Перейти к содержанию

Истекает сертификат KSC

infobez_bez

Автор infobez_bez
в Помощь по корпоративным продуктам

 Поделиться

Рекомендуемые сообщения

infobez_bez

infobez_bez

Опубликовано
Опубликовано

Здравствуйте!
В веб консоли ksc вылезло уведомление о том, что истекает доверенный сертификат image.thumb.png.e5bb434969c85ab56de39461dc23d1e6.png
Нужно ли его перевыпускать/заменять или он автоматически заменится на другой после окончания срока действия?
И еще, после смены сертификата будут ли видеть ПК сервер администрирования или их заново придется подключать?

mike 1

mike 1

Опубликовано
Опубликовано

Здравствуйте, сертификат сервера администрирования генерируется автоматически при условии, если не использовался пользовательский сертификат. Сертификат на Web Console автоматически сам не пересоздается. 

infobez_bez

infobez_bez

Опубликовано
  • Автор
Опубликовано
12 часов назад, mike 1 сказал:

Здравствуйте, сертификат сервера администрирования генерируется автоматически при условии, если не использовался пользовательский сертификат. Сертификат на Web Console автоматически сам не пересоздается. 

Здравствуйте, Михаил! Не совсем понятен ваш ответ, не могли бы вы подсказать более развернуто?

Как я понял, вы говорите, что есть 2 сертификата

Сертификат сервера администрирования -  генерируется автоматически

Сертификат на Web Console - автоматически сам не пересоздается.

У меня скриншот из Web Console - соответственно там его нужно пересоздать? 

mike 1

mike 1

Опубликовано
Опубликовано
17 минут назад, infobez_bez сказал:

У меня скриншот из Web Console - соответственно там его нужно пересоздать? 

Да, вы можете сформировать новый https://support.kaspersky.com/KSC/14.2/ru-RU/184363.htm, либо сгенерировать свой с помощью вашего УЦ. 

infobez_bez

infobez_bez

Опубликовано
  • Автор
Опубликовано (изменено)
9 часов назад, mike 1 сказал:

Да, вы можете сформировать новый https://support.kaspersky.com/KSC/14.2/ru-RU/184363.htm, либо сгенерировать свой с помощью вашего УЦ. 

Не совсем понятно, вы пишете "Да, вы можете сформировать новый" , но в статье по ссылке описана Замена сертификата
"Чтобы заменить сертификат для Сервера Kaspersky Security Center Web Console на пользовательский сертификат:...." 
Т.е. нам нужно выпустить новый сначала? А заменять мы будем руководствуясь этой статьей?

 

При этом в справке (https://support.kaspersky.com/KSC/14.2/ru-RU/3322.htm) сказано
"Новый сертификат генерируется Сервером администрирования как резервный сертификат, за 90 дней до срока окончания действия текущего сертификата. Затем новый сертификат автоматически замещает текущий сертификат за один день до окончания его срока действия."
У нас в папке cert есть сертификат с названием klserver_reserve.cer, который как раз создан за 90 дней до срока окончания действия текущего сертификата. Нам нужен он или нужно создавать какой-то другой? 
Он заменится автоматически как сказано в этой статье или все таки его нужно менять вручную как описано по вашей ссылке?

 

При этом, в этом тикете https://forum.kaspersky.com/topic/замена-доверенных-сертификатов-kaspersky-security-center-14-35507/#comment-180117
Модератор пишет "посмотрите когда он закачивается,  вычтите один день* из этой даты и получите тот день в который Веб-консоль перестанет вас пускать, и вот тогда вам будет надо выполнить действия по обновлению сертификата через установщик. То есть заранее подгрузить новый сертификат Сервера администрирования нельзя, к сожалению, Веб-консоль не умеет как Агент администрирования держать резервный сертификат и обновлять его в определенную дату."
Из этого сообщения создается впечатление, что нужно все таки обновлять сертификат вручную 

 

Подытоживая
Сам сертификат - нужно ли его обновлять/перевыпускать или будет использоваться резервный? 
Замена этого сертификата - произойдет автоматически или нужно заменять вручню?

