, на котором установлены старые версии сертификатов. Поэтому при обновлении версии системы SoftControl на 6.0 с более ранней версии необходимо провести процедуру обновления сертификатов.
 +
 +
Процедура обновления сертификатов необходима только для обновления старых клиентов до 6ой версии или установки новых клиентов. А для работы нового сервера 6.0 со старыми клиентами обновление сертификатов проводить не требуется.
  
 
== Процедура обновления сертификатов ==
 
== Процедура обновления сертификатов ==
В целом процедура обновления сертификатов выглядит следующим образом:
+
=== В целом процедура обновления сертификатов выглядит следующим образом: ===
# Обновите сертификаты УЦ
+
# Обновить сертификаты УЦ
# Примените обновленные сертификаты УЦ на клиентские компоненты
+
# Доставить обновленные сертификаты УЦ на клиентские компоненты
# Обновите сертификаты клиентов.
+
# Обновить сертификаты клиентов.
Для выполнения процедуры обновления сделайте следующее:
+
 
 +
=== Для выполнения процедуры обновления сделайте следующее: ===
 +
; Обновление сертификатов УЦ
 
# Войдите в Admin Console от имени пользователя с правами администратора.
 
# Войдите в Admin Console от имени пользователя с правами администратора.
 
# Откройте окно управления сертификатами - в главном меню Admin Console выберите "Инструменты" - "Управление сертификатами УЦ".
 
# Откройте окно управления сертификатами - в главном меню Admin Console выберите "Инструменты" - "Управление сертификатами УЦ".
Строка 25: Строка 29:
 
#:[[Файл:cert-page5.png]]
 
#:[[Файл:cert-page5.png]]
 
# Нажмите кнопку "Закрыть" и закройте окно "Управление сертификатами УЦ".
 
# Нажмите кнопку "Закрыть" и закройте окно "Управление сертификатами УЦ".
# Теперь нужно передать сведения о новом сгенерированном сертификате на клиентские устройства. Чтобы это сделать, откройте вкладку «Клиентские настройки», выделите те настройки, которые применены к вашим клиентам сейчас, и нажмите «Редактировать» (иконка с карандашом).
+
; Теперь нужно передать сведения о новом сгенерированном сертификате на клиентские устройства.
 +
# Чтобы это сделать, откройте вкладку «Клиентские настройки», выделите те настройки, которые применены к вашим клиентам сейчас, и нажмите «Редактировать» (иконка с карандашом).
 
#:[[File:Edit.png]]
 
#:[[File:Edit.png]]
 
# Введите в поле «Имя» новое название и нажмите «Применить». (Если ваши клиентские компоненты управлялись настройками «По умолчанию», вам также придется указать источник обновления.)
 
# Введите в поле «Имя» новое название и нажмите «Применить». (Если ваши клиентские компоненты управлялись настройками «По умолчанию», вам также придется указать источник обновления.)
Строка 38: Строка 43:
 
#:[[File:Selectunit.png]]
 
#:[[File:Selectunit.png]]
 
# Перейдите на вкладку «Клиенты» и дождитесь, пока в столбце «Состояние настроек» соответствующих клиентов появится статус «Применены успешно». Теперь настройки с новым сертификатом попали на клиентские устройства.
 
# Перейдите на вкладку «Клиенты» и дождитесь, пока в столбце «Состояние настроек» соответствующих клиентов появится статус «Применены успешно». Теперь настройки с новым сертификатом попали на клиентские устройства.
# Если к вашим клиентам применены разные настройки, вам нужно выполнить шаги 7–13 для каждого подразделения с настройками.
+
# Если к вашим клиентам применены разные настройки, выполните шаги 1–7 для каждого подразделения с настройками.
 
# Перезапустите службу сервер управления используя интерфейс командной строки:
 
# Перезапустите службу сервер управления используя интерфейс командной строки:
 
#: net stop "safensoft server"
 
#: net stop "safensoft server"
 
#: net start "safensoft server"
 
#: net start "safensoft server"
 +
; Обновление сертификатов клиентов
 
# В окне «Клиенты» выделите всех клиентов (Ctrl+A), нажмите правой кнопкой мыши на выбранные клиенты и через контекстное меню нажмите "Обновить клиентский сертификат".
 
# В окне «Клиенты» выделите всех клиентов (Ctrl+A), нажмите правой кнопкой мыши на выбранные клиенты и через контекстное меню нажмите "Обновить клиентский сертификат".
 
#:[[Файл:cert-page6.png]]
 
#:[[Файл:cert-page6.png]]
Строка 47: Строка 53:
 
#:[[Файл:cert-page7.png]]
 
#:[[Файл:cert-page7.png]]
 
# Убедитесь, что клиенты подключаются к серверу.
 
# Убедитесь, что клиенты подключаются к серверу.
# После перезапуска сервера управления будет сгенерирован новый файл первичного подключения клиентов к серверу управления ClientSettings.xmlc. Этот файл необходимо скопировать с сервера управления из папки C:\ProgramData\SafenSoft\ и использовать его для подключения новых клиентов SysWatch к серверу управления. Также необходимо заменить файл ClientSettings.xmlc в ранее подготовленных пакетных инсталляторах клиента SysWatch.
+
 
 +
=== Файл первичного подключения клиентов ===
 +
После перезапуска сервера управления будет сгенерирован новый файл первичного подключения клиентов к серверу управления ClientSettings.xmlc. Этот файл необходимо скопировать с сервера управления из папки C:\ProgramData\SafenSoft\ и использовать его для подключения новых клиентов SysWatch к серверу управления. Также необходимо заменить файл ClientSettings.xmlc в ранее подготовленных пакетных инсталляторах клиента SysWatch.
 
