Мазмұны
- Kaspersky Security Center Linux-пен жұмыс істеуге арналған сертификаттар
- Kaspersky Security Center сертификаттары туралы
- Kaspersky Security Center Linux-те қолданылатын пайдаланушы сертификаттарына қойылатын талаптар
- Kaspersky Security Center Web Console үшін сертификатты қайта шығару
- Kaspersky Security Center Web Console үшін сертификатты ауыстыру
- Сертификатты PFX пішімінен PEM пішіміне түрлендіру
- Сценарий: Басқару серверінің пайдаланушы сертификатын белгілеу
- klsetsrvcert утилитасын пайдаланып, Басқару сервері сертификатын ауыстыру
- Желілік агенттерді klmover утилитасын пайдаланып Басқару серверіне қосу
Kaspersky Security Center Linux-пен жұмыс істеуге арналған сертификаттар
Бұл бөлімде Kaspersky Security Center Linux сертификаттары туралы ақпарат және Kaspersky Security Center Web Console сертификаттарын қалай шығару және ауыстыру керектігі, сондай-ақ Сервер Kaspersky Security Center Web Console-імен өзара әрекеттесетін болса, Басқару сервері сертификатын қалай жаңарту керектігі сипатталған.
Kaspersky Security Center сертификаттары туралы
Kaspersky Security Center, бағдарламаның құрамдастары арасында қауіпсіз өзара әрекеттесуді қамтамасыз ету үшін келесі сертификат түрлерін пайдаланады:
- Басқару сервері сертификаты
- Веб-сервер сертификаты
- Kaspersky Security Center Web Console сертификаты
Әдепкісінше Kaspersky Security Center өздігінен қол қойылған сертификаттарды (яғни Kaspersky Security Center өзі шығарған) пайдаланады, бірақ ұйымыңыздың желісінің талаптарына жақсырақ жауап беру және қауіпсіздік стандарттарына сәйкес болу үшін оларды арнаулы сертификаттармен ауыстыруға болады. Басқару сервері пайдаланушы сертификатының барлық қолданыстағы талаптарға сәйкестігін тексергеннен кейін, бұл сертификат өздігінен қол қойылған сертификатпен бірдей әрекет ету ауқымына ие болады. Жалғыз айырмашылығы, пайдаланушы сертификаты жарамдылық мерзімі аяқталғаннан кейін автоматты түрде қайта шығарылмайды. Сіз сертификаттарды klsetsrvcert утилитасы арқылы немесе сертификат түріне байланысты Басқару сервері сипаттарындағы Kaspersky Security Center Web Console-інде ауыстырасыз. klsetsrvcert утилитасын пайдалану кезінде келесі мәндердің бірін пайдаланып, сертификат түрін көрсету қажет:
- С – 13000 және 13291 порттары үшін жалпы сертификат.
- CR – 13000 және 13291 порттары үшін жалпы резервтік сертификат.
Кез келген Басқару сервері сертификатының ең көп жарамдылық мерзімі 397 күннен аспауы керек.
Басқару серверінің сертификаттары
Басқару сервері сертификаты келесі мақсаттар үшін қажет:
- Kaspersky Security Center Web Console-іне қосылу кезінде Басқару серверінің аутентификациясы;
- басқарылатын құрылғыларда Басқару серверінің және Желілік агенттің қауіпсіз өзара әрекеттесуі;
- негізгі Басқару серверлерін қосалқы Басқару серверлеріне қосылған кезде түпнұсқалық растама.
Басқару серверінің сертификаты, Басқару сервері құрамдасын орнату кезінде автоматты түрде жасалады және /var/opt/kaspersky/klnagent_srv/1093/cert/қалтасында сақталады. Kaspersky Security Center Web Console-ін орнату үшін жауап файлын жасау кезінде Басқару сервері сертификатын көрсетесіз. Мұндай сертификат жалпы ("С") деп аталады.
