Проверка HTTPS-сертификатов
11 апреля 2024
ID 234888
При установке HTTPS-соединения с экземплярами CyberTrace сервис Balancer проверяет, соответствует ли сертификат, полученный от CyberTrace, эталонному сертификату, расположенному в каталоге, указанном в качестве значения параметра CertDirPath
файла конфигурации kl_balancer.conf
.
Проверка сертификатов возможна только в Rest API, поскольку только Rest API работает с https. Этот раздел не применим к обнаружению.
Если эталонный сертификат экземпляра CyberTrace недоступен в каталоге или каталога не существует, Balancer выполняет следующие действия:
- Сохраняет сертификат, полученный от CyberTrace, в файл
%CERT_PATH%/%INSTANCE%_%CT_PORT%.pem
, где:CERT_PATH
– каталог, указанный в качестве значения параметраCertDirPath
конфигурационного файлаkl_balancer.conf
.INSTANCE
– имя хоста/значение IP-адреса, указанное в качестве значения элементаInstances
>Instance
для определенного экземпляра CyberTrace.CT_PORT
– значение порта, указанное в качестве значения атрибутаmatching_port
элементаInstances
>Instance
для определенного экземпляра CyberTrace.
- Продолжает устанавливать HTTPS-соединение с использованием полученного сертификата.
Если сертификат CyberTrace не соответствует эталонному сертификату, Balancer выполняет следующие действия:
- Прекращает установку HTTPS-соединения с экземпляром CyberTrace.
- Возвращает код статуса 500 со следующей информацией об ошибке:
- IP-адрес / имя хоста экземпляра CyberTrace.
- Номер порта экземпляра CyberTrace.
- Описание проблемы: HTTPS-соединение с экземпляром CyberTrace не установлено, поскольку сертификат сервера не соответствует ожидаемому.
Если имя хоста / IP-адрес или порт экземпляра CyberTrace, используемого при развертывании в режиме высокой доступности, изменены, эталонный сертификат экземпляра будет сохранен повторно. Старый сертификат не удаляется автоматически. За удаление неиспользованных сертификатов отвечает администратор CyberTrace.
Изменение сертификата CyberTrace
При изменении сертификата на стороне CyberTrace требуется вручную изменить сертификат на стороне Balancer.
Чтобы изменить сертификат CyberTrace:
- Остановите сервис экземпляра CyberTrace.
sc stop cybertrace
(в Windows)systemctl stop cybertrace.service
(в Linux) - Измените сертификат экземпляра CyberTrace.
- Запустите сервис экземпляра CyberTrace.
sc start cybertrace
(в Windows)systemctl start cybertrace.service
(в Linux) - Остановите сервис Balancer.
sc stop KasperskyBalancerService
(в Windows)systemctl stop cybertrace_balancer.service
(в Linux) - На стороне Balancer измените сертификат для экземпляра CyberTrace.
На стороне CyberTrace скопируйте файл
httpsrv\kl_feed_service_cert.pem
и вставьте его в каталог%CERT_PATH%
на стороне Balancer, а затем переименуйте в%INSTANCE%_%CT_PORT%.pem
. - Запустите сервис Balancer.
sc start KasperskyBalancerService
(в Windows)systemctl start cybertrace_balancer.service
(в Linux)
Более подробные сведения об изменении сертификатов приведены в разделе Генерация SSL-сертификатов для веб-интерфейса Kaspersky CyberTrace.
Проверка параметров сертификата
Чтобы проверить параметры сертификата выбранного экземпляра CyberTrace:
- Остановите сервис Balancer.
sc stop KasperskyBalancerService
(в Windows)systemctl stop cybertrace_balancer.service
(в Linux) - Для всех экземпляров CyberTrace, кроме выбранного, укажите
enabled = "false"
в разделеInstances
конфигурационного файлаkl_balancer.conf
. - Запустите сервис Balancer.
sc start KasperskyBalancerService
(в Windows)systemctl start cybertrace_balancer.service
(в Linux) - Отправьте любой запрос, указанный в разделе AllowedRequests (например,
GET/api/v.1.1/suppliers
), на порт Balancer (указанный в качестве значения параметраapi_port
). - Убедитесь, что получен ответ со статусом 200, а также список используемых источников.
- Остановите сервис Balancer.
sc stop KasperskyBalancerService
(в Windows)systemctl stop cybertrace_balancer.service
(в Linux) - Для всех экземпляров CyberTrace из шага 2 укажите
enabled = "true"
в разделеInstances
конфигурационного файлаkl_balancer.conf
. - Запустите сервис Balancer.
sc start KasperskyBalancerService
(в Windows)systemctl start cybertrace_balancer.service
(в Linux)