Перейти к содержанию

Сертификаты, шлюз подключений и мобильные устройства


Рекомендуемые сообщения

Всем привет.

Сервер был установлен года 3 назад и подключение из глобальной сети не предполагалось, поэтому был установлен с локальным доменным именем и сертификатом по этому же имени. Допустим kes.company.local .

В связи с развитием компании появилась нужда в соединении мобильных устройств Android из глобальной сети. Для этой роли был выбран шлюз подключений на основе агента в ДМЗ и задано одно доменное имя для шлюза и сервера:

kes.company.ru. Внутри сети оно ссылается на сервер KSC, из глобальной сети оно ссылается на шлюз подключений.

Был перевыпущен сертификат для мобильных устройств на новое доменное имя и внутри сети мобильные устройства успешно соединяются с сервером, а вот из интернета нет - при соединении подключение (ожидаемо) приходит на шлюз, но отбивается в связи с "Ceritficate unknown". И это не удивительно, так как шлюз использует для соединения сертификат сервера, который еще на старое доменное имя, он использует его как для сервера так и для соединения с мобильными устройствами - соответственно  с сервером успешно соединяется, а с устройствами нет, так как у них сертификат на новое имя.

Из этого вопрос(ы):

Как полностью везде заменить сертификат сервера на новое доменное имя? или Как заставить шлюз использовать для соединения с сервером сертификат сервера, а для соединения с мобильниками сертификат для мобильных устройств.

 

 

Версия сервера: 13.1.0.8324, агента 13.1.0.8324, KESM 10.8.3.125

Ссылка на комментарий
Поделиться на другие сайты

Ну конечно открыты.

Я же написал: "при соединении подключение (ожидаемо) приходит на шлюз".

А "Ceritficate unknown" я взял из дампа Wireshark при попытке синхронизации мобильного устройства из интернет со шлюзом.

Ссылка на комментарий
Поделиться на другие сайты

А в свойствах точки распространения на ксц - шлюз указано новое доменное имя в самом низу?

Там как раз пишется, что дом имя включается в сертификат

Ссылка на комментарий
Поделиться на другие сайты

Да, конечно.

Там два имени, сначала новое, потом старое доменное имя.

ЗЫ: было, правда через точку с запятой написано, а надо через запятую - исправил, шлюз синхронизировался с сервером, но мобильные устройства все равно не подключаются по той же ошибке. После изменения в этом поле не нужно ли агента переставлять?

Изменено пользователем Fortex
Ссылка на комментарий
Поделиться на другие сайты

Переставлять агента не нужно.

Он же по днс имени шлюза у вас ставился, а не ксц?

Или по ксц? Тогда профиль переключения настроен в политике агента?

Ссылка на комментарий
Поделиться на другие сайты

Амм... не понял вопросов...

Профили точно никакие не настроены. Ибо не понимаю зачем.

 

Я бы понял надстройку профиля устройств на основе подсети: внутри сети использовать сервер, снаружи сети использовать шлюз. Условие задается локальными подсетями, если телефон не вних - считается что он снаружи и применяется профиль использования подключения через шлюз.

Но какой профиль и зачем настраивать для агента шлюза, я не пойму.

Изменено пользователем Fortex
Ссылка на комментарий
Поделиться на другие сайты

Агент ставился из автономного инсталляционного пакета с указанием в нем доменного имени kes.company.ru. В нем используется сертификат сервера по умолчанию, а там домен указан старый kes.company.local....

Пробовал подпихнуть туда сертификат от мобильных устройств с доменом kes.company.ru из папки сервера, но с ним агент перстал подключаться к серверу. Смогли бы с этим сертификатом подключиться мобильные устройства проверить не смог, потому как для этого на сервере нужно включить для шлюза порты для мобильных устройств, а агент к серверу не подключается из-за сертификата.

Изменено пользователем Fortex
Ссылка на комментарий
Поделиться на другие сайты

13 минут назад, Fortex сказал:

сервере нужно включить для шлюза порты для мобильных устройс

Надо, а вы что там галочки не поставили?

А попробуйте агента на мобилке поставить с указанием имени шлюза

Ссылка на комментарий
Поделиться на другие сайты

8 минут назад, oit сказал:

Надо, а вы что там галочки не поставили?

А попробуйте агента на мобилке поставить с указанием имени шлюза

Естественно ставил.... Как бы мобильное устройство тогда бы вообще подключалось, если порты были бы закрыты?!

В смысле с указанием имени шлюза? Доменного имени шлюза? Так оно одинаковое для сервера и шлюза, в первом сообщении об этом писал. Просто внутри сети это имя ссылается на сервер, а в интернет оно ссылается на шлюз.

Ссылка на комментарий
Поделиться на другие сайты

Почему не может быть? Очень может быть.

kes.company.ru указан и для сервера и для шлюза. Внутри сети он резолвится в внутренний ИП сервера, в глобальной сети он резолвится в ИП шлюза соединений.

