Сертификаты для работы с Open Single Management Platform

В этом разделе содержится информация о сертификатах OSMP и описание, как выпустить и заменить сертификаты для Консоли OSMP, а также как обновить сертификат Сервера администрирования, если Сервер взаимодействует с Консолью OSMP.

О сертификатах Open Single Management Platform

Open Single Management Platform использует следующие типы сертификатов для обеспечения безопасного взаимодействия между компонентами приложения:

• сертификат Сервера администрирования;
• сертификат Сервера Консоли OSMP;
• сертификат Консоли OSMP.

По умолчанию Open Single Management Platform использует самоподписанные сертификаты (то есть выданные самим Open Single Management Platform). Если требуется, вы можете заменить самоподписанные сертификаты пользовательскими сертификатами, в соответствии со стандартами безопасности вашей организации. После того как Сервер администрирования проверит соответствие пользовательского сертификата всем применимым требованиям, этот сертификат приобретает такую же область действия, что и самоподписанный сертификат. Единственное отличие состоит в том, что пользовательский сертификат не перевыпускается автоматически по истечении срока действия. Вы заменяете сертификаты на пользовательские с помощью утилиты klsetsrvcert или в Консоли OSMP в свойствах Сервера администрирования, в зависимости от типа сертификата. При использовании утилиты klsetsrvcert необходимо указать тип сертификата, используя одно из следующих значений:

• С – общий сертификат для портов 13000 и 13291;
• CR – общий резервный сертификат для портов 13000 и 13291.

Максимальный срок действия любого сертификата Сервера администрирования не должен превышать 397 дней.

Сертификаты Сервера администрирования

Сертификат Сервера администрирования необходим для следующих целей:

• Аутентификация Сервера администрирования при подключении к Консоли OSMP.
• Безопасное взаимодействие Сервера администрирования и Агента администрирования на управляемых устройствах.
• Аутентификация при подключении главных Серверов администрирования к подчиненным Серверам администрирования.

Сертификат Сервера администрирования автоматически создается при установке компонента Сервер администрирования и хранится в папке /var/opt/kaspersky/klnagent_srv/1093/cert/. Сертификат Сервера администрирования вы указываете при создании файла ответов для установки Консоли OSMP. Этот сертификат называется общим ("С").

Сертификат Сервера администрирования действителен 397 дней. Open Single Management Platform автоматически генерирует общий резервный сертификат ("CR") за 90 дней до истечения срока действия общего сертификата. Общий резервный сертификат впоследствии используется для замены сертификата Сервера администрирования. Когда истекает срок действия общего сертификата, общий резервный сертификат используется для поддержания связи с экземплярами Агента администрирования, установленными на управляемых устройствах. С этой целью общий резервный сертификат автоматически становится новым общим сертификатом за 24 часа до истечения срока действия старого общего сертификата.

Максимальный срок действия любого сертификата Сервера администрирования не должен превышать 397 дней.

При необходимости можно назначить Серверу администрирования пользовательский сертификат. Например, это может понадобиться для лучшей интеграции с существующей PKI вашей организации или для требуемой настройки полей сертификата. При замене сертификата все Агенты администрирования, ранее подключенные к Серверу администрирования по SSL, перестанут подключаться к Серверу с ошибкой "Ошибка аутентификации Сервера администрирования". Чтобы устранить эту ошибку, вам потребуется восстановить соединение после замены сертификата.

В случае если сертификат Сервера администрирования потеряны, для его восстановления необходимо провести переустановку компонента Сервер администрирования и восстановление данных.

Вы также можете создать резервную копию сертификата Сервера администрирования отдельно от других параметров Сервера администрирования, чтобы перенести Сервер администрирования с одного устройства на другое без потери данных.

Мобильные сертификаты

Мобильный сертификат ("M") необходим для аутентификации Сервера администрирования на мобильных устройствах. Вы указываете мобильный сертификат в свойствах Сервера администрирования.

Также существует мобильный резервный сертификат ("MR"): он используется для замены мобильного сертификата. Open Single Management Platform автоматически генерирует этот сертификат за 60 дней до истечения срока действия общего сертификата. Когда истекает срок действия мобильного сертификата, мобильный резервный сертификат используется для поддержания связи с Агентами администрирования, установленными на управляемых мобильных устройствах. С этой целью мобильный резервный сертификат автоматически становится новым мобильным сертификатом за 24 часа до истечения срока действия старого мобильного сертификата.

Если сценарий подключения требует использования сертификата клиента на мобильных устройствах (подключение с двусторонней SSL-аутентификация), вы генерируете эти сертификаты с помощью аккредитованного центра сертификации для автоматически сгенерированных пользовательских сертификатов ("MCA"). Кроме того, в свойствах Сервера администрирования можно указать пользовательские сертификаты, выпущенные другим аккредитованным центром сертификации, при условии, что интеграция с инфраструктурой открытых ключей (PKI) вашей организации позволяет выпускать сертификаты клиентов с помощью центра сертификации домена.