Басқару сервері сертификаты 397 күн бойы жарамды. Kaspersky Security Center бағдарламасы жалпы резервтік сертификатты ("CR") жалпы сертификаттың мерзімі аяқталғанға дейін 90 күн бұрын автоматты түрде жасайды. Жалпы резервтік сертификат кейіннен Басқару сервері сертификатын ауыстыру үшін қолданылады. Жалпы сертификаттың мерзімі аяқталған кезде, басқарылатын құрылғыларда орнатылған Желілік агент үлгілерімен байланысты сақтау үшін жалпы резервтік сертификат қолданылады. Осы мақсатта жалпы резервтік сертификат ескі жалпы сертификаттың мерзімі аяқталғанға дейін 24 сағат бұрын автоматты түрде жаңа жалпы сертификатқа айналады.
Кез келген Басқару сервері сертификатының ең көп жарамдылық мерзімі 397 күннен аспауы керек.
Қажет болса, Басқару сервері сертификатына пайдаланушы сертификатын тағайындауға болады. Мысалы, бұл сіздің ұйымыңыздың бұрыннан бар PKI жүйесімен жақсырақ интеграциялау үшін немесе сертификат өрістерінің қажетті конфигурациясы үшін қажет болып қалуы мүмкін. Сертификатты ауыстырған кезде, бұрын SSL арқылы Басқару серверіне қосылған барлық Желілік агенттер Серверге "Басқару серверінің түпнұсқалық растамасы қатесі" қатесімен қосылуды тоқтатады. Бұл қатені жою үшін, сізге сертификатты ауыстырғаннан кейін қосылымды қалпына келтіру керек.
Басқару серверінің сертификаты жоғалған болса, оны қалпына келтіру үшін Басқару сервері құрамдасын қайта орнату және деректерді қалпына келтіру керек болады.
Сондай-ақ, Басқару серверін деректерді жоғалтпай бір құрылғыдан екіншісіне тасымалдау үшін Басқару сервері сертификатының сақтық көшірмесін Басқару серверінің басқа параметрлерінен бөлек жасауға болады.
Веб-сервер сертификаты
Веб-сервер Kaspersky Security Center Басқару серверінің құрамдас бөлігі болып табылады және арнайы сертификат түрін пайдаланады. Бұл сертификат кейіннен басқарылатын құрылғыларға жүктеп салатын Желілік агенттің орнату пакеттерін жариялау үшін қажет. Ол үшін Веб-сервер әртүрлі сертификаттарды қолдана алады.
Веб-сервер басымдылық ретімен келесі сертификаттардың бірін пайдаланады:
- Kaspersky Security Center Web Console көмегімен қолмен көрсетілген Веб-сервердің пайдаланушы сертификаты.
- Басқару серверінің жалпы сертификаты ("C").
Kaspersky Security Center Web Console сертификаты
Kaspersky Security Center Web Console Server серверінің (бұдан әрі Web Console деп те аталады) өз сертификаты бар. Сіз сайтты ашқан кезде, браузер сіздің қосылымыңыздың сенімді ме екенін тексереді. Web Console сертификаты Web Console түпнұсқалық растамасын жасауға мүмкіндік береді және браузер мен Web Console арасындағы трафикті шифрлау үшін қолданылады.
Web Console ашқан кезде, браузер сізге Web Console қосылымы жеке емес екенін және Web Console сертификаты жарамсыз екенін хабарлауы мүмкін. Бұл ескерту, Kaspersky Security Center Web Console сертификаты өздігінен қол қоятындықтан және оны Kaspersky Security Center автоматты түрде жасайтындықтан пайда болады. Бұл ескертуді жою үшін келесі әрекеттердің бірін орындауға болады:
- Kaspersky Security Center Web Console сертификатын пайдаланушы сертификатына ауыстырыңыз (ұсынылатын параметр). Сіздің инфрақұрылымыңызда сенімді болып табылатын және пайдаланушы сертификаттарының талаптарына сәйкес келетін сертификат жасау.
- Web Console сертификатын браузердің сенімді сертификаттары тізіміне қосу. Бұл параметрді пайдаланушы сертификатын жасай алмаған жағдайда ғана пайдалану ұсынылады.
Kaspersky Security Center Linux-те қолданылатын пайдаланушы сертификаттарына қойылатын талаптар
Төмендегі кестеде, Kaspersky Security Center Linux түрлі құрамдастарына қатысты пайдаланушы сертификаттарына қойылатын талаптар көрсетілген.
