Kaspersky
Solved

SSL сертификат сервера администрирования и агента

  • 12 July 2021
  • 6 replies
  • 71 views

Здраствуйте.

Помогите пожалуйста решить следующую проблему - после переезда сервера администрирования на другой сервер каким-то образом произошло разделение SSL-сертификатов сервера администрирования и агента - они разные) В результате получилась следующая “каша” - старые клиенты, на которые устанавливался старый агент администрирования еще до переезда работают корректно. Новые клиенты теряют связь с сервером администрирования, перемещаются из групп администрирования в нераспределенные устройства. Попытка создать новый инсталляционный пакет агента потерпела неудачу - в него почему-то интегрируется старый SSL-сертификат. Попытка обнулить SSL- сертификат на клиенте при помощи klremover так же потерпела неудачу. Клиент получает новый SSL-сертификат, но соединяться отказывается.

 

Нужно как-то привести всю систему к “общему знаменателю” и переустановить агентов там  там где требуется.

 

Версии продуктов следующие:

 

Сервер администрирования - 13.0.0.11247

Инсталляционный пакет агента администрирования - 13.0.0.11247

 

 

icon

Best answer by Evgeny Mikheev 23 July 2021, 19:57

Проблему решили кардинально - подняли новый сервер администрирования с нуля. Переводим вручную туда всех клиентов, используя kavremover.

View original

6 replies

Userlevel 7
Badge +5

Версия пакета агента администрирования у Вас пропатченая (версия A)? Создайте пакет с ней, если нет, да и прочитайте пост, не пойму по описанию Ваша ли это ситуация.

Сравните отпечатки сертификатов сервера, лучше проверить файл*, и в новом пакете агента администрирования.

*файл на сервере KSC
c:\ProgramData\Kaspersky Lab\adminkit\1103\klserver.cer

Если отпечатки совпадают, но проблема есть, смотрите вывод команды klnagchk.exe в командной строке на управляемом хосте куда установили нового агента. Сюда его приложите (имя сервера скройте как на скринах).

Версия пакета агента администрирования у Вас пропатченая (версия A)? Создайте пакет с ней, если нет, да и прочитайте пост, не пойму по описанию Ваша ли это ситуация.

Сравните отпечатки сертификатов сервера, лучше проверить файл*, и в новом пакете агента администрирования.

*файл на сервере KSC
c:\ProgramData\Kaspersky Lab\adminkit\1103\klserver.cer

Если отпечатки совпадают, но проблема есть, смотрите вывод команды klnagchk.exe в командной строке на управляемом хосте куда установили нового агента. Сюда его приложите (имя сервера скройте как на скринах).

Дублей клиентов нет, задачу на разворачивание патча сделал. А вот проблема с сертификатом имеется, при чем изначально с сертификатом сервера администрирования. Физически файл сертификата выглядит так и выпущен на имя старого сервера - ovz-ksc01….

 

 

А выше Вы видели скрин из консоли администрирования по настройкам, где сертификат сервера администрирования прописан уже на ovz-kasp-01…., что совпадает с реальностью.

 

 

 

 

Userlevel 7
Badge +5

@Evgeny Mikheev , я считаю, что на скриншоте речь идёт только о сертификатах для мобильных устройств, устройства на Windows к ним не относятся.

Если Вы не использовали утилиту klsetsrvcert ,значит сертификат Вы не меняли, это подтверждается информацией из последнего ответа.

Справка на тему замены сертификата:
https://support.kaspersky.com/KSC/13/ru-RU/3322.htm

 

Агент из пакета со старым сертификатом значит должен сейчас успешно подключаться, а с “новым” наоборот нет.

@Evgeny Mikheev , я считаю, что на скриншоте речь идёт только о сертификатах для мобильных устройств, устройства на Windows к ним не относятся.

Если Вы не использовали утилиту klsetsrvcert ,значит сертификат Вы не меняли, это подтверждается информацией из последнего ответа.

Справка на тему замены сертификата:
https://support.kaspersky.com/KSC/13/ru-RU/3322.htm

 

Агент из пакета со старым сертификатом значит должен сейчас успешно подключаться, а с “новым” наоборот нет.

Для того, чтобы мне заменить сертификат на клиентских ПК, мне надо заменить сертификат на сервере, т.е. сгенерировать самоподписанный сертификат через интерфейс сервера администрирования. Как вы видим по скрину выше интерфейса сервера администрирования, новый сертификат выпущен на имя ovz-kasp-01…. Это именно серверный сертификат, т.к. для мобильных устройств сертификат выпускается в другом месте интерфейса сервера администрирования (см. скрин) Между тем, в указанной папке скрин из предыдущего поста показывает, что сертификат на старое имя сервера выпущен ovz-kasp01….

 

 

Проблему решили кардинально - подняли новый сервер администрирования с нуля. Переводим вручную туда всех клиентов, используя kavremover.

Userlevel 7
Badge +5

Используя klmover тогда уж. Опечатались.

Reply