Устройство стало неуправляемым

[g_kasyan]

Дорый деь!

После перезагрузки сервера KSC для Linux версии 15.3.389, все клиенты потеряли связь до сервера. Сейчас статус всех устройств «Устройство стало неуправляемым». Сервер KSC установлен на на Redos 7.3.6. Часть клиентов работают на Windows, часть на Linux.

На сервере проверял сервисы командой systemctl –failed, все сервисы работают. Межсетевой экран на сервере временно отключен. Сертификат не менялся.
На клиенте запуск klnagchk выдает результат «Connecting to server...Transport level error while connecting to http://server-name:13000: SSL authentication failure, certificate is invalid or out-of-date».

В чем может быть ошибка?

Не очень

[durtuno]

16 минут назад, g_kasyan сказал:

Сертификат не менялся.

Вы имеете ввиду вручную не менялся? Или имеете ввиду, что срок обновления сертификата не наступал/ автоматическая процедура обновления не наступала?

16 минут назад, g_kasyan сказал:

На клиенте запуск klnagchk выдает результат «Connecting to server...Transport level error while connecting to http://server-name:13000: SSL authentication failure, certificate is invalid or out-of-date».

Начать с выверки сертификата сервера и имеющегося на клиенте. Ну, Я точно с этого начал бы.

[g_kasyan]

40 минут назад, durtuno сказал:

Вы имеете ввиду вручную не менялся? Или имеете ввиду, что срок обновления сертификата не наступал/ автоматическая процедура обновления не наступала?

Начать с выверки сертификата сервера и имеющегося на клиенте. Ну, Я точно с этого начал бы.

Вручную не менялся. 

 

52 минуты назад, durtuno сказал:

Вы имеете ввиду вручную не менялся? Или имеете ввиду, что срок обновления сертификата не наступал/ автоматическая процедура обновления не наступала?

Начать с выверки сертификата сервера и имеющегося на клиенте. Ну, Я точно с этого начал бы.

На сервере в свойствах "Свойства: Сервер администрирования -> Параметры подключения к Серверу администрирования -> Сертификаты" Сретификат выпущен средствами Сервера администрирования имеется сертификат действующий до 2030 годе. А где посмотреть сертификат на клиенте, тем более под линуксом - не знаю. С линуксом только начала работу. 

[durtuno]

1 час назад, g_kasyan сказал:

все клиенты потеряли связь до сервера.

1 час назад, g_kasyan сказал:

Часть клиентов работают на Windows

%ProgramData%\KasperskyLab\adminkit\1103\klserver.cer

1 час назад, g_kasyan сказал:

часть на Linux

/var/opt/kaspersky/klnagent/1103/klserver.cer

+

Цитата

Сертификат Сервера администрирования автоматически создается при установке компонента Сервер администрирования и хранится в папке:

/var/opt/kaspersky/klnagent_srv/1093/cert/

 

 

Edited yesterday at 06:34 AM by durtuno

[g_kasyan]

Просмотрел на клиентах в папках следующих папках. Сертификат есть и он один и тот же, действует до 4го апреля 2026 года. 

%ProgramData%\KasperskyLab\adminkit\1103\klserver.cer

 

/var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer

На сервере KSC этот же сертификат присутствует в папках

/var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer

/var/opt/kaspersky/klnagent_srv/1103/klserver.cer

В консоли администрирования KSC этот сертификат где-то отображается? Или если этот сертификат располагается по этим путям, то безукоснительно используется?
Может скриншоты чем-то помогут. 

[durtuno]

С датой/ временем на сервере/ клиентах всё в порядке?

openssl Вы выполнили для сертификата агента, а не сервера:

Цитата

Сертификат Сервера администрирования автоматически создается при установке компонента Сервер администрирования и хранится в папке:

/var/opt/kaspersky/klnagent_srv/1093/cert/

 

[g_kasyan]

 

30 минут назад, durtuno сказал:

С датой/ временем на сервере/ клиентах всё в порядке?

openssl Вы выполнили для сертификата агента, а не сервера:

 

Дата везде одинаковая. Про дату/время вначале не написал, но проверил.  Выполнил openssl для сертификата расположенного в папке 1103

Edited yesterday at 08:35 AM by g_kasyan

[durtuno]

Хех, предположения на этом закончились.

Интересно, а что выдаст эта команда с клиента, сервер какую-нибудь информацию отдаст?

$ curl --insecure -vvI  https://server-name:13000

 

[g_kasyan]

20 часов назад, durtuno сказал:

Хех, предположения на этом закончились.

Интересно, а что выдаст эта команда с клиента, сервер какую-нибудь информацию отдаст?