Kaspersky Security Center Linux сертификаттарына қойылатын талаптар
Сертификат түрі |
Талаптар |
Түсіндірмелер |
---|---|---|
Жалпы сертификат, жалпы резервтік сертификат ("С", "CR") |
Кілттің минималды ұзындығы: 2048. Негізгі шектеулер:
Кілтті пайдалану:
Кілтті кеңейтілген пайдалану (Extended Key Usage, EKU) (міндетті емес): Сервердің түпнұсқалық растамасы, клиенттің түпнұсқалық растамасы. |
Extended Key Usage параметрі міндетті емес. Жол ұзындығын шектеу мәні "None" мәнінен басқа, бірақ 1-ден кем емес бүтін сан болуы мүмкін. |
Веб-сервер сертификаты |
Кеңейтілген кілт қолданысы (EKU): Сервердің түпнұсқалық растамасы. Сертификаты көрсетілетін PKCS #12 / PEM контейнері жалпыға ортақ кілттердің барлық тізбегін қамтиды. Субъектінің баламалы атауы (SAN) бар; яғни Сертификат серверлер сертификаттарына қойылатын браузерлердің қолданыстағы талаптарына, сондай-ақ CA/Browser Forum ағымдағы базалық талаптарына сай келеді. |
|
Kaspersky Security Center Web Console сертификаты |
Сертификаты көрсетілетін PEM контейнері жалпыға ортақ кілттердің барлық тізбегін қамтиды. Субъектінің баламалы атауы (SAN) бар; яғни Сертификат серверлер сертификаттарына қойылатын браузерлердің қолданыстағы талаптарына, сондай-ақ CA/Browser Forum ағымдағы базалық талаптарына сай келеді. |
Шифрланған сертификаттарға Kaspersky Security Center Web Console қолдау көрсетпейді. |
Kaspersky Security Center Web Console үшін сертификатты қайта шығару
Көптеген браузерлер сертификаттың жарамдылық мерзімін шектейді. Бұл шектеуге кіру үшін Kaspersky Security Center Web Console сертификатының жарамдылық мерзімі 397 күнге тең. Жаңа өздігінен қол қойылған сертификатты қолмен шығарған кезде, сенімді сертификаттау орталығынан (CA) алынған қолданыстағы сертификатты ауыстыруға болады. Сондай-ақ, Kaspersky Security Center Web Console ескірген сертификатын қайта шығаруға болады.
Kaspersky Security Center Web Console үшін сертификатты автоматты түрде қайта шығаруға қолдау көрсетілмейді. Сертификатты қолмен қайта шығаруыңыз керек.
Егер сіз сертификат жасауды таңдасаңыз, Kaspersky Security Center Web Console бағдарламасын ашқан кезде, браузер сізге Kaspersky Security Center Web Console бағдарламасына қосылудың жекеше емес екенін және Kaspersky Security Center Web Console сертификаты жарамсыз екенін хабарлауы мүмкін. Бұл ескерту, Kaspersky Security Center Web Console сертификаты өздігінен қол қоятындықтан және оны Kaspersky Security Center Linux автоматты түрде жасайтындықтан пайда болады. Бұл ескертуді жою немесе болдырмау үшін келесі әрекеттердің бірін орындауға болады:
- Пайдаланушы сертификатын қайта шығарылған кезде көрсетіңіз (ұсынылған нұсқа). Сіздің инфрақұрылымыңызда сенімді болып табылатын және пайдаланушы сертификаттарының талаптарына сәйкес келетін сертификат жасау.
- Сертификатты қайта шығарғаннан кейін, сенімді браузер сертификаттарының тізіміне Kaspersky Security Center Web Console сертификатын қосыңыз. Бұл параметрді пайдаланушы сертификатын жасай алмаған жағдайда ғана пайдалану ұсынылады.
Мерзімі өткен Kaspersky Security Center Web Console сертификатын қайта шығару үшін:
Kaspersky Security Center Web Console-ін, келесі әрекеттердің бірін орындау арқылы қайта орнатыңыз:
- Kaspersky Security Center Web Console-інің бірдей орнату файлын пайдаланғыңыз келсе, Kaspersky Security Center Web Console бағдарламасын жойып, Kaspersky Security Center Web Console-інің бірдей нұсқасын орнатыңыз.