сертификат Веб-сервера;

Веб-сервер является компонентом Сервера администрирования Kaspersky Security Center и использует специальный тип сертификата. Этот сертификат необходим для публикации инсталляционных пакетов Агента администрирования, которые вы впоследствии загружаете на управляемые устройства. Для этого Веб-сервер может использовать различные сертификаты.

Веб-сервер использует один из следующих сертификатов в порядке приоритета:

1. Пользовательский сертификат Веб-сервера, который вы указали вручную с помощью Консоли OSMP.
2. Общий сертификат Сервера администрирования ("C").

Сертификат Консоли OSMP

Сервер Консоли OSMP имеет собственный сертификат. Когда вы открываете сайт, браузер проверяет, является ли ваше соединение надежным. Сертификат Web Console позволяет аутентифицировать Web Console и используется для шифрования трафика между браузером и Web Console.

Когда вы открываете Web Console, браузер может информировать вас о том, что подключение к Консоли OSMP не является приватным и что сертификат Консоли OSMP недействителен. Это предупреждение появляется потому, что сертификат Консоли OSMP является самоподписанным и автоматически генерируется Open Single Management Platform. Чтобы удалить это предупреждение, можно выполнить одно из следующих действий:

• Замените сертификат Kaspersky Security Center Web Console на пользовательский сертификат (рекомендуемый параметр). Создать сертификат, доверенный в вашей инфраструктуре и соответствующий требованиям к пользовательским сертификатам.
• Добавить сертификат Web Console в список доверенных сертификатов браузера. Рекомендуется использовать этот параметр только в том случае, если вы не можете создать пользовательский сертификат.

Требования к пользовательским сертификатам, используемым в Open Single Management Platform

В таблице ниже представлены требования к пользовательским сертификатам, предъявляемые к различным компонентам Open Single Management Platform.

Требования к сертификатам Open Single Management Platform

Перевыпуск сертификата для Консоли OSMP

Большинство браузеров ограничивает срок действия сертификата. Чтобы попасть в это ограничение, срок действия сертификата в Консоли OSMP равен 397 дням. Вы можете заменить существующий сертификат, полученный от доверенного центра сертификации (CA), при выпуске вручную нового самоподписанного сертификата. Вы также можете повторно выпустить устаревший сертификат Консоли OSMP.

Автоматический перевыпуск сертификата для OSMP не поддерживается. Вам необходимо вручную перевыпустить сертификат.

Когда вы открываете Консоль OSMP, браузер может информировать вас о том, что подключение к Консоли OSMP не является приватным и что сертификат Консоли OSMP недействителен. Это предупреждение появляется потому, что сертификат Консоли OSMP является самоподписанным и автоматически генерируется Open Single Management Platform. Чтобы удалить или предотвратить это предупреждение, можно выполнить одно из следующих действий:

• Укажите пользовательский сертификат при его повторном выпуске (рекомендуемый вариант). Создать сертификат, доверенный в вашей инфраструктуре и соответствующий требованиям к пользовательским сертификатам.
• Добавьте сертификат Консоли OSMP в список доверенных сертификатов браузера после перевыпуска сертификата. Рекомендуется использовать этот параметр только в том случае, если вы не можете создать пользовательский сертификат.

Чтобы перевыпустить просроченный сертификат Консоли OSMP:

Переустановите Консоль OSMP, выполнив одно из следующих действий:

• Если вы хотите использовать тот же установочный файл Консоли OSMP, удалите Консоль OSMP и установите ту же версию Консоли OSMP.
• Если вы хотите использовать установочный файл обновленной версии, выполните команду обновления.

Сертификат Консоли OSMP перевыпущен со сроком действия 397 дней.

Замена сертификата для Консоли OSMP

По умолчанию при установке Сервера Консоли OSMP (далее также Консоль OSMP) сертификат браузера для приложения генерируется автоматически. Вы можете заменить автоматически сгенерированный сертификат на пользовательский.

Чтобы заменить сертификат для Консоли OSMP на пользовательский сертификат:

1. Создайте новый файл ответов, необходимый для установки Консоли OSMP.
2. В файле ответов укажите путь к файлу пользовательского сертификата и файлу ключа с помощью параметра certPath и параметра keyPath.
3. Переустановите Консоль OSMP, указав новый файл ответов. Выполните одно из следующих действий:
   • Если вы хотите использовать тот же установочный файл Консоли OSMP, удалите Консоль OSMP и установите ту же версию Консоли OSMP.
   • Если вы хотите использовать установочный файл обновленной версии, выполните команду обновления.

Консоль OSMP работает с указанным сертификатом.

Преобразование сертификата из формата PFX в формат PEM

Чтобы использовать сертификат формата PFX в Консоли OSMP, вам необходимо предварительно преобразовать его в формат PEM с помощью любой кроссплатформенной утилиты на основе OpenSSL.

