WICHTIGER HINWEIS: Es ist zu beachten, dass durch dieses Umschalten das hochgeladene Zertifikat verwendet wird. Damit wird, sollte SSL später wieder deaktiviert werden, jeder einzelne Agent neu zu konfigurieren sein.
I. Bevor wir SSL implementieren, sollten wir uns die folgenden Überlegungen ansehen:
- Stellen Sie sicher, dass der Name des KACE SMA-Webservers das gleiche Domänennamensuffix aufweist wie im Domänenfeld unter Einstellungen | Systemsteuerung | Netzwerkeinstellungen (d. H. Der Name des Webservers ist support.kace.com und der Domainname ist kace.com)
- Stellen Sie sicher, dass der Name des KACE SMA-Webservers von allen DNS-Servern aufgelöst werden kann, die von den Agenten verwendet werden.
- Ausführen und Herunterladen von Sicherungen vor der SSL-Implementierung - Siehe
https://support.quest.com/de-de/kb/184159/ - Der Name des KACE-Webservers muss der FQDN des Zertifikats sein. Unter diesem Namen stellen Geräte eine Verbindung zur Appliance her (dies gilt auch, wenn Zertifikate von Drittanbietern verwendet werden).
- Aktivieren Sie nicht das Kontrollkästchen "Port 80 bis Port 443 weiterleiten", bis sichergestellt wurde, dass Sie https: // auf Ihrer KACE SMA zuerst erreichen können.
II. Wie man KACE SMA Selbst-Zertifikat anwendet?
Die KACE SMA bietet die Möglichkeit, ein selbst signiertes Zertifikat zu generieren. Hierzu sind folgende Schritte notwendig:
- Der notwendige Wizard ist unter Einstellungen | Systemsteuerung | Sicherheitseinstellungen zu finden
- Aktivieren Sie "Aktivieren von SSL"
- Füllen Sie das "SSL-Zertifikatsformular" aus und speichern Sie die Änderungen.
- Klicken Sie auf "Selbstsigniertes Zertifikat erstellen" und klicken Sie auf "Ja", um die Änderungen zu bestätigen.
**** Dieser Vorgang startet KACE Server nicht neu ****
Falls KACE keine Änderungen anwendet, versuchen Sie, das selbst signierte Zertifikat erneut zu generieren und bereitzustellen. Wenn es nicht funktioniert, wenden Sie sich an den KACE-Support, um Unterstützung zu erhalten.
Hinweis: Der Internetbrowser zeigt das Zertifikat als nicht vertrauenswürdig an. Bitte beachten Sie, dass dies ein normales Verhalten ist, da das KACE SMA-Produkt keine vertrauenswürdige CA-Autorität ist.
Folgen Sie den oben aufgeführten Schritten, um ein selbstsigniertes Zertifikat zu erneuern.
III. Wie implementieren Sie Zertifikate von Drittanbietern in KACE SMA?
Es ist notwendig, den gesamten Text in der Box Certificate Signing Request (CSR) inlusive den Zeilen -----BEGIN CERTIFICATE REQUEST----- und -----END CERTIFICATE REQUEST----- zu kopieren und der Zertifizierungsstelle zur Verfügung zu stellen.
So generieren und implementieren Sie ein Zertifikat mithilfe eines Zertifikatsausstellers eines Drittanbieters:
Voraussetzung für das Funktionieren eines Zertifikats ist:
- Das Zertifikat selbst
Dieser Artikel behandelt nicht die Verwendung eines PKCS-12-Zertifikats (.pkcs12, .pfx, .p12). Die Schritte sind jedoch gleich, abgesehen davon, welche Dateien Sie hochladen. - Der private Schlüssel, mit dem die Zertifikatsignierungsanforderung (CSR) generiert wurde.
- Alle anwendbaren Zwischenzertifikate, siehe Anhang A, für weitere Informationen zu Zwischenzertifikaten.
Übernehmen des Zertifikats:
- Klicken Sie auf Einstellungen | Sytemsteuerung | Sicherheit
- Aktivieren Sie das Kontrollkästchen für Port 80 aktivieren (Port 80 ist standardmäßig aktiviert)
- Aktivieren Sie das Kontrollkästchen für SSL, damit Port 443 aktiviert ist
- Stellen Sie 100% sicher, dass das Kästchen für die Portumleitung, "Port 80 auf Port 443 aktivieren" deaktiviert ist. Sie können dies ändern, nachdem Sie bestätigt haben, dass das Zertifikat funktioniert (man kann KACE mit https: // erreichen).
- Laden Sie private.key hoch
- Laden Sie die kbox.crt hoch
- Optionaler Schritt: Wenn Sie ein Zwischenzertifikat benötigen, aktivieren Sie das Kontrollkästchen SSL-Zwischenzertifikat verwenden und laden Sie intermediate.crt hoch.
- Klicken Sie auf Speichern und starten Sie die Dienste neu
IV. Häufige Probleme nach dem Anwenden von SSL und anderen Schritten zur Fehlerbehebung:
- Agenten checken nicht ein, nachdem SSL aktiviert wurde.