- Жаңартылған нұсқаның орнату файлын пайдаланғыңыз келсе, жаңарту пәрменін орындаңыз.
Kaspersky Security Center Web Console сертификаты 397 күндік жарамдылық мерзімімен қайта шығарылған.
Басына оралуKaspersky Security Center Web Console үшін сертификатты ауыстыру
Әдепкі бойынша, Kaspersky Security Center Web Console серверін (бұдан әрі Kaspersky Security Center Web Console Server) орнату кезінде бағдарламаға арналған браузер сертификаты автоматты түрде жасалады. Сіз автоматты түрде жасалған сертификатты пайдаланушы сертификатымен ауыстыра аласыз.
Kaspersky Security Center Web Console үшін сертификатты пайдаланушы сертификатына ауыстыру үшін:
- Kaspersky Security Center Web Console орнату үшін қажетті жаңа жауап файлын жасаңыз.
- Жауап файлында
certPath
параметрі менkeyPath
параметрі арқылы пайдаланушы сертификатының файлына және кілт файлына жолды көрсетіңіз. - Жаңа жауап файлын көрсету арқылы Kaspersky Security Center Web Console қайта орнатыңыз. Келесі әрекеттердің бірін орындаңыз:
- Kaspersky Security Center Web Console-інің бірдей орнату файлын пайдаланғыңыз келсе, Kaspersky Security Center Web Console бағдарламасын жойып, Kaspersky Security Center Web Console-інің бірдей нұсқасын орнатыңыз.
- Жаңартылған нұсқаның орнату файлын пайдаланғыңыз келсе, жаңарту пәрменін орындаңыз.
Kaspersky Security Center Web Console сервері көрсетілген сертификатпен жұмыс істейді.
Басына оралуСертификатты PFX пішімінен PEM пішіміне түрлендіру
Kaspersky Security Center Web Console бағдарламасында PFX пішіміндегі сертификатты пайдалану үшін, оны кез келген OpenSSL негізіндегі кроссплатформалық утилита арқылы PEM пішіміне алдын ала түрлендіру қажет.
Linux операциялық жүйесінде сертификатты PFX пішімінен PEM пішіміне түрлендіру үшін:
- OpenSSL негізіндегі кроссплатформалық утилитада келесі пәрмендерді орындаңыз:
openssl pkcs12 -in <filename.pfx> -clcerts -nokeys | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > server.crt
openssl pkcs12 -in <filename.pfx> -nocerts -nodes | sed -ne '/-BEGIN PRIVATE KEY-/,/-END PRIVATE KEY-/p' > key.pem
- Сертификат файлы мен жеке кілт PFX файлы сақталатын қалтада жасалғанына көз жеткізіңіз.
- Kaspersky Security Center Web Console сервері құпиясөз тіркесімен қорғалған сертификаттарды қолдамайды. Сондықтан, .pem файлынан құпиясөз тіркесін жою үшін OpenSSL негізіндегі кроссплатформалық утилитада келесі пәрменді орындаңыз:
openssl rsa -in key.pem -out key-without-passphrase.pem
.PEM кіріс және шығыс файлдары үшін бірдей атты қолданбаңыз.
Нәтижесінде, жаңа .pem файлы шифрланбаған. Оны пайдалану үшін құпиясөз тіркесін енгізудің қажеті жоқ.
.crt және .pem файлдары пайдалануға дайын, сондықтан оларды Kaspersky Security Center Web Console орнату шеберінде көрсетуге болады.
Басына оралуСценарий: Басқару серверінің пайдаланушы сертификатын белгілеу
Сіз өзіңіздің ұйымыңыздың қолданыстағы жалпыға ортақ кілттер инфрақұрылымымен (PKI) жақсырақ біріктіру үшін немесе сертификат параметрлерінің пайдаланушы конфигурациясы үшін Басқару серверінің пайдаланушы сертификатын тағайындай аласыз. Сертификатты, Басқару серверін орнатқаннан кейін, бағдарламаны жылдам іске қосу шеберінің жұмысы аяқталғанға дейін ауыстырған жөн.
