Jump to content

Recommended Posts

Posted

产品:KSC 11+

也适用于更新实用程序版本4.1及更高版本。

考虑以下有问题的场景:
1.您已经在KSC服务器上安装了KSWS,并启用了Traffic Security组件,Traffic Security使用MITM机制来分析流量。
2.您使用第三方软件或硬件设备进行流量过滤,而此设备会中断与启用HTTPS的公共更新服务器的连接。它可以是BlueCoatF5FortiGate SSL深度检测等硬件设备,也可以是使用ICAP将流量重定向到另一个安全应用程序进行扫描的Squid等软件代理。

KL使用HTTP公钥绑定机制来验证更新服务器的真实性;用于身份验证的证书由KL自行签署。使用任何基于MITMSSL流量检测解决方案都会导致KSC与启用HTTPSKL更新源之间建立连接失败。这是因为任何基于MITM的流量检测都会在检查后向KSC转发错误的证书,而KSC11会中断连接。

up2date 追踪日志中可以找到以下字符串:

证书链中的自签名证书

以下追踪日志是准确诊断所必需的:up2date−1103.up2date-1103-eka.*

请注意,卡巴斯基支持需要收集上述KSC日志,然后再应用本文中列出的任何解决方法。

故障排除步骤

1. 如果您有KSWS阻止流量,请在Traffic Security设置中将Up2Date.exe进程或更新源证书添加到受信任的。

2. 如果您使用第三方设备来过滤流量,您可以明确允许由KL证书签名的流量。

3. 否则,您可以使用HTTP下载更新。有两种方法可以让KSC使用HTTP

           1. 使用以下命令在 KSC 上设置服务器标志:

klscflag.exe -fset -pv klserver -s Updater -n DisableKLHttps -t d -v 1

            以及更新代理(分发点)从互联网获取更新(如果有的话):

klscflag.exe -fset -pv klnagent -s 更新程序 -n 禁用KLHttps -t d -v 1

           2. 明确设置更新任务以使用 HTTP URL,例如 http://p00.upd.kaspersky.comHTTP 启用源的完整列表可以在 http://dnl-  05.geo.kaspersky.com/updates/upd/updcfg2.xml   <insecure_sites_list> 参数中找到

4. 使用更新实用程序4.0下载更新。更新实用程序的最新版本使用https

 

 

 

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...