[[Category: Service Center - Updating{{#translation:}}]]
 
[[Category: Service Center - Updating{{#translation:}}]]

Текущая версия на 18:28, 1 ноября 2022

Статья относится к SoftControl 6.0 Release.

Описание задачи

SoftControl Server взаимодействует по сети с клиентскими компонентами SoftControl по защищённому протоколу SSL/TLS. Для установления соединения в протоколе SSL/TLS поддерживается взаимная аутентификация сторон с использованием сертификатов. SoftControl Server генерирует сертификат удостоверяющего центра (CA) и свой сертификат SSL/TLS при первом запуске и далее при необходимости. Клиентские сертификаты SSL/TLS генерируются с использованием общего с сервером сертификата удостоверяющего центра, после чего выполняется процедура подтверждения вновь подключаемых клиентов, и все последующие взаимодействия происходят с использованием сгенерированных сертификатов.

Однако сертификат CA, сертификат сервера и сертификаты клиентов необходимо периодически заменять в связи с истечением срока их действия, а также в связи с необходимостью обновлять криптографические алгоритмы, используемые для генерации сертификатов, из-за обнаружения уязвимостей в старых версиях алгоритмов.

В версии SoftControl 6.0 было произведено обновление сертификатов для устранения уязвимостей в старых версиях алгоритмов. В связи с этим новые клиентские компоненты SoftControl 6.0 не могут работать с сервером, на котором установлены старые версии сертификатов. Поэтому при обновлении версии системы SoftControl на 6.0 с более ранней версии необходимо провести процедуру обновления сертификатов.

Процедура обновления сертификатов необходима только для обновления старых клиентов до 6ой версии или установки новых клиентов. А для работы нового сервера 6.0 со старыми клиентами обновление сертификатов проводить не требуется.

Процедура обновления сертификатов

В целом процедура обновления сертификатов выглядит следующим образом:

  1. Обновить сертификаты УЦ
  2. Доставить обновленные сертификаты УЦ на клиентские компоненты
  3. Обновить сертификаты клиентов.

Для выполнения процедуры обновления сделайте следующее:

Обновление сертификатов УЦ
  1. Войдите в Admin Console от имени пользователя с правами администратора.
  2. Откройте окно управления сертификатами - в главном меню Admin Console выберите "Инструменты" - "Управление сертификатами УЦ".
    Cert-page1.png
  3. В открывшемся окне "Управление сертификатами УЦ" сгенерируйте новый сертификат сервера, установите переключатель «Сгенерировать» и нажмите кнопку «Применить».
    Cert-page2.png
  4. В открывшемся окне "Новый сертификат УЦ" нажмите кнопку "Да" для генерации сертификата
    Cert-page3.png
  5. Дождитесь успешного завершения запроса.
    Cert-page4.png
    Обратите внимание, что новый сертификат сервера называется Root CA и отмечен зеленой галочкой.
    Cert-page5.png
  6. Нажмите кнопку "Закрыть" и закройте окно "Управление сертификатами УЦ".
Теперь нужно передать сведения о новом сгенерированном сертификате на клиентские устройства.
  1. Чтобы это сделать, откройте вкладку «Клиентские настройки», выделите те настройки, которые применены к вашим клиентам сейчас, и нажмите «Редактировать» (иконка с карандашом).
    Edit.png
  2. Введите в поле «Имя» новое название и нажмите «Применить». (Если ваши клиентские компоненты управлялись настройками «По умолчанию», вам также придется указать источник обновления.)
    Settings 2.PNG
  3. Теперь перейдите на вкладку «Подразделения» и нажмите «Добавить» (иконка с плюсом).
    Unit.png
  4. Введите название для нового подразделения в поле «Имя», выберите только что созданные настройки в выпадающем списке «Имя настроек» и нажмите «Применить».
    New unit.png
  5. Вернитесь на вкладку «Клиенты», выделите на ней необходимые клиенты и нажмите «Переместить» (иконка с бегущим человечком).
    Move.png
  6. Выберите в выпадающем списке только что созданное подразделение и нажмите «Применить».
    Selectunit.png
  7. Перейдите на вкладку «Клиенты» и дождитесь, пока в столбце «Состояние настроек» соответствующих клиентов появится статус «Применены успешно». Теперь настройки с новым сертификатом попали на клиентские устройства.
  8. Если к вашим клиентам применены разные настройки, выполните шаги 1–7 для каждого подразделения с настройками.
  9. Перезапустите службу сервер управления используя интерфейс командной строки:
    net stop "safensoft server"
    net start "safensoft server"
Обновление сертификатов клиентов
  1. В окне «Клиенты» выделите всех клиентов (Ctrl+A), нажмите правой кнопкой мыши на выбранные клиенты и через контекстное меню нажмите "Обновить клиентский сертификат".
    Cert-page6.png
  2. Нажмите кнопку «Обновить» (F5) и убедитесь в изменении срока действия сертификатов. Теперь клиентские сертификаты выдаются на 3 года.
    Cert-page7.png
  3. Убедитесь, что клиенты подключаются к серверу.

Файл первичного подключения клиентов

После перезапуска сервера управления будет сгенерирован новый файл первичного подключения клиентов к серверу управления ClientSettings.xmlc. Этот файл необходимо скопировать с сервера управления из папки C:\ProgramData\SafenSoft\ и использовать его для подключения новых клиентов SysWatch к серверу управления. Также необходимо заменить файл ClientSettings.xmlc в ранее подготовленных пакетных инсталляторах клиента SysWatch.