Stellen Sie sicher, dass die Dateien von amp.conf mit dem Hostnamen übereinstimmen, der im SSL-Zertifikat aufgeführt ist. Dieser sollte auch mit dem Namen des Webservers in den Netzwerkeinstellungen der K1000 übereinstimmen.
Überprüfen Sie auf den Client-Systemen, und stellen Sie sicher, dass die zum Erstellen des Zertifikats verwendete Signaturberechtigung als vertrauenswürdiges Stammverzeichnis auf ihren Clientcomputern vorhanden ist. Wenn Sie den Zertifikatsmanager (certmgr.msc unter Windows) öffnen, sehen Sie diese Autorität unter "Vertrauenswürdige Stammzertifizierungsstellen \ Zertifikate"? Einige Kunden haben möglicherweise interne Berechtigungen hier, was cool ist, wenn alle ihre Agenten in der Domäne sind und diese Berechtigung manuell installiert wird. - HTTP funktioniert, aber HTTPS nicht.
Stellen Sie sicher, dass Port 443 für den KACE SMA offen ist (am häufigsten blockiert, wenn sich der KACE SMA in einer DMZ befindet).
Das Zwischenzertifikat war nicht enthalten, wenn es erforderlich war. Siehe Anhang A. Doppelklicken Sie einfach auf die Datei KBOX.crt und klicken Sie auf die Registerkarte Zertifizierungspfad. Wenn es 3 Ebenen hat, benötigt es normalerweise ein Zwischenzertifikat. Wenn es nur 2 Ebenen gibt, sollte es gut sein.
Stellen Sie sicher, dass die Prüfsummen Ihres CRT und Ihres privaten Schlüssels übereinstimmen.
Downloaden und installieren Sie das OpenSSL-Toolkit und führen Sie diese Befehle aus:
- openssl x509 -noout -modulus -in KBOX.crt | openssl md5
- openssl rsa -noout -modulus -in private.key | openssl md5 - Auf das KACE SMA-Webinterface kann nach dem Anwenden eines Zertifikats nicht zugegriffen werden.
Dies liegt wahrscheinlich daran, dass der Umleitungs-Port 80 bis 443 ohne Test aktiviert wurde. KACE SMA nicht ausschalten oder neu starten!
Ping KACE SMA
Erhalten Sie Konsolenzugriff auf das KACE SMA
Melden Sie sich an der K1000 Konsole als 'netdiag' an und führen Sie den 'top' Befehl aus - sehen Sie, dass httpd Prozesse laufen (siehe 'COMMAND' Spalte auf der linken Seite)? Wenn Sie das tun, ist die Web-Benutzeroberfläche nicht heruntergefahren, sondern nur beschäftigt - warten Sie, bis sie wiederkommt oder kontaktieren Sie den Support.
Fahren Sie nicht mit dieser Liste fort.
Melden Sie sich als "netdiag" an und verwenden Sie den Befehl "httpd80", um die SSL-Einrichtung zu entfernen.
Rufen Sie die K1000-Weboberfläche auf und deaktivieren Sie alle SSL-Einstellungen. Dadurch wird die K1000 neu gestartet.
Fahren Sie mit der Konfiguration der SSL-Konfiguration fort.
Wenden Sie sich für weitere Fragen und Unterstützung an den
KACE Support.V. Referenzmaterial:
ANHANG A - ZERTIFIKATSTYPEN
Certificate Authority (CA) - Dies ist die Stelle, von der Ihre Zertifikate ausgestellt werden, und es kann eine Root- oder Intermediate-CA sein.
Einzelnes SSL-Zertifikat - Dies ist ein Zertifikat, das nur auf einem Server verwendet werden kann. Der Webservername der K1000 muss mit dem Namen auf dem Zertifikat übereinstimmen. Dies ist das am häufigsten verwendete Zertifikat, das Sie sehen werden.
Internes CA-Zertifikat - Ein interner Domain-Server wird als Signaturautorität verwendet, die normalerweise verwendet wird, wenn KBOX nur intern ist. Das Zertifikat muss auf den Clients installiert sein, damit es funktioniert.
Intermediate (chained) certificate - Dies ist ein Zertifikat, das verwendet wird, um eine Intermediate Certificate Authority mit einer Root Certificate Authority zu validieren.
UCC-Zertifikat - Dies ist ein Zertifikat, das auf einer Reihe von Servern verwendet werden kann. Der Name des Webservers muss mit einem der Namen auf dem Zertifikat übereinstimmen.
Unlimited Subdomain (Wildcard) -Zertifikat - Dies ist ein Zertifikat, das auf einer beliebigen Anzahl von Systemen in einer Domäne verwendet werden kann. Die Domäne des Web-Server-Namens muss mit der im Zertifikat aufgeführten Domäne übereinstimmen. (d. h. "KBOX.test.com" für "* .test.com" cert)
Selbstsigniertes Zertifikat - Ein Zertifikat, das von seinem eigenen Ersteller generiert und signiert wurde.