Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

Руководства администратора

Использование Kaspersky CyberTrace в режиме высокой доступности

Проверка HTTPS-сертификатов

Kaspersky CyberTrace
Нет результатов
Онлайн-справка
FAQ Обзор решения Запрос в поддержку Видео о продуктах

Проверка HTTPS-сертификатов

22 августа 2024

ID 234888

При установке HTTPS-соединения с экземплярами Kaspersky CyberTrace сервис Balancer проверяет, соответствует ли сертификат, полученный от Kaspersky CyberTrace, эталонному сертификату, расположенному в каталоге, указанном в качестве значения параметра CertDirPath файла конфигурации kl_balancer.conf.

Проверка сертификатов возможна только в Rest API, поскольку только Rest API работает с https. Этот раздел не применим к обнаружению.

Если эталонный сертификат экземпляра Kaspersky CyberTrace недоступен в каталоге или каталога не существует, Balancer выполняет следующие действия:

  1. Сохраняет сертификат, полученный от Kaspersky CyberTrace, в файл %CERT_PATH%/%INSTANCE%_%CT_PORT%.pem, где:
    • CERT_PATH – каталог, указанный в качестве значения параметра CertDirPath конфигурационного файла kl_balancer.conf.
    • INSTANCE – имя хоста/значение IP-адреса, указанное в качестве значения элемента Instances > Instance для определенного экземпляра Kaspersky CyberTrace.
    • CT_PORT – значение порта, указанное в качестве значения атрибута matching_port элемента Instances > Instance для определенного экземпляра Kaspersky CyberTrace.
  2. Продолжает устанавливать HTTPS-соединение с использованием полученного сертификата.

Если сертификат Kaspersky CyberTrace не соответствует эталонному сертификату, Balancer выполняет следующие действия:

  1. Прекращает установку HTTPS-соединения с экземпляром Kaspersky CyberTrace.
  2. Возвращает код статуса 500 со следующей информацией об ошибке:
    • IP-адрес или имя хоста экземпляра Kaspersky CyberTrace.
    • Номер порта экземпляра Kaspersky CyberTrace.
    • Описание проблемы: HTTPS-соединение с экземпляром Kaspersky CyberTrace не установлено, поскольку сертификат сервера не соответствует ожидаемому.

Если имя хоста, IP-адрес или порт экземпляра Kaspersky CyberTrace, используемого при развертывании в режиме высокой доступности, изменены, эталонный сертификат экземпляра будет сохранен повторно. Старый сертификат не удаляется автоматически. За удаление неиспользованных сертификатов отвечает администратор Kaspersky CyberTrace.

Изменение сертификата Kaspersky CyberTrace

При изменении сертификата на стороне Kaspersky CyberTrace требуется вручную изменить сертификат на стороне Balancer.

Чтобы изменить сертификат Kaspersky CyberTrace, выполните следующие действия:

  1. Остановите сервис экземпляра Kaspersky CyberTrace.

    sc stop cybertrace (в Windows)

    systemctl stop cybertrace.service (в Linux)

  2. Измените сертификат экземпляра Kaspersky CyberTrace.
  3. Запустите сервис экземпляра Kaspersky CyberTrace.

    sc start cybertrace (в Windows)

    systemctl start cybertrace.service (в Linux)

  4. Остановите сервис Balancer.

    sc stop KasperskyBalancerService (в Windows)

    systemctl stop cybertrace_balancer.service (в Linux)

  5. На стороне Balancer измените сертификат для экземпляра Kaspersky CyberTrace.

    На стороне Kaspersky CyberTrace скопируйте файл httpsrv\kl_feed_service_cert.pem и вставьте его в каталог %CERT_PATH% на стороне Balancer, а затем переименуйте в %INSTANCE%_%CT_PORT%.pem.

  6. Запустите сервис Balancer.

    sc start KasperskyBalancerService (в Windows)

    systemctl start cybertrace_balancer.service (в Linux)

Более подробные сведения об изменении сертификатов приведены в разделе Генерация SSL-сертификатов для веб-интерфейса Kaspersky CyberTrace.

Проверка параметров сертификата

Чтобы проверить параметры сертификата выбранного экземпляра Kaspersky CyberTrace:

  1. Остановите сервис Balancer.

    sc stop KasperskyBalancerService (в Windows)

    systemctl stop cybertrace_balancer.service (в Linux)

  2. Для всех экземпляров Kaspersky CyberTrace, кроме выбранного, укажите enabled = "false" в разделе Instances конфигурационного файла kl_balancer.conf.
  3. Запустите сервис Balancer.

    sc start KasperskyBalancerService (в Windows)

    systemctl start cybertrace_balancer.service (в Linux)

  4. Отправьте любой запрос, указанный в разделе AllowedRequests (например, GET/api/v.1.1/suppliers), на порт Balancer (указанный в качестве значения параметра api_port).
  5. Убедитесь, что получен ответ со статусом 200, а также список используемых источников.
  6. Остановите сервис Balancer.

    sc stop KasperskyBalancerService (в Windows)

    systemctl stop cybertrace_balancer.service (в Linux)

  7. Для всех экземпляров Kaspersky CyberTrace из шага 2 укажите enabled = "true" в разделе Instances конфигурационного файла kl_balancer.conf.
  8. Запустите сервис Balancer.

    sc start KasperskyBalancerService (в Windows)

    systemctl start cybertrace_balancer.service (в Linux)

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!