Замена сертификатов Сервера интеграции и SVM
В комплект поставки решения Kaspersky Security входит утилита управления сертификатами Сервера интеграции и SVM. SSL-сертификат Сервера интеграции используется при установке защищенного соединения с Сервером интеграции и для шифрования канала связи между Сервером защиты и Легким агентом. SSL-сертификат SVM используется для шифрования канала связи между Легким агентом и Сервером защиты.
Утилита управления сертификатами позволяет:
Замена сертификатов может потребоваться в следующих случаях:
- В ходе обновления решения для замены ранее установленного сертификата на более безопасный.
- Если срок действия используемого сертификата истек или сертификат скомпрометирован.
- Если изменился IP-адрес или доменное имя устройства, на котором установлен Сервер интеграции.
Вы можете заменить сертификат Сервера интеграции на новый сертификат, созданный с помощью утилиты или с помощью сторонних инструментов. Если вы хотите использовать сертификат Сервера интеграции, созданный с помощью сторонних инструментов, убедитесь, что новый сертификат удовлетворяет требованиям утилиты к сертификатам.
Сертификат Сервера интеграции должен удовлетворять следующим требованиям:
- Формат PFX.
- Сертификат содержит закрытый ключ.
- Сертификат защищен паролем.
- Поле Subject alternative name содержит значения:
- IP Address – внешний и локальный IP-адреса Сервера интеграции;
- DNS Name – внешний и локальный IP-адреса, а также доменное имя (FQDN) Сервера интеграции.
- Key Usage:
- KeyEncipherment;
- DigitalSignature;
- DataEncipherment;
- KeyCertSign.
- Enhanced Key Usage:
- Server Authentication (1.3.6.1.5.5.7.3.1);
- Client Authentication (1.3.6.1.5.5.7.3.2).
- Дата окончания срока действия сертификата больше текущей даты.
- Алгоритм ключа: RSA (1.2.840.113549.1.1.1).
- Размер ключа: 4096 бит.
- Разрешенные алгоритмы подписи:
- Sha256WithRSA (1.2.840.113549.1.1.11);
- Sha384WithRSA (1.2.840.113549.1.1.12);
- Sha512WithRSA (1.2.840.113549.1.1.13).
Утилита управления сертификатами может работать с Сервером интеграции на базе Linux и с Сервером интеграции на базе Windows. Утилита расположена на устройстве, где установлен Сервер интеграции. В зависимости от операционной системы устройства утилита расположена по следующему пути:
- /opt/kaspersky/viis/bin/certificate_manager.sh – на устройствах с операционными системами Linux;
- %ProgramFiles(x86)%\Kaspersky Lab\Kaspersky VIISLA\certificate_manager.exe – на устройствах с операционными системами Windows.
Для использования утилиты в операционной системе Linux учетная запись пользователя должна находиться в группе sudoers. Для использования утилиты в операционной системе Windows требуются права Администратора в операционной системе.
Как создать сертификат Сервера интеграции на базе Linux с помощью утилиты
На устройстве, где установлен Сервер интеграции, выполните команду:
sudo /opt/kaspersky/viis/bin/certificate_manager.sh create-self-signed-certs --outputFolder <путь к директории с сертификатом> [--keySize <2048 или 4096>] [--quiet]
где:
<путь к директории с сертификатом> – путь к директории, в которую будет помещен созданный сертификат. Директория должна находиться на устройстве, где установлен Сервер интеграции.--keySize <2048 или 4096> – длина ключа сертификата. Необязательный параметр. Если параметр не указан, используется значение по умолчанию 4096.--quiet – необязательный параметр. Если параметр указан, то утилита будет работать в тихом режиме, в консоль ничего не будет выводиться.
В результате выполнения команды утилита создает сертификат Сервера интеграции (файл viis.pfx) и помещает его в указанную директорию.
Рекомендуется обеспечить защиту сертификата от несанкционированного доступа. Например, вы можете использовать для размещения сертификата защищенную директорию.
Как создать сертификат Сервера интеграции на базе Windows с помощью утилиты
На устройстве, где установлен Сервер интеграции, выполните команду:
%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky VIISLA\certificate_manager.exe create-self-signed-certs --outputFolder <путь к папке с сертификатом> [--keySize <2048 или 4096>] [--quiet]
где:
<путь к папке с сертификатом> – путь к папке, в которую будет помещен созданный сертификат. Папка должна находиться на устройстве, где установлен Сервер интеграции.--keySize <2048 или 4096> – длина ключа сертификата. Необязательный параметр. Если параметр не указан, используется значение по умолчанию 4096.--quiet – необязательный параметр. Если параметр указан, то после выполнения команды окно консоли ввода закрывается, в противном случае окно консоли остается открытым.
В результате выполнения команды утилита создает сертификат Сервера интеграции (файл viis.pfx) и помещает его в указанную папку.
Рекомендуется обеспечить защиту сертификата от несанкционированного доступа. Например, вы можете использовать для размещения сертификата защищенную папку.
Как заменить сертификаты Сервера интеграции на базе Linux и SVM
На устройстве, где установлен Сервер интеграции, выполните команду:
sudo /opt/kaspersky/viis/bin/certificate_manager.sh replace --certificatePath <путь к сертификату> [--quiet]
где:
<путь к сертификату> – путь к сертификату Сервера интеграции (файлу viis.pfx).--quiet – необязательный параметр. Если параметр указан, то утилита будет работать в тихом режиме, в консоль ничего не будет выводиться.
В результате выполнения команды утилита выполняет следующие действия:
- Создает сертификат SVM на основе сертификата, размещенного в указанной папке.
- Заменяет ранее установленные сертификат Сервера интеграции и сертификат SVM на новые.
- Перезапускает службу Сервера интеграции.
Как заменить сертификаты Сервера интеграции на базе Windows и SVM
На устройстве, где установлен Сервер интеграции, выполните команду:
%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky VIISLA\certificate_manager.exe replace --certificatePath <путь к сертификату>
где <путь к сертификату> – путь к сертификату Сервера интеграции (файлу viis.pfx).
В результате выполнения команды утилита выполняет следующие действия:
- Создает сертификат SVM на основе сертификата, размещенного в указанной папке.
- Заменяет ранее установленные сертификат Сервера интеграции и сертификат SVM на новые.
- Перезапускает службу Сервера интеграции.
После замены сертификатов Сервера интеграции и SVM вам нужно обновить все политики для Легкого агента и политики для Сервера защиты, чтобы передать в политики открытый ключ нового сертификата.
Во время работы утилиты управления сертификатами могут создаваться файлы трассировки.
В начало