Замена сертификата у Kaspersky Security Center 11 Web Console

[ankar84]

Добрый день! Не могу найти в документации каким образом можно изменить самоподписанный сертификат корпоративным. Подскажите, пожалуйста.

[ankar84]

Ответ пришел из ТП: Заменить сертификат для Веб-Консоли необходимо можно через Programs and Features -> Change -> Upgrade в ОС. На шаге Select how to specify the certificate нужно выбрать "Choose existing certificate" и указать пути к файлу сертификата и ключу.

[Alexey]

Добрый день. Что подразумевается под Programs and Features -> Change -> Upgrade в ОС. Я так понимаю установка или изменение программ, далее выбираем WebConsole и через мастер делаем обновить. Сделал все так как написал выше - в визарде обновления не было шага изменения сертификата. Это первое. 2 . После того как я нажал обновить текущую версию саму на себя а потом решил еще раз зайти в свойства изменить\удалить получил это))))) Есть какие то советы? ankar84 - напиши пожалуйста более подробно что именно надо сделать чтобы получить запрос на изменение сертификата. А так же где ты выбирал сертификат который хотел бы заменить, создавал или как? Спасибо

[Demiad]

Статья есть https://help.kaspersky.com/KSC/11/ru-RU/184363.htm Только имя дистрибутива в ней неправильное указано, я той же версии запускал установщик, что установлена веб-консоль: KSCWebConsoleInstaller.11.1.144.exe

[Alexey]

Статья есть https://help.kaspersky.com/KSC/11/ru-RU/184363.htmТолько имя дистрибутива в ней неправильное указано, я той же версии запускал установщик, что установлена веб-консоль: KSCWebConsoleInstaller.11.1.144.exe

Видел данную статью, но решил попробовать ответ в посте - помеченный как решение :grin:. Ок, буду пробовать. Просто рекомендованный ответ в этом посте - в моем случае не работает... более того он привнес некие изменения что теперь некорректно ведет себя система как показано в ошибке. Пробовал сам дистрибутив - через него успешно заходит и позволяет нажать "обновить". По ошибке подал СА. Demiad - по сути через установка удаление я сделал тоже самое, тоесть версия совпадает раз она установлена у меня же.

[Alexey]

Всем привет. Подскажите пожалуйста, тоже хочу заменить сертификат, используемый веб консолью самоподписанный. Но я не могу найти по отпечатку где находится этот используемый сертификат по умолчанию, кто то может подсказать? полагал что лежат тут, но отпечатки не совпадают.. C:\ProgramData\KasperskyLab\adminkit\1093\cert

[Nikolay Arinchev]

Пожалуйста, воспользуйтесь статьей - https://support.kaspersky.ru/12604#block2 Спасибо!

[Alexey]

Статья касается замены сертификата на KSC, а я говорю про web console Нашел расположение сертификата при подключении к web console, находятся тут C:\Program Files\Kaspersky Lab\Kaspersky Security Center Web Console 11 Заменил сертификат на серт с цепочкой сертификатов от рутового - все равно ругань продолжается что сертификат недоверенный. Или какое то время должно пройти с момента применения. Кто то может пояснить как это должно выглядеть?

[Alexey]

И еще вопрос - указываю файл .crt, при этом в нижней строчке KEY-файл система сама приписывает некий путь и в конце .PEM файл сертификата. Не понимаю откуда берется вот эта вторая строчка. Ну ладно ок, обновляю сертификат. Сертификат вроде бы обновлен - иду по тому пути строчки KEY-файл и такого пути нету, как понимать эту ситуацию? После замены сертификата перехожу на веб консоль - по ругани о незащищенном соединении проверяю отпечаток сертификата - он совпадает с сертификатом находящимся в C:\Program Files\Kaspersky Lab\Kaspersky Security Center Web Console 11 файл "web-server.crt" . Соответственно этот отпечаток не совпадает с тем отпечатком сертификата который я устанавливал. В пути сертификации никакой цепочки по прежнему localhost - тоесть автосозданный сертификат на самом KSC.

[ankar84]

Добрый день. Что подразумевается под Programs and Features -> Change -> Upgrade в ОС. Я так понимаю установка или изменение программ, далее выбираем WebConsole и через мастер делаем обновить. Сделал все так как написал выше - в визарде обновления не было шага изменения сертификата. Это первое. 2 . После того как я нажал обновить текущую версию саму на себя а потом решил еще раз зайти в свойства изменить\удалить получил это))))) Есть какие то советы?ankar84 - напиши пожалуйста более подробно что именно надо сделать чтобы получить запрос на изменение сертификата. А так же где ты выбирал сертификат который хотел бы заменить, создавал или как? Спасибо