 

8 часов назад, infobez_bez сказал:

При этом в справке (https://support.kaspersky.com/KSC/14.2/ru-RU/3322.htm) сказано
"Новый сертификат генерируется Сервером администрирования как резервный сертификат, за 90 дней до срока окончания действия текущего сертификата. Затем новый сертификат автоматически замещает текущий сертификат за один день до окончания его срока действия."
У нас в папке cert есть сертификат с названием klserver_reserve.cer, который как раз создан за 90 дней до срока окончания действия текущего сертификата. Нам нужен он или нужно создавать какой-то другой? 
Он заменится автоматически как сказано в этой статье или все таки его нужно менять вручную как описано по вашей ссылке?

Вижу, что здесь речь про Сертификат Сервера администрирования , а у нас речь про сертификат веб консоли, т.е. это не то

Изменено пользователем infobez_bez
уточнение
andrew75

andrew75

Опубликовано
Опубликовано (изменено)

@infobez_bez, я дал вам ссылку на раздел документации про сертификаты.

Если лень почитать и пройти по ссылкам, то вот вам нужный текст:

Цитата

 

Сервер Kaspersky Security Center Web Console (далее также Web Console) имеет собственный сертификат. Когда вы открываете сайт, браузер проверяет, является ли ваше соединение надежным. Сертификат Web Console позволяет аутентифицировать Web Console и используется для шифрования трафика между браузером и Web Console.

Когда вы открываете Web Console, браузер может информировать вас о том, что подключение к Web Console не является приватным и что сертификат Web Console недействителен. Это предупреждение появляется потому, что сертификат Kaspersky Security Center Web Console является самоподписанным и автоматически генерируется Kaspersky Security Center. Чтобы удалить это предупреждение, можно выполнить одно из следующих действий:

Вот инструкция по перевыпуску сертификата WebConsole - https://support.kaspersky.com/KSC/14.2/ru-RU/203355.htm

Изменено пользователем andrew75
  • Улыбнуло 1
kmscom

kmscom

Опубликовано
Опубликовано
40 минут назад, andrew75 сказал:

вот вам нужный текст

а если его тоже лень читать ))))
передадите мысли сразу из мозга в мозг?

infobez_bez

infobez_bez

Опубликовано
  • Автор
Опубликовано (изменено)
1 час назад, andrew75 сказал:

@infobez_bez, я дал вам ссылку на раздел документации про сертификаты.

Если лень почитать и пройти по ссылкам, то вот вам нужный текст:

Вот инструкция по перевыпуску сертификата WebConsole - https://support.kaspersky.com/KSC/14.2/ru-RU/203355.htm

После перевыпуска сертификата - их появляется 5 штук. При выполнении замены какой из них нужен?

image.thumb.png.5838cde9932da35be1c170de6d714326.png

45 минут назад, kmscom сказал:

а если его тоже лень читать ))))
передадите мысли сразу из мозга в мозг?

  

👍👍👍Смешно👍👍👍

Изменено пользователем infobez_bez
mike 1

mike 1

Опубликовано
Опубликовано
3 часа назад, infobez_bez сказал:

Не совсем понятно, вы пишете "Да, вы можете сформировать новый" , но в статье по ссылке описана Замена сертификата

Нужно выбрать пункт "Сформировать новый" тогда будет сформирован самоподписанный сертификат средствами KSC. Вы можете сделать пользовательский сертификат для Web Console и указать его согласно https://support.kaspersky.com/KSC/14.2/ru-RU/184363.htm

 

3 часа назад, infobez_bez сказал:

Нам нужен он или нужно создавать какой-то другой? 

Не путайте сертификат сервера администрирования и сертификат для Web Console. Они разные и используются для разных целей. 