Чтобы преобразовать сертификат из формата PFX в формат PEM в операционной системе Linux:

1. В кроссплатформенной утилите на основе OpenSSL выполните следующие команды:

   openssl pkcs12 -in <filename.pfx> -clcerts -nokeys | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > server.crt

   openssl pkcs12 -in <filename.pfx> -nocerts -nodes | sed -ne '/-BEGIN PRIVATE KEY-/,/-END PRIVATE KEY-/p' > key.pem

2. Убедитесь, что файл сертификата и закрытый ключ сгенерированы в той же директории, где хранится файл PFX.
3. Консоль OSMP не поддерживает сертификаты, защищенные парольной фразой. Поэтому выполните команду в кроссплатформенной утилите на основе OpenSSL, чтобы удалить парольную фразу из файла .pem:

   openssl rsa -in key.pem -out key-without-passphrase.pem

   Не используйте одно и то же имя для входных и выходных файлов .pem.

   В результате новый файл .pem не зашифрован. Вводить парольную фразу для его использования не нужно.

Файлы .crt и .pem готовы к использованию, поэтому вы можете указать их в мастере установки Консоли OSMP.

Сценарий: задание пользовательского сертификата Сервера администрирования

Вы можете назначить пользовательский сертификат Сервера администрирования, например, для лучшей интеграции с существующей инфраструктурой открытых ключей (PKI) вашей организации или для пользовательской конфигурации параметров сертификата. Целесообразно заменять сертификат сразу после инсталляции Сервера администрирования.

Максимальный срок действия любого сертификата Сервера администрирования не должен превышать 397 дней.

Предварительные требования

Новый сертификат должен быть создан в формате PKCS#12 (например, с помощью PKI организации) и должен быть выпущен доверенным центром сертификации (CA). Также новый сертификат должен включать в себя всю цепочку доверия и закрытый ключ, который должен храниться в файле с расширением pfx или p12. Для нового сертификата должны быть соблюдены требования, перечисленные ниже.

Тип сертификата: Общий сертификат, общий резервный сертификат ("С", "CR")

Требования:

• Минимальная длина ключа: 2048.
• Основные ограничения:
  • CA: Да.
  • Ограничение длины пути: Отсутствует.

    Значение ограничения длины пути может быть целым числом, отличным от "None", но не должно быть меньше 1.

• Использование ключа:
  • Цифровая подпись.
  • Подпись сертификата.
  • Шифрование ключей.
  • Подписывание списка отзыва (CRL).
• Расширенное использование ключа (Extended Key Usage, EKU) (необязательно): аутентификация Сервера и аутентификация клиента. EKU необязательно, но если оно содержится в вашем сертификате, данные аутентификации Сервера и клиента должны быть указаны в EKU.

Сертификаты, выпущенные доверенным центром сертификации (англ. certificate authority, CA), не имеют разрешения на подписывание сертификатов. Чтобы использовать такие сертификаты, убедитесь, что на точках распространения или шлюзах соединения в вашей сети установлен Агент администрирования версии 13 или выше. В противном случае вы не сможете использовать сертификаты без разрешения на подпись.

Этапы

Указание сертификата Сервера администрирования состоит из следующих этапов:

1. Замена сертификата Сервера администрирования

   Используйте для этой цели утилиту командной строки klsetsrvcert.

2. Указание нового сертификата и восстановление связи Агентов администрирования с Сервером администрирования

   При замене сертификата все Агенты администрирования, ранее подключенные к Серверу администрирования по SSL, перестанут подключаться к Серверу с ошибкой "Ошибка аутентификации Сервера администрирования". Чтобы указать новый сертификат и восстановить соединение, используйте командную строку утилиты klmover.

Результаты

После завершения сценария сертификат Сервера администрирования будет заменен, Сервер Агент администрирования на управляемых устройствах аутентифицирует Сервер с использованием нового сертификата.

Замена сертификата Сервера администрирования с помощью утилиты klsetsrvcert

Чтобы заменить сертификат Сервера администрирования,

на устройстве администратора, на котором расположена утилита KDT, выполните команду:

где:

• <path_to_new_certificate> – путь к контейнеру с сертификатом и закрытому ключу в формате PKCS#12 (файл с расширением .p12 или .pfx).
• <password> – пароль, который используется для защиты контейнера PKCS # 12. Сертификат и закрытый ключ хранятся в контейнере, поэтому для расшифровки файла с контейнером требуется пароль.

По умолчанию параметры проверки сертификата не указаны, используется пользовательский сертификат без разрешения на подпись. Вы можете заменить общий сертификат для порта 13000.

Вам не нужно загружать утилиту klsetsrvcert. Он включен в кластер Kubernetes и недоступен для прямого запуска. Утилиту klsetsrvcert можно запустить только с помощью KDT с устройства администратора.

Подключение Агентов администрирования к Серверу администрирования с помощью утилиты klmover

После замены сертификата Сервера администрирования с помощью утилиты командной строки klsetsrvcert вам необходимо установить SSL-соединение между Агентами администрирования и Сервером администрирования, так как соединение разорвано.

Чтобы указать новый сертификат Сервера администрирования и восстановить соединение:

В командной строке выполните команду:

Эта утилита автоматически копируется в папку установки Агента администрирования при установке Агента администрирования на клиентское устройство.

Описание параметров утилиты klmover представлено в таблице ниже.

Значения параметров утилиты klmover