Перевыпуск внутренних CA-сертификатов

Изменено место хранения самоподписанного CA-сертификата и механизм перевыпуска сертификата.
Сертификат хранится в СУБД. Недопустимо применять прежний метод перевыпуска внутренних сертификатов через удаление сертификатов из файловой системы Ядра и перезапуск Ядра. Такой способ приведет к невозможности запустить Ядро. До завершения процесса перевыпуска сертификатов не следует подключать к Ядру новые сервисы.
После того как вы перевыпустите внутренние CA-сертификаты в разделе веб-интерфейса KUMA ПараметрыДругоеОбщиеПеревыпустить внутренние CA-сертификаты, необходимо остановить сервисы, удалить прежние сертификаты из директорий сервисов и вручную перезапустить все сервисы. Перевыпускать внутренние CA-сертификаты могут только пользователи с ролью Главный администратор.

Параметр Перевыпустить внутренние CA-сертификаты доступен только пользователю с ролью Главный администратор.

Перевыпуск сертификатов для отдельного сервиса остается прежним: в веб-интерфейсе KUMA в разделе РесурсыАктивные сервисы необходимо выбрать сервис, выбрать в контекстном меню Сбросить сертификат и удалить прежний сертификат в директории установки сервиса. KUMA автоматически сгенерирует новый сертификат. Для работающих сервисов перезапуск не требуется, новый сертификат будет применен автоматически. Если сервис был остановлен, необходимо перезапустить сервис, чтобы применить новый сертификат.

Чтобы перевыпустить внутренние CA-сертификаты:

  1. В веб-интерфейсе KUMA перейдите в раздел ПараметрыДругоеОбщие, нажмите кнопку Перевыпустить внутренние CA-сертификаты и ознакомьтесь с отобразившимся предупреждением. Если вы принимаете решение продолжить перевыпуск сертификатов, нажмите Да.

    В результате будут перевыпущены CA-сертификаты для сервисов KUMA и CA-сертификат для ClickHouse. Далее вам нужно будет остановить сервисы, удалить прежние сертификаты из директорий установки сервисов, перезапустить Ядро и перезапустить остановленные сервисы, чтобы применить перевыпущенные сертификаты.

  2. Подключитесь к хостам, где развернуты сервисы коллектора, коррелятора и маршрутизатора событий.
    1. Остановите все сервисы с помощью следующей команды:

      sudo systemctl stop kuma-<collector/correlator/eventRouter/metrics>-<ID сервиса>.service

    2. Удалите файлы сертификатов internal.cert и internal.key из директорий /opt/kaspersky/kuma/<тип сервиса>/<ID сервиса>/certificates с помощью следующей команды:

      sudo rm -f /opt/kaspersky/kuma/<тип сервиса>/<ID сервиса>/certificates/internal.cert

      sudo rm -f /opt/kaspersky/kuma/<тип сервиса>/<ID сервиса>/certificates/internal.key

  3. Подключитесь к хостам, где развернуты сервисы хранилища.
    1. Остановите все сервисы хранилища.

      sudo systemctl stop kuma-<storage>-<ID сервиса>.service

    2. Удалите файлы сертификатов internal.cert и internal.key из директорий /opt/kaspersky/kuma/storage/<ID сервиса>/certificates.

      sudo rm -f /opt/kaspersky/kuma/storage/<ID сервиса>/certificates/internal.cert

      sudo rm -f /opt/kaspersky/kuma/storage/<ID сервиса>/certificates/internal.key

  4. Удалите все сертификаты ClickHouse из директории /opt/kaspersky/kuma/clickhouse/certificates.

    sudo rm -f /opt/kaspersky/kuma/clickhouse/certificates/internal.cert

    sudo rm -f /opt/kaspersky/kuma/clickhouse/certificates/internal.key

  5. Подключитесь к хостам, где развернуты сервисы агентов.
    1. Остановите сервисы агентов Windows и агентов Linux.
    2. Удалите файлы сертификатов internal.cert и internal.key из рабочих директорий агентов.
  6. Запустите Ядро KUMA, чтобы применить новые CA-сертификаты.
    • Для установки "all-in-one" и распределенной установки KUMA выполните команду:

      sudo systemctl restart kuma-core-00000000-0000-0000-0000-000000000000.service

    • Для KUMA с Ядром в кластере Kubernetes чтобы перезапустить Ядро KUMA, на любом контоллере выполните следующие команды:

      sudo k0s kubectl exec deployment/metrics -n kuma -- rm -rf /opt/kaspersky/kuma/metrics/certificates

      sudo k0s kubectl rollout restart deployment metrics -n kuma

      sudo k0s kubectl rollout restart deployment/core-deployment -n kuma

      Следует выполнять перезапуск Ядра KUMA с использованием команды, поскольку перезапуск Ядра KUMA через интерфейс KUMA влияет на перезапуск только контейнера Ядра KUMA, а не весь под целиком.

  7. Перезапустите все сервисы, остановленные в ходе выполнения инструкции.

    sudo systemctl start kuma-<collector/correlator/eventRouter/storage/metrics>-<ID сервиса>.service

Внутренние CA-сертификаты перевыпущены и применены.

См. также

Скачивание CA-сертификатов
В начало