 

3 часа назад, infobez_bez сказал:

Он заменится автоматически как сказано в этой статье или все таки его нужно менять вручную как описано по вашей ссылке?

Сертификат сервера администрирования, который используют клиенты уже сформирован и будет доставлен заранее на клиентские машины, а сертификат для Web Console нужно будет руками менять. 

  • Спасибо (+1) 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Physalis
      Нет данных о приложении, для политики
      Автор Physalis
      Добрый день! Посадили на работе за KSC, стал с ним разбираться. Залез в политики, а часть из них имеет статус "нет данных" о приложении, при открытии, соответственно, требует плагин.
      При этом, часть политик определяют приложения: агент администрирования, kes. И соответственно нормально открываются и редактируются. Вопрос, куда копать, чтоб узнать плагин управления какого приложения поставить надо?

    • Rgn
      Долгая синхранизация с агентом и сервером администрирвоания
      Автор Rgn
      Добрый день, Коллеги
       прошу вас помощью с решение проблемы при попытки синхраннизовация принудительно к устройству  очень долго происходит синхронизация. прошу помоч. 
    • Little_Wound
      Сервер администрирования использует недоверенный сертификат.
      Автор Little_Wound
      Здравствуйте!
       
      При попытке авторизоваться в Kaspersky Security Center, выходит сообщение:
       
      Требуется аутентификация. Сервер администрирования использует недоверенный сертификат. Перенастройте приложение, указав действительный сертификат, или обратитесь к Главному администратору.
       
      Поиск выдает три сертификата: 
      root@astra-test:~# sudo find /var/opt/kaspersky/ -name "klserver.cer" 2>/dev/null
      /var/opt/kaspersky/klnagent_srv/1103/klserver.cer
      /var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer
      /var/opt/kaspersky/klnagent/1103/klserver.cer
      Просмотрел командой openssl x509 -in /var/opt/kaspersky/*****/klserver.cer -noout -dates все три сертификата с актуальными датами.
       
      Подскажите, пожалуйста, куда копать? Как исправить?

       

    • Rgn
      Замена сертификата основного на резервный
      Автор Rgn
      Добрый день, коллеги
      Прошу вас помочь и подсказать.
      ранее сделали Бэкап сервера и из него развернули на новой платформе.
      Подскажите, как правильно перевыпустить основной сертификат, чтобы не отвалились агенты .
      Знаю что  есть резервный сертификат,  возможно  резервный серт распространить на на устройства, после чего произвести  смену основного серта?

      Примерный план:
      1. Через сервер Администрирования KSC распространить резервный сертификат на все активы с помощь команды:
      klsetsrvcert.exe -f "ДД-ММ-ГГГГ чч:мм" -t CR -g <dns имя>

      2. На основном сервере администрирования перевыпускаем основной сертификат с помощью команды:
      openssl req -x509 -sha256 -nodes -days 397 -newkey rsa:2048 -keyout <название файла ключа>.key -out <название файла сертификата>.crt
      openssl pkcs12 -export -out -<название контейнера>.pfx -inkey <название файла ключа>.key -in <название файла сертификата>.crt

      в консоли запустите утилиту klsetsrvcert и выполните следующую команду:

      klsetsrvcert -t C -i <путь к контейнеру> -p <пароль от контейнера> -o NoCA

      3. Через сервер Администрирования KSC распространить новый основной сертификат на все активы с помощь команды:
      klsetsrvcert.exe -f "ДД-ММ-ГГГГ чч:мм" -t C -g <dns имя>

         
    • Rgn
      Как обновить ПО с помощью KSC
      Автор Rgn
      Добрый день, коллеги
      Подскажите, как  можно производиться обновление ПО с помощью KSC.
      В разделе обновления программного обеспечения  одобрил   обновления Google Chrome.
      Требуется ли  создавать задачу на устранения, если да то как?
       
×
×
  • Создать...