$ curl --insecure -vvI  https://server-name:13000

 

На сколько понял, рукопожатие проходит. В остальном не силен.

[durtuno]

2 часа назад, g_kasyan сказал:

На сколько понял, рукопожатие проходит.

Всё верно;

2 часа назад, g_kasyan сказал:

В остальном не силен.

Тут главное - это сведения  о сертификате, и как можно видеть "Start date" отличается от выводов приведённых Вами ранее. Поэтому есть о чем задуматься.

Вот как должно выглядеть, на примере имеющегося "KSCW":

Сведения о сертификате с клиента "KESL":

# openssl x509 -in /var/opt/kaspersky/klnagent/1103/klserver.cer -noout -text | grep -A2 Valid
        Validity
            Not Before: Jul 17 06:50:33 2025 GMT
            Not After : Aug 18 06:50:33 2026 GMT

Сведения о сертификате с клиента "KESW":

> certutil -dump "C:\ProgramData\KasperskyLab\adminkit\1103\klserver.cer"| Select-String -Pattern "NotBefore" -Context 0, 1

>  NotBefore: 17.07.2025 11:50
   NotAfter: 18.08.2026 11:50

Сведения о сертификате из рукопожатия с клиента "KESL":

$ curl --insecure -vI  https://server-name:13000
*
12:55:50.148337 [0-0] * Server certificate:
12:55:50.148365 [0-0] *  subject: CN=server-name
12:55:50.148387 [0-0] *  start date: Jul 17 06:50:33 2025 GMT
12:55:50.148411 [0-0] *  expire date: Aug 18 06:50:33 2026 GMT
*

 

Edited 1 hour ago by durtuno

[g_kasyan]

42 минуты назад, durtuno сказал:

Всё верно;

Тут главное - это сведения  о сертификате, и как можно видеть "Start date" отличается от выводов приведённых Вами ранее. Поэтому есть о чем задуматься.

Вот как должно выглядеть, на примере имеющегося "KSCW":

Сведения о сертификате с клиента:

# openssl x509 -in /var/opt/kaspersky/klnagent/1103/klserver.cer -noout -text | grep -A2 Valid
        Validity
            Not Before: Jul 17 06:50:33 2025 GMT
            Not After : Aug 18 06:50:33 2026 GMT

Сведения о сертифкате из рукопожатия:

$ curl --insecure -vI  https://server-name:13000
*
12:55:50.148337 [0-0] * Server certificate:
12:55:50.148365 [0-0] *  subject: CN=server-name
12:55:50.148387 [0-0] *  start date: Jul 17 06:50:33 2025 GMT
12:55:50.148411 [0-0] *  expire date: Aug 18 06:50:33 2026 GMT
*

 

О! А это зацепка. Спасибо)

Пересмотрел все сертификаты с расширением .cer в каталоге /var/opt/kaspersky на сервере ksc,
ни одного от 3го февраля.

Я понимаю сертификат на сервере можно заменить klsetsrvcert? 

klsetsrvcert требует файл с расширением p12 или pfx. Сертификат можно переделать из файла .cer?

[durtuno]

14 минут назад, g_kasyan сказал:

Я понимаю сертификат на сервере можно заменить klsetsrvcert? 

Да, верно:

Замена сертификата Сервера администрирования с помощью утилиты klsetsrvcert

14 минут назад, g_kasyan сказал:

Сертификат можно переделать из файла .cer?

*.cer - это открытая часть ключа.

Перед тем как начать "ломать", подумайте, каким образом/ способом Вы сможете переключить клиенты на сервер с новым сертификатом.

Если есть время и возможность, то можно попробовать поступить следующим образом - по быстрому установить и развернуть бэкап "KSCL" на стенде и глянуть, какой он отдаст сертификат в рукопожатии;

14 минут назад, g_kasyan сказал:

О! А это зацепка.

Верно, зацепка. Вот только осталось понять, откуда этот сертификат подтягивается/ подтянулся. Попробуйте вспомнить, что происходило/ могло происходить между февралём и мартом 2025г., т.е. для начала понять, откуда могло появиться расхождение в начальных датах сертификата, тогда, когда конечная в точности совпадает.

Можно подумать, что имеется проблема в "железе", попробуйте проверить оперативную память, ф/с, накопитель на ошибки.

 

Добавлено:

Да, забыл/ выпало из головы, убедитесь, что у Вас корректно происходит резолвинг доменных имен в сети, может Вы подключаетесь/ пытаетесь подключиться совсем не к тому "KSCL"-серверу?

Edited 44 minutes ago by durtuno