Кез келген Басқару сервері сертификатының ең көп жарамдылық мерзімі 397 күннен аспауы керек.
Алдын ала талаптар
Жаңа сертификат PKCS#12 пішімінде жасалуы керек (мысалы, ұйымның PKI арқылы) және оны сенімді сертификаттау орталығы (CA) шығаруы керек. Сондай-ақ, жаңа сертификат бүкіл сенім тізбегін және pfx немесе p12 кеңейтімі бар файлда сақталуы тиісті жеке кілтті қамтуы керек. Жаңа сертификат үшін төменде көрсетілген талаптар орындалуы керек.
Сертификат түрі: Жалпы сертификат, жалпы резервтік сертификат ("С", "CR")
Талаптар:
- Кілттің минималды ұзындығы: 2048.
- Негізгі шектеулер:
- CA: Иә.
- Жол ұзындығын шектеу: Жоқ.
Жолдың ұзындығын шектеу мәндері "None" мәнінен ерекшеленетін бүтін сан болуы мүмкін, бірақ 1-ден кем болмауы тиіс.
- Кілтті пайдалану:
- Сандық қолтаңба.
- Сертификат қолтаңбасы.
- Кілттерді шифрлау.
- Кері қайтару тізіміне (CRL) қол қою.
- Кеңейтілген кілт қолданысы (Extended Key Usage, EKU) (міндетті емес): Сервердің түпнұсқалық растамасы және клиенттің түпнұсқалық растамасы. EKU міндетті емес, бірақ ол сіздің сертификатыңызда болса, Сервер мен клиенттің түпнұсқалық растамасы деректері EKU-да көрсетілуі керек.
Сенімді сертификаттау орталығы (ағылшынша certificate authority, CA) шығарған сертификаттардың сертификаттарға қол қоюға рұқсаты жоқ. Мұндай сертификаттарды пайдалану үшін, желіңіздегі тарату нүктелерінде немесе қосылым шлюздерінде 13 немесе одан жоғары нұсқадағы Желілік агент орнатылғанына көз жеткізіңіз. Әйтпесе, сіз қол қою рұқсатынсыз сертификаттарды пайдалана алмайсыз.
Кезеңдер
Басқару сервері сертификатын көрсету келесі кезеңдерден тұрады:
- Басқару серверінің сертификатын ауыстыру
Осы мақсат үшін klsetsrvcert пәрмен жолы утилитасын пайдаланыңыз.
- Жаңа сертификатты көрсету және Желілік агенттердің Басқару серверімен байланысын қалпына келтіру
Сертификатты ауыстырған кезде, бұрын SSL арқылы Басқару серверіне қосылған барлық Желілік агенттер Серверге "Басқару серверінің түпнұсқалық растамасы қатесі" қатесімен қосылуды тоқтатады. Жаңа сертификатты көрсету және қосылымды қалпына келтіру үшін klmover утилитасының пәрмен жолын пайдаланыңыз.
Нәтижелер
Сценарий аяқталғаннан кейін, Басқару сервері сертификаты ауыстырылады, басқарылатын құрылғылардағы Желілік агент сервері жаңа сертификатты пайдалану арқылы Серверді аутентификациялайды.
klsetsrvcert утилитасын пайдаланып, Басқару сервері сертификатын ауыстыру
Басқару сервері сертификатын ауыстыру үшін:
Пәрмен жолында келесі пәрменді орындаңыз:
klsetsrvcert утилитасын жүктеудің қажеті жоқ. Утилита Kaspersky Security Center Linux жеткізу жиынтығының құрамына кіреді. Ол Kaspersky Security Center Linux алдыңғы нұсқаларымен үйлеспейді.
klsetsrvcert утилитасының параметрлерінің сипаттамасы төмендегі кестеде келтірілген.
klsetsrvcert утилитасының параметрлерінің мәндері
Параметр |
Мән |
---|---|
|
Ауыстырылатын сертификат түрі.
|
|
Сертификатты ауыстыру кестесі "КК-АА-ЖЖЖЖ СС:ММ" пішімін қолданады (13000 және 13291 порттары үшін). Егер сіз жалпы немесе жалпы резервтік сертификатты жарамдылық мерзімі аяқталғанға дейін ауыстырғыңыз келсе, осы параметрді қолданыңыз. Басқарылатын құрылғылардың жаңа сертификатты пайдаланып Басқару серверімен синхрондау уақытын көрсетіңіз. |
|
Сертификаты бар контейнер және PKCS#12 пішіміндегі жеке кілт (p12 немесе pfx кеңейтімі бар файл). |
|
p12 контейнерін қорғайтын құпиясөз. Сертификат пен жеке кілт контейнерде сақталады, сондықтан контейнер файлын шифрсыздау үшін құпиясөз қажет. |
|
Сертификатты тексеру параметрлері (нүктелі үтірмен бөлінген). Қол қоюға рұқсатсыз пайдаланушы сертификатын пайдалану үшін klsetsrvcert утилитасында C немесе CR түріндегі сертификаттар үшін шифрлау кілтінің ұзындығын өзгерту үшін klsetsrvcert утилитасында |
|
Сертификат көрсетілген DNS атауымен жасалады. |
|
Сенімді сертификаттау орталығы қол қойған PEM пішіміндегі сенімді түбірлік сертификаттардың тізімі. |
|
Нәтижелерді шығару файлы. Әдепкі бойынша, шығару стандартты шығару ағынында жүзеге асырылады. |
Мысалы, Басқару серверінің пайдаланушы сертификатын көрсету үшін келесі пәрменді пайдаланыңыз:
Сертификатты ауыстырғаннан кейін, SSL протоколы арқылы Басқару серверіне қосылған барлық Желілік агенттер байланысын жоғалтады. Байланысты қалпына келтіру үшін, klmover утилитасы пәрмен жолағын қолданыңыз.
Желілік агенттердің қосылымдарын жоғалтпау үшін келесі пәрмендерді пайдаланыңыз:
- Жаңа сертификатты орнату үшін,
klsetsrvcert -t CR -i <inputfile> -p <password> -o NoCA
- Жаңа сертификатқа өтінім беру күнін көрсету үшін,
klsetsrvcert -f "DD-MM-YYYY hh:mm"
мұндағы "DD-MM-YYYY hh:mm
" күні ағымдағы күннен 3-4 аптаға көбірек. Сертификатты жаңа сертификатқа ауыстыру уақытын ауыстыру жаңа сертификатты барлық Желілік агенттерге таратуға мүмкіндік береді.
Желілік агенттерді klmover утилитасын пайдаланып Басқару серверіне қосу
Басқару сервері сертификатын klsetsrvcert пәрмен жолының утилитасымен ауыстырғаннан кейін, байланыс үзілгендіктен Желілік агенттер мен Басқару сервері арасында SSL қосылымын орнату керек.
Жаңа Басқару сервер сертификатын көрсету және қосылымды қалпына келтіру үшін:
Пәрмен жолында келесі пәрменді орындаңыз:
klmover [-address <сервер мекенжайы>] [-pn <порт нөмірі>] [-ps <SSL портының нөмірі>] [-nossl] [-cert <сертификат файлына апаратын жол>]
Бұл утилита Желілік агентті клиент құрылғысына орнатқан кезде Желілік агенттің орнату қалтасына автоматты түрде көшіріледі.
klmover утилитасының параметрлерінің сипаттамасы төмендегі кестеде келтірілген.
klmover утилитасының параметрлерінің мәндері
Параметр |
Мән |
---|---|
|
Қосылу үшін Басқару сервері мекенжайы. Мекенжай ретінде IP мекенжайын немесе DNS атауын көрсетуге болады. |
|
Басқару серверіне шифрланбаған қосылу орындалатын порт нөмірі. Әдепкі бойынша 14000-порт орнатылған. |
|
SSL протоколын қолдана отырып, Басқару серверіне шифрланған қосылу жүзеге асырылатын SSL порты нөмірі. Әдепкі бойынша 13000-порт орнатылған. |
|
Басқару серверіне шифрланбаған қосылымды пайдалану. Егер кілт пайдаланылмаса, Желілік агент Серверге қорғалған SSL протоколы арқылы қосылады. |
|
Басқару серверіне қатынасудың түпнұсқалық растамасын жасау үшін көрсетілген сертификат файлын пайдалану. |