Обновление сертификатов SoftControl Service Center 6.0

Материал из SafenSoft Wiki
Перейти к: навигация, поиск

Статья относится к SoftControl 6.0 Release.

Описание задачи

SoftControl Server взаимодействует по сети с клиентскими компонентами SoftControl по защищённому протоколу SSL/TLS. Для установления соединения в протоколе SSL/TLS поддерживается взаимная аутентификация сторон с использованием сертификатов. SoftControl Server генерирует сертификат удостоверяющего центра (CA) и свой сертификат SSL/TLS при первом запуске и далее при необходимости. Клиентские сертификаты SSL/TLS генерируются с использованием общего с сервером сертификата удостоверяющего центра, после чего выполняется процедура подтверждения вновь подключаемых клиентов, и все последующие взаимодействия происходят с использованием сгенерированных сертификатов.

Однако сертификат CA, сертификат сервера и сертификаты клиентов необходимо периодически заменять в связи с истечением срока их действия, а также в связи с необходимостью обновлять криптографические алгоритмы, используемые для генерации сертификатов, из-за обнаружения уязвимостей в старых версиях алгоритмов.

В версии SoftControl 6.0 было произведено обновление сертификатов для устранения уязвимостей в старых версиях алгоритмов. В связи с этим новые клиентские компоненты SoftControl 6.0 не могут работать с сервером, на котором установлены старые версии сертификатов. Поэтому при обновлении версии системы SoftControl на 6.0 с более ранней версии необходимо провести процедуру обновления сертификатов.

Процедура обновления сертификатов

В целом процедура обновления сертификатов выглядит следующим образом:

  1. Обновите сертификаты УЦ
  2. Примените обновленные сертификаты УЦ на клиентские компоненты
  3. Обновите сертификаты клиентов.

Для выполнения процедуры обновления сделайте следующее:

  1. Войдите в Admin Console от имени пользователя с правами администратора.
  2. Откройте окно управления сертификатами - в главном меню Admin Console выберите "Инструменты" - "Управление сертификатами УЦ".
    Cert-page1.png
  3. В открывшемся окне "Управление сертификатами УЦ" сгенерируйте новый сертификат сервера, установите переключатель «Сгенерировать» и нажмите кнопку «Применить».
    Cert-page2.png
  4. В открывшемся окне "Новый сертификат УЦ" нажмите кнопку "Да" для генерации сертификата
    Cert-page3.png
  5. Дождитесь успешного завершения запроса.
    Cert-page4.png
    Обратите внимание, что новый сертификат сервера называется Root CA и отмечен зеленой галочкой.
    Cert-page5.png
  6. Нажмите кнопку "Закрыть" и закройте окно "Управление сертификатами УЦ".
  7. Теперь нужно передать сведения о новом сгенерированном сертификате на клиентские устройства. Чтобы это сделать, откройте вкладку «Клиентские настройки», выделите те настройки, которые применены к вашим клиентам сейчас, и нажмите «Редактировать» (иконка с карандашом).
    Edit.png
  8. Введите в поле «Имя» новое название и нажмите «Применить». (Если ваши клиентские компоненты управлялись настройками «По умолчанию», вам также придется указать источник обновления.)
    Settings 2.PNG
  9. Теперь перейдите на вкладку «Подразделения» и нажмите «Добавить» (иконка с плюсом).
    Unit.png
  10. Введите название для нового подразделения в поле «Имя», выберите только что созданные настройки в выпадающем списке «Имя настроек» и нажмите «Применить».
    New unit.png
  11. Вернитесь на вкладку «Клиенты», выделите на ней необходимые клиенты и нажмите «Переместить» (иконка с бегущим человечком).
    Move.png
  12. Выберите в выпадающем списке только что созданное подразделение и нажмите «Применить».
    Selectunit.png
  13. Перейдите на вкладку «Клиенты» и дождитесь, пока в столбце «Состояние настроек» соответствующих клиентов появится статус «Применены успешно». Теперь настройки с новым сертификатом попали на клиентские устройства.
  14. Если к вашим клиентам применены разные настройки, вам нужно выполнить шаги 7–13 для каждого подразделения с настройками.
  15. Перезапустите службу сервер управления используя интерфейс командной строки:
    net stop "safensoft server"
    net start "safensoft server"
  16. В окне «Клиенты» выделите всех клиентов (Ctrl+A), нажмите правой кнопкой мыши на выбранные клиенты и через контекстное меню нажмите "Обновить клиентский сертификат".
    Cert-page6.png
  17. Нажмите кнопку «Обновить» (F5) и убедитесь в изменении срока действия сертификатов. Теперь клиентские сертификаты выдаются на 3 года.
    Cert-page7.png
  18. Убедитесь, что клиенты подключаются к серверу.
  19. После перезапуска сервера управления будет сгенерирован новый файл первичного подключения клиентов к серверу управления ClientSettings.xmlc. Этот файл необходимо скопировать с сервера управления из папки C:\ProgramData\SafenSoft\ и использовать его для подключения новых клиентов SysWatch к серверу управления. Также необходимо заменить файл ClientSettings.xmlc в ранее подготовленных пакетных инсталляторах клиента SysWatch.