Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

Руководства администратора

Использование Kaspersky CyberTrace в режиме высокой доступности

Проверка HTTPS-сертификатов

Kaspersky CyberTrace
Нет результатов
Онлайн-справка
FAQ Системные требования Скачать Запрос в поддержку Утилиты для лечения Видео о продуктах

Проверка HTTPS-сертификатов

11 апреля 2024

ID 234888

При установке HTTPS-соединения с экземплярами CyberTrace сервис Balancer проверяет, соответствует ли сертификат, полученный от CyberTrace, эталонному сертификату, расположенному в каталоге, указанном в качестве значения параметра CertDirPath файла конфигурации kl_balancer.conf.

Проверка сертификатов возможна только в Rest API, поскольку только Rest API работает с https. Этот раздел не применим к обнаружению.

Если эталонный сертификат экземпляра CyberTrace недоступен в каталоге или каталога не существует, Balancer выполняет следующие действия:

  1. Сохраняет сертификат, полученный от CyberTrace, в файл %CERT_PATH%/%INSTANCE%_%CT_PORT%.pem, где:
    • CERT_PATH – каталог, указанный в качестве значения параметра CertDirPath конфигурационного файла kl_balancer.conf.
    • INSTANCE – имя хоста/значение IP-адреса, указанное в качестве значения элемента Instances > Instance для определенного экземпляра CyberTrace.
    • CT_PORT – значение порта, указанное в качестве значения атрибута matching_port элемента Instances > Instance для определенного экземпляра CyberTrace.
  2. Продолжает устанавливать HTTPS-соединение с использованием полученного сертификата.

Если сертификат CyberTrace не соответствует эталонному сертификату, Balancer выполняет следующие действия:

  1. Прекращает установку HTTPS-соединения с экземпляром CyberTrace.
  2. Возвращает код статуса 500 со следующей информацией об ошибке:
    • IP-адрес / имя хоста экземпляра CyberTrace.
    • Номер порта экземпляра CyberTrace.
    • Описание проблемы: HTTPS-соединение с экземпляром CyberTrace не установлено, поскольку сертификат сервера не соответствует ожидаемому.

Если имя хоста / IP-адрес или порт экземпляра CyberTrace, используемого при развертывании в режиме высокой доступности, изменены, эталонный сертификат экземпляра будет сохранен повторно. Старый сертификат не удаляется автоматически. За удаление неиспользованных сертификатов отвечает администратор CyberTrace.

Изменение сертификата CyberTrace

При изменении сертификата на стороне CyberTrace требуется вручную изменить сертификат на стороне Balancer.

Чтобы изменить сертификат CyberTrace:

  1. Остановите сервис экземпляра CyberTrace.

    sc stop cybertrace (в Windows)

    systemctl stop cybertrace.service (в Linux)

  2. Измените сертификат экземпляра CyberTrace.
  3. Запустите сервис экземпляра CyberTrace.

    sc start cybertrace (в Windows)

    systemctl start cybertrace.service (в Linux)

  4. Остановите сервис Balancer.

    sc stop KasperskyBalancerService (в Windows)

    systemctl stop cybertrace_balancer.service (в Linux)

  5. На стороне Balancer измените сертификат для экземпляра CyberTrace.

    На стороне CyberTrace скопируйте файл httpsrv\kl_feed_service_cert.pem и вставьте его в каталог %CERT_PATH% на стороне Balancer, а затем переименуйте в %INSTANCE%_%CT_PORT%.pem.

  6. Запустите сервис Balancer.

    sc start KasperskyBalancerService (в Windows)

    systemctl start cybertrace_balancer.service (в Linux)

Более подробные сведения об изменении сертификатов приведены в разделе Генерация SSL-сертификатов для веб-интерфейса Kaspersky CyberTrace.

Проверка параметров сертификата

Чтобы проверить параметры сертификата выбранного экземпляра CyberTrace:

  1. Остановите сервис Balancer.

    sc stop KasperskyBalancerService (в Windows)

    systemctl stop cybertrace_balancer.service (в Linux)

  2. Для всех экземпляров CyberTrace, кроме выбранного, укажите enabled = "false" в разделе Instances конфигурационного файла kl_balancer.conf.
  3. Запустите сервис Balancer.

    sc start KasperskyBalancerService (в Windows)

    systemctl start cybertrace_balancer.service (в Linux)

  4. Отправьте любой запрос, указанный в разделе AllowedRequests (например, GET/api/v.1.1/suppliers), на порт Balancer (указанный в качестве значения параметра api_port).
  5. Убедитесь, что получен ответ со статусом 200, а также список используемых источников.
  6. Остановите сервис Balancer.

    sc stop KasperskyBalancerService (в Windows)

    systemctl stop cybertrace_balancer.service (в Linux)

  7. Для всех экземпляров CyberTrace из шага 2 укажите enabled = "true" в разделе Instances конфигурационного файла kl_balancer.conf.
  8. Запустите сервис Balancer.

    sc start KasperskyBalancerService (в Windows)

    systemctl start cybertrace_balancer.service (в Linux)

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!