NOTA IMPORTANTE: Si tenga presente che una volta attivatao SSL sull'Admin verra' automaticamente attivato anche sul client. Se in seguito si decidera' di non utilizzare SSL, i client dovranno essere riconfigurati manualmente.
I. Prima di implementare SSL, si consideri quanto segue:
- Assicurarsi che il nome del server Web KACE SMA abbia lo stesso suffisso del nome di dominio specificato nel campo del dominio in Sistema | Impostazioni | Impostazioni di rete (ad esempio il nome del server Web è support.kace.com e il nome di dominio è kace.com)
- Assicurarsi che il nome del server Web KACE SMA sia risolvibile da tutti i server DNS che verranno utilizzati dai client.
- Eseguire e scaricare i backup prima dell'implementazione SSL - Come scaricare e caricare i file di backup tramite FTP o CMD nelle versioni 6.4 e successive (184159) - https://support.quest.com/kb/184159
- Il nome del server Web KACE deve essere il nome FQDN del certificato. I dispositivi si connettono all'appliance utilizzando questo nome (questa considerazione si applica quando si utilizzano certificati di terze parti)
- Non selezionare la casella "Enable Forward port 80 to port 443" prima di verificare che sia possibile raggiungere https: // su KACE SMA.
II. Come applicare l'auto-certificato KACE SMA?
KACE SMA offre la possibilità di generare un auto-certificato, per ottnerlo, eseguire le seguenti procedure:
- Vai System | Settings | Security
- Seleziona "Abilita SSL (Enable SSL)"
- Completare "Modulo certificato SSL (SSL Certificate Form)" e salvare le modifiche.
- Fare clic su "Genera certificato autofirmato (Generate Self-Signed Certificate)", quindi fare clic su "Distribuisci certificato autofirmato (Deploy Self-Signed Certificate)" e premere "Sì" per confermare le modifiche. **** Questa operazione non riavvia il server KACE ****. Nel caso in cui KACE non riesca ad applicare le modifiche, prova a generare e distribuire nuovamente il certificato Self-Sign, se non funziona contatta l'assistenza KACE per assistenza.
Nota: il browser Internet mostrerà il certificato come non affidabile. Si noti che questo è un comportamento normale perché il prodotto KACE SMA non è un'autorità attendibile della CA.
Per rinnovare un auto-certificato segui gli stessi passaggi sopra elencati.
III. Come implementare certificati di terze parti in KACE SMA?
Per generare e implementare un certificato utilizzando certificati di terze parti:
I requisiti per il funzionamento di un certificato sono:
- Il certificato stesso.Questo articolo non copre l'uso di un certificato PKCS-12 (.pkcs12, .pfx, .p12). Tuttavia, i passaggi sono gli stessi, a parte i file che si vanno a caricare.
- La chiave privata con cui è stata generata la richiesta di firma del certificato (CSR).
- Per qualsiasi certificato intermedio applicabile, vedere l'Appendice A per ulteriori informazioni sui certificati intermedi.
Applicare il certificato:
- Accedere a: Sistema | Impostazioni | Sicurezza (System | Settings | Security)
- Seleziona la casella Abilita l'accesso alla porta 80 (la porta 80 è selezionata per impostazione predefinita)
- Seleziona la casella per SSL abilitato sulla porta 443
- Assicurati al 100% che la casella per il reindirizzamento delle porte, "Abilita porta in avanti 80 sulla porta 443", sia deselezionata. Puoi cambiarlo dopo aver confermato che il certificato funziona (in grado di raggiungere KACE usando https://).
- Carica il private.key
- Carica il kbox.crt
- Passaggio facoltativo: se si richiede un intermediario, selezionare la casella Usa certificato intermedio SSL e caricare intermedio.crt.
- Fare clic su Salva e riavvia servizi
IV. Problemi comuni dopo l'applicazione di SSL e altri passaggi per la risoluzione:
1) I client non effettuano il check-in dopo che SSL è abilitato.
- Assicurarsi che i file amp.conf corrispondano al nome host elencato nel certificato SSL, che dovrebbe corrispondere anche al nome del server Web nelle impostazioni di rete del K1000.
- Controllare i sistemi client e assicurarsi che l'autorizzