Kaspersky
Solved

Замена сертификата у Kaspersky Security Center 11 Web Console


Badge
Добрый день! Не могу найти в документации каким образом можно изменить самоподписанный сертификат корпоративным.
Подскажите, пожалуйста.
icon

Best answer by ankar84 16 May 2019, 13:51

Ответ пришел из ТП:
Заменить сертификат для Веб-Консоли необходимо можно через Programs and Features -> Change -> Upgrade в ОС.
На шаге Select how to specify the certificate нужно выбрать "Choose existing certificate" и указать пути к файлу сертификата и ключу.
View original

12 replies

Badge
Ответ пришел из ТП:
Заменить сертификат для Веб-Консоли необходимо можно через Programs and Features -> Change -> Upgrade в ОС.
На шаге Select how to specify the certificate нужно выбрать "Choose existing certificate" и указать пути к файлу сертификата и ключу.
Userlevel 3
Badge +1
Добрый день.

Что подразумевается под Programs and Features -> Change -> Upgrade в ОС.
Я так понимаю установка или изменение программ, далее выбираем WebConsole и через мастер делаем обновить.
Сделал все так как написал выше - в визарде обновления не было шага изменения сертификата. Это первое.
2 . После того как я нажал обновить текущую версию саму на себя а потом решил еще раз зайти в свойства изменить\удалить получил это)))))

Есть какие то советы?
ankar84 - напиши пожалуйста более подробно что именно надо сделать чтобы получить запрос на изменение сертификата. А так же где ты выбирал сертификат который хотел бы заменить, создавал или как?
Спасибо


Userlevel 4
Badge +2
Статья есть https://help.kaspersky.com/KSC/11/ru-RU/184363.htm
Только имя дистрибутива в ней неправильное указано, я той же версии запускал установщик, что установлена веб-консоль:
KSCWebConsoleInstaller.11.1.144.exe
Userlevel 3
Badge +1
Статья есть https://help.kaspersky.com/KSC/11/ru-RU/184363.htmТолько имя дистрибутива в ней неправильное указано, я той же версии запускал установщик, что установлена веб-консоль:
KSCWebConsoleInstaller.11.1.144.exe


Видел данную статью, но решил попробовать ответ в посте - помеченный как решение 😁. Ок, буду пробовать. Просто рекомендованный ответ в этом посте - в моем случае не работает... более того он привнес некие изменения что теперь некорректно ведет себя система как показано в ошибке.
Пробовал сам дистрибутив - через него успешно заходит и позволяет нажать "обновить".
По ошибке подал СА.
Demiad - по сути через установка удаление я сделал тоже самое, тоесть версия совпадает раз она установлена у меня же.
Userlevel 3
Badge +1
Всем привет.
Подскажите пожалуйста, тоже хочу заменить сертификат, используемый веб консолью самоподписанный. Но я не могу найти по отпечатку где находится этот используемый сертификат по умолчанию, кто то может подсказать?
полагал что лежат тут, но отпечатки не совпадают..
C:\ProgramData\KasperskyLab\adminkit\1093\cert
Userlevel 4
Badge +2
Пожалуйста, воспользуйтесь статьей - https://support.kaspersky.ru/12604#block2
Спасибо!
Userlevel 3
Badge +1
Статья касается замены сертификата на KSC, а я говорю про web console
Нашел расположение сертификата при подключении к web console, находятся тут

C:\Program Files\Kaspersky Lab\Kaspersky Security Center Web Console 11

Заменил сертификат на серт с цепочкой сертификатов от рутового - все равно ругань продолжается что сертификат недоверенный. Или какое то время должно пройти с момента применения.
Кто то может пояснить как это должно выглядеть?
Userlevel 3
Badge +1
И еще вопрос - указываю файл .crt, при этом в нижней строчке KEY-файл система сама приписывает некий путь и в конце .PEM файл сертификата. Не понимаю откуда берется вот эта вторая строчка. Ну ладно ок, обновляю сертификат. Сертификат вроде бы обновлен - иду по тому пути строчки KEY-файл и такого пути нету, как понимать эту ситуацию?

После замены сертификата перехожу на веб консоль - по ругани о незащищенном соединении проверяю отпечаток сертификата - он совпадает с сертификатом находящимся в C:\Program Files\Kaspersky Lab\Kaspersky Security Center Web Console 11 файл "web-server.crt" . Соответственно этот отпечаток не совпадает с тем отпечатком сертификата который я устанавливал.
В пути сертификации никакой цепочки по прежнему localhost - тоесть автосозданный сертификат на самом KSC.


Badge
Добрый день.

Что подразумевается под Programs and Features -> Change -> Upgrade в ОС.
Я так понимаю установка или изменение программ, далее выбираем WebConsole и через мастер делаем обновить.
Сделал все так как написал выше - в визарде обновления не было шага изменения сертификата. Это первое.
2 . После того как я нажал обновить текущую версию саму на себя а потом решил еще раз зайти в свойства изменить\удалить получил это)))))

Есть какие то советы?ankar84 - напиши пожалуйста более подробно что именно надо сделать чтобы получить запрос на изменение сертификата. А так же где ты выбирал сертификат который хотел бы заменить, создавал или как?
Спасибо



Доброго дня!

Очень жаль, что замена самоподписанного сертификата в веб консоли так слабо описана в официальной документации и это уже породило 2 темы тут и один запрос в ТП. Имхо, нужно эту тему там описать максимально подробно.
Теперь к теме.
Первое и важное. Нужно у меню "Установка удаление программ" выбрать не "Обновить", а "Изменить". Возможно тогда и не будет никакой поломки как описано здесь. У меня не было по крайней мере.
Но, насколько я понимаю, сейчас уже понятно на каком шаге нужно менять сертификат, только остались некоторые пробелы в информации о сертификате и его закрытом ключе. Расскажу как делал у себя.
Для установки доменных сертификатов на различные девайсы (например ILO) и разные веб-серверы, где нет возможности сгенерировать запрос я использую OpenSSL
Если нам нужно, чтобы в браузере Google Chrome наш сертификат был доверенным (а это нам обычно нужно), в нем должны быть указаны SAN. Для этого создадим специальный конфигурационный файл.
Команда для генерации запроса будет следующая:
openssl req -new -newkey rsa:2048 -nodes -out Server-FQDN.req -keyout Server-FQDN.key.pem -subj /O=Company/OU=IT/CN=Server-FQDN -config openssl.cfg
Где Server-FQDN это полное доменное имя сервера, куда будем ставить веб консоль,
/O=Company/OU=IT/CN=Server-FQDN - Заполняем данными своей Компании (опционально)
openssl.cfg - файл конфигурации для SAN примерно такого содержания:

[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
req_extensions = req_ext
[ req_distinguished_name ]
countryName = RU
stateOrProvinceName = NSO
localityName = Novosibirsk
organizationName = IT
commonName = server-kasperskogo-01.company.com
[ req_ext ]
subjectAltName = @alt_names
[alt_names]
DNS.0 = server-kasperskogo-01.company.com

Затем по полученному Server-FQDN.req с помощью следующей команды генерируем сертификат по определенному шаблону (в данном примере имя шаблона WebServer)
certreq -submit -attrib "CertificateTemplate:WebServer"
При наличии прав получаем сертификат.
Теперь вот этот полученный сертификат и файл Server-FQDN.key.pem (который мы получили при создании запроса) мы и указываем в мастере установки веб консоли на шаге указания своего сертификата.
Надеюсь, что мое объяснение будет понятным и полезным.
Если остались вопросы, пишите, отвечу.
Userlevel 3
Badge +1
Спасибо за подробное пояснение.
У меня конкретный вопрос - в мое случае у меня уже есть выпущенный сертификат рутовым CA, формата .crt
Проверяю действие сертификата - действителен, проверяю цепочку, цепочка построена.
В политике применения сертификата:
[1]Политика сертификата приложения:
Идентификатор политики=Проверка подлинности клиента
[2]Политика сертификата приложения:
Идентификатор политики=Проверка подлинности сервера

А это по идее значит что для веб консоли как подтверждение подлинности сервера подходит.
DNS имя моего сервера где стоит KSC и куда я подключаюсь.
Соответственно в окне замены сертификата я указываю мой файл .crt
Путь прописывается все нормально, в это же время во второй строчке пишется там где KEY-файл всегда (если не менять) пишется такой путь
C:\Program Files\Kaspersky Lab\Kaspersky Security Center Web Console 11\certificate\key.pem
Проверяю путь - он не существует, нет папки сертификаты и соответственно нет файла.
Если ничего не трогать - происходит обновление, пишет "готово" и вроде бы все ок. Но сертификат не применяется...
Если вручную пытаться менять путь KEY-файла то система начинает ругаться что "файл не найден".
На всякий случай скрин для понимания.

Badge
Путь прописывается все нормально, в это же время во второй строчке пишется там где KEY-файл всегда (если не менять) пишется такой путьC:\Program Files\Kaspersky Lab\Kaspersky Security Center Web Console 11\certificate\key.pem
Проверяю путь - он не существует, нет папки сертификаты и соответственно нет файла.
Если ничего не трогать - происходит обновление, пишет "готово" и вроде бы все ок. Но сертификат не применяется...
Если вручную пытаться менять путь KEY-файла то система начинает ругаться что "файл не найден".
На всякий случай скрин для понимания.


Нет, все же необходимо заново сделать запрос так, чтобы получилось 2 файла - сам сертификат и его закрытый ключ. Того требует мастер и обойти это не получится.
Userlevel 3
Badge +1
Хорошо, у меня есть .pfx файл с закрытым ключом, тоесть в него входит и закрытый и открытый ключ. Мне что с ним сделать, указать в KEY-файле и пароль раз он содержит закрытый?
Прочитал что есть возможность конвертации файлов сертификатов.. в общем буду пробовать. По итогу отпишусь.


В общем по итогу ребята, оказалось что у меня есть и crt сертификат и .key сертификат.
Несмотря на то что в визарде требуется .pem я указал ,key (одна из разновидностей типов ключей закрытой части) и все заработало!!!! Тоесть сертификат наконец таки заменился.
Еще моментик - разработчики утверждают что замена сертификата только в последней версии на офф сайте а именно KSCWebConsoleInstaller.11.1.144
У меня же стоит 11.0.95 - и так же все прокатило. Это так, для сведения.

Всем большое спасибо за содействие, особенно техподдержке и автору ankar84

Reply / Ответить