Доброго дня! Очень жаль, что замена самоподписанного сертификата в веб консоли так слабо описана в официальной документации и это уже породило 2 темы тут и один запрос в ТП. Имхо, нужно эту тему там описать максимально подробно. Теперь к теме. Первое и важное. Нужно у меню "Установка удаление программ" выбрать не "Обновить", а "Изменить". Возможно тогда и не будет никакой поломки как описано здесь. У меня не было по крайней мере. Но, насколько я понимаю, сейчас уже понятно на каком шаге нужно менять сертификат, только остались некоторые пробелы в информации о сертификате и его закрытом ключе. Расскажу как делал у себя. Для установки доменных сертификатов на различные девайсы (например ILO) и разные веб-серверы, где нет возможности сгенерировать запрос я использую OpenSSL Если нам нужно, чтобы в браузере Google Chrome наш сертификат был доверенным (а это нам обычно нужно), в нем должны быть указаны SAN. Для этого создадим специальный конфигурационный файл. Команда для генерации запроса будет следующая: openssl req -new -newkey rsa:2048 -nodes -out Server-FQDN.req -keyout Server-FQDN.key.pem -subj /O=Company/OU=IT/CN=Server-FQDN -config openssl.cfg Где Server-FQDN это полное доменное имя сервера, куда будем ставить веб консоль, /O=Company/OU=IT/CN=Server-FQDN - Заполняем данными своей Компании (опционально) openssl.cfg - файл конфигурации для SAN примерно такого содержания: [ req ] default_bits = 2048 distinguished_name = req_distinguished_name req_extensions = req_ext [ req_distinguished_name ] countryName = RU stateOrProvinceName = NSO localityName = Novosibirsk organizationName = IT commonName = server-kasperskogo-01.company.com [ req_ext ] subjectAltName = @alt_names [alt_names] DNS.0 = server-kasperskogo-01.company.com Затем по полученному Server-FQDN.req с помощью следующей команды генерируем сертификат по определенному шаблону (в данном примере имя шаблона WebServer) certreq -submit -attrib "CertificateTemplate:WebServer" При наличии прав получаем сертификат. Теперь вот этот полученный сертификат и файл Server-FQDN.key.pem (который мы получили при создании запроса) мы и указываем в мастере установки веб консоли на шаге указания своего сертификата. Надеюсь, что мое объяснение будет понятным и полезным. Если остались вопросы, пишите, отвечу.

[Alexey]

Спасибо за подробное пояснение. У меня конкретный вопрос - в мое случае у меня уже есть выпущенный сертификат рутовым CA, формата .crt Проверяю действие сертификата - действителен, проверяю цепочку, цепочка построена. В политике применения сертификата: [1]Политика сертификата приложения: Идентификатор политики=Проверка подлинности клиента [2]Политика сертификата приложения: Идентификатор политики=Проверка подлинности сервера А это по идее значит что для веб консоли как подтверждение подлинности сервера подходит. DNS имя моего сервера где стоит KSC и куда я подключаюсь. Соответственно в окне замены сертификата я указываю мой файл .crt Путь прописывается все нормально, в это же время во второй строчке пишется там где KEY-файл всегда (если не менять) пишется такой путь C:\Program Files\Kaspersky Lab\Kaspersky Security Center Web Console 11\certificate\key.pem Проверяю путь - он не существует, нет папки сертификаты и соответственно нет файла. Если ничего не трогать - происходит обновление, пишет "готово" и вроде бы все ок. Но сертификат не применяется... Если вручную пытаться менять путь KEY-файла то система начинает ругаться что "файл не найден". На всякий случай скрин для понимания.

[ankar84]

Путь прописывается все нормально, в это же время во второй строчке пишется там где KEY-файл всегда (если не менять) пишется такой путьC:\Program Files\Kaspersky Lab\Kaspersky Security Center Web Console 11\certificate\key.pem Проверяю путь - он не существует, нет папки сертификаты и соответственно нет файла. Если ничего не трогать - происходит обновление, пишет "готово" и вроде бы все ок. Но сертификат не применяется... Если вручную пытаться менять путь KEY-файла то система начинает ругаться что "файл не найден". На всякий случай скрин для понимания.

Нет, все же необходимо заново сделать запрос так, чтобы получилось 2 файла - сам сертификат и его закрытый ключ. Того требует мастер и обойти это не получится.

[Alexey]

Хорошо, у меня есть .pfx файл с закрытым ключом, тоесть в него входит и закрытый и открытый ключ. Мне что с ним сделать, указать в KEY-файле и пароль раз он содержит закрытый? Прочитал что есть возможность конвертации файлов сертификатов.. в общем буду пробовать. По итогу отпишусь. В общем по итогу ребята, оказалось что у меня есть и crt сертификат и .key сертификат. Несмотря на то что в визарде требуется .pem я указал ,key (одна из разновидностей типов ключей закрытой части) и все заработало!!!! Тоесть сертификат наконец таки заменился. Еще моментик - разработчики утверждают что замена сертификата только в последней версии на офф сайте а именно KSCWebConsoleInstaller.11.1.144 У меня же стоит 11.0.95 - и так же все прокатило. Это так, для сведения. Всем большое спасибо за содействие, особенно техподдержке и автору ankar84