И в тех поддержке ответили, что с версии 13 сервера и агента, + 124 билд мобильного приложения - так должно работать. 

Ссылка на комментарий
Поделиться на другие сайты

Есть неписаное правило, если обратился к одной гадалке, то к другой не обращайся.

 

Если вы обсуждали вопрос со специалистами техподдержки, то с ними бы и продолжали обсуждение, зачем начинать новое с простыми пользователями.

Ссылка на комментарий
Поделиться на другие сайты

Потому, что то обсуждение было по другому вопросу и этот ответ был дан как ответвление обсуждаемой темы.

А тут я задал вопрос, потому как схема достаточно тривиальная и, скорее всего, ее уже кто-то реализовывал - поэтому надеялся получить ответ быстрее, чем отвечает тех.поддержка. Ответа в ТП приходится ждать по 2-3 дня - это не серьезно.

В ТП этот вопрос тоже был задан, но она до сих пор молчит, а тут, как видите, уже обсуждение почти на страницу.....

Однако, теперь вижу, что тема не востребована (что очень странно, неужели никто не следит за корпоративными девайсами за пределами своей сети?! - так себе решение в плане секьюрности), поэтому реализовано в софте она через одно место....

Изменено пользователем Fortex
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ЁлкаПалка
      От ЁлкаПалка
      При запуске игр сначала звук подключения устройства(такой же как например мышку в USB воткнуть),сопровождается это зависанием всего на 2 секунды и только потом запускается сама игра. Все точно тоже самое когда игру закрываю. Пробовал отследить подключаемые устройства с помощью программы USBDeview,не помогло.Никаких поключаемых устройств не обнаружило во время запуска игры.Драйверы на материнскую плату,видеокарты и т.п. обновлены с сайтов разработчика.
      Есть мнение что ноут переключается с интегрированной на дискретную видео карту.Ставил в настройках виндовс галочку чтоб использовало всегда только дискретную,но тогда виндовс и сами игры почему то лагают.
      Помогите решить проблему,очень дискомфортно когда зависания на 2 секунды

    • Роман П.
      От Роман П.
      Добрый день.
       
      На одном из ПК возникла проблема с подключением к серверу администрирования через mmc-консоль администрирования.
      При попытке подключения выдает ошибку - неверный сертификат, показывая его отпечаток. Отпечаток сертификата действительно не совпадает с тем, что находится на сервере администрирования.

       
      1) При попытке повторного подключения, указываю "вручную" файл сертификата, который располагается на сервере администрирования в  C:\ProgramData\KasperskyLab\adminkit\1093\cert - статья О сертификатах Kaspersky Security Center
      Результат - аналогичен неверный сертификат.
      2) Исходя из статьи Решение проблем с узлами Сервера администрирования - зачищал файл сервера администрирования в %USERPROFILE%\AppData\Roaming\Microsoft\MMC\ 
      3) Заметил, что после того как запускаешь консоль и выдает эту ошибку, то в хранилище сертификатов certmgr.msc формируется этот "левый" сертификат.

      4) Его зачистка в хранилище сертификатов, а также же поиск  по отпечатку и удаление в реестре с последующей перезагрузкой ПК к результату не привели. По-прежнему - неверный сертификат.
      5) Переустанавливал агента и клиента Касперского. Также пытался производить подключение без установленного антивируса и агента.
       
      Вопросы: как исправить эту проблему? Как удалить этот непонятный сертификат и заставить сервер получить верный. 
       
    • tav
      От tav
      Всех приветствую !
       
      Кто то внедрял, пользовательский сертификат для Web Console ?
    • androv
      От androv
      Подключаюсь к серверу через Radmin VPN и нет доступа к KES. Помогите как это исправить.
    • A.Glukhov
      От A.Glukhov
      Приветствую, уважаемые коллеги! Сервер, на котором работал Kaspersky Security Center 14 - "упал" и к превеликому сожалению его бэкапы вместе с ним... Пришлось осуществлять чистую установку Kaspersky Security Center с последующей его настройкой. Но вот не задача: на этапе опроса нераспределенных устройств выяснилось, что все ранее установленные на рабочих станциях агенты администрирования - не видны (со статусом агент не установлен)! Подключившись к удаленной машине, где установлен агент, в логах наткнулся на ошибку: "Произошла ошибка транспортного уровня при соединении с http://*******:13000: не прошла аутентификация SSL, неверный или просроченный сертификат". Данная ошибка натолкнула на мысль, что все сертификаты, которые до "падения" находились в Kaspersky Security Center и распространялись с инсталляционными пакетами на удаленные машины -  теперь не действительны для нового KSС и наоборот. 
       
      Собственно сам вопрос: существует ли способ подкидывания нового сертификата на рабочие станции, на которых установлены сертификаты со старого Kaspersky Security Center? Или, проще говоря, как сделать, чтобы старые агенты администрирования стали видны в новом Kaspersky Security Center?
×
×
  • Создать...