Перевыпуск внутренних CA-сертификатов

Изменено место хранения самоподписанного CA-сертификата и механизм перевыпуска сертификата.

Сертификат находится в СУБД. Недопустимо применять прежний метод перевыпуска внутренних сертификатов через удаление сертификатов из файловой системы Ядра и перезапуск Ядра - такой способ приведет к невозможности запуска Ядра. До завершения процесса перевыпуска сертификатов не следует подключать к Ядру новые сервисы.

После того как вы перевыпустите внутренние CA-сертификаты в разделе веб-интерфейса KUMA ПараметрыОбщиеПеревыпустить внутренние CA-сертификаты, необходимо будет остановить сервисы, удалить прежние сертификаты из директорий сервисов и вручную перезапустить все сервисы.

Опция Перевыпустить внутренние CA-сертификаты доступна только пользователю с ролью Главный администратор.

Перевыпуск сертификатов для отдельного сервиса остается прежним: в веб-интерфейсе KUMA в разделе Активные сервисы необходимо выбрать сервис, выбрать в контекстном меню Сбросить сертификат и удалить прежний сертификат в директории установки сервиса. KUMA автоматически сгенерирует новый сертификат. Для работающих сервисов перезапуск не требуется, новый сертификат будет применен автоматически. Если сервис был остановлен, необходимо перезапустить сервис, чтобы применить новый сертификат.

Чтобы перевыпустить внутренние CA-сертификаты:

  1. В веб-интерфейсе KUMA перейдите в раздел ПараметрыОбщие, нажмите кнопку Перевыпустить внутренние CA-сертификаты и ознакомьтесь с отобразившимся предупреждением. Если вы принимаете решение продолжить перевыпуск сертификатов, нажмите Да.

    В результате будут перевыпущены CA-сертификаты для сервисов KUMA и CA-сертификат для Clickhouse. Далее вам нужно будет остановить сервисы, удалить прежние сертификаты из директорий установки сервисов, перезапустить Ядро и перезапустить остановленные сервисы, чтобы применить перевыпущенные сертификаты.

  2. Подключитесь к хостам, где развернуты сервисы коллектора, коррелятора и маршрутизатора событий.
    1. Остановите все сервисы с помощью следующей команды:

      sudo systemctl stop kuma-<collector/correlator/eventRouter>-<ID сервиса>.service

    2. Удалите файлы сертификатов internal.cert и internal.key из директорий /opt/kaspersky/kuma/<тип сервиса>/<ID сервиса>/certificates с помощью следующей команды:

      sudo rm -f /opt/kaspersky/kuma/<тип сервиса>/<ID сервиса>/certificates/internal.cert

      sudo rm -f /opt/kaspersky/kuma/<тип сервиса>/<ID сервиса>/certificates/internal.key

  3. Подключитесь к хостам, где развернуты сервисы хранилища.
    1. Остановите все сервисы хранилища.

      sudo systemctl stop kuma-<storage>-<ID сервиса>.service

    2. Удалите файлы сертификатов internal.cert и internal.key из директорий /opt/kaspersky/kuma/storage/<ID сервиса>/certificates.

      sudo rm -f /opt/kaspersky/kuma/storage/<ID сервиса>/certificates/internal.cert

      sudo rm -f /opt/kaspersky/kuma/storage/<ID сервиса>/certificates/internal.key

  4. Удалите все сертификаты Clickhouse из директории /opt/kaspersky/kuma/clickhouse/certificates.

    sudo rm -f /opt/kaspersky/kuma/clickhouse/certificates/internal.cert

    sudo rm -f /opt/kaspersky/kuma/clickhouse/certificates/internal.key

  5. Подключитесь к хостам, где развернуты сервисы агентов.
    1. Остановите сервисы агентов Windows и агентов Linux.
    2. Удалите файлы сертификатов internal.cert и internal.key из рабочих директорий агентов.

      sudo /opt/kaspersky/kuma/kuma agent --core https://kuma.example.com:7210 -<ID агента> --wd /opt/kaspersky/kuma/agent/<ID агента>

  6. Перезапустите Ядро, чтобы применить новые CA-сертификаты.

    sudo systemctl restart kuma-core-00000000-0000-0000-0000-000000000000.service

  7. Перезапустите все сервисы, остановленные в ходе выполнения инструкции.

    sudo systemctl start kuma-<collector/correlator/eventRouter/storage>-<ID сервиса>.service

  8. Перезапустите victoria-metrics.

    sudo systemctl start kuma-victoria-metrics.service

Внутренние CA-сертификаты перевыпущены и применены.

В начало