При установке HTTPS-соединения с экземплярами Kaspersky CyberTrace сервис Balancer проверяет, соответствует ли сертификат, полученный от Kaspersky CyberTrace, эталонному сертификату, расположенному в каталоге, указанном в качестве значения параметра CertDirPath
файла конфигурации kl_balancer.conf
.
Проверка сертификатов возможна только в Rest API, поскольку только Rest API работает с https. Этот раздел не применим к обнаружению.
Если эталонный сертификат экземпляра Kaspersky CyberTrace недоступен в каталоге или каталога не существует, Balancer выполняет следующие действия:
%CERT_PATH%/%INSTANCE%_%CT_PORT%.pem
, где:CERT_PATH
– каталог, указанный в качестве значения параметра CertDirPath
конфигурационного файла kl_balancer.conf
.INSTANCE
– имя хоста/значение IP-адреса, указанное в качестве значения элемента Instances
> Instance
для определенного экземпляра Kaspersky CyberTrace.CT_PORT
– значение порта, указанное в качестве значения атрибута matching_port
элемента Instances
> Instance
для определенного экземпляра Kaspersky CyberTrace.Если сертификат Kaspersky CyberTrace не соответствует эталонному сертификату, Balancer выполняет следующие действия:
Если имя хоста, IP-адрес или порт экземпляра Kaspersky CyberTrace, используемого при развертывании в режиме высокой доступности, изменены, эталонный сертификат экземпляра будет сохранен повторно. Старый сертификат не удаляется автоматически. За удаление неиспользованных сертификатов отвечает администратор Kaspersky CyberTrace.
Изменение сертификата Kaspersky CyberTrace
При изменении сертификата на стороне Kaspersky CyberTrace требуется вручную изменить сертификат на стороне Balancer.
Чтобы изменить сертификат Kaspersky CyberTrace, выполните следующие действия:
sc stop cybertrace
(в Windows)
systemctl stop cybertrace.service
(в Linux)
sc start cybertrace
(в Windows)
systemctl start cybertrace.service
(в Linux)
sc stop KasperskyBalancerService
(в Windows)
systemctl stop cybertrace_balancer.service
(в Linux)
На стороне Kaspersky CyberTrace скопируйте файл httpsrv\kl_feed_service_cert.pem
и вставьте его в каталог %CERT_PATH%
на стороне Balancer, а затем переименуйте в %INSTANCE%_%CT_PORT%.pem
.
sc start KasperskyBalancerService
(в Windows)
systemctl start cybertrace_balancer.service
(в Linux)
Более подробные сведения об изменении сертификатов приведены в разделе Генерация SSL-сертификатов для веб-интерфейса Kaspersky CyberTrace.
Проверка параметров сертификата
Чтобы проверить параметры сертификата выбранного экземпляра Kaspersky CyberTrace:
sc stop KasperskyBalancerService
(в Windows)
systemctl stop cybertrace_balancer.service
(в Linux)
enabled = "false"
в разделе Instances
конфигурационного файла kl_balancer.conf
. sc start KasperskyBalancerService
(в Windows)
systemctl start cybertrace_balancer.service
(в Linux)
GET/api/v.1.1/suppliers
), на порт Balancer (указанный в качестве значения параметра api_port
).sc stop KasperskyBalancerService
(в Windows)
systemctl stop cybertrace_balancer.service
(в Linux)
enabled = "true"
в разделе Instances
конфигурационного файла kl_balancer.conf
.sc start KasperskyBalancerService
(в Windows)
systemctl start cybertrace_balancer.service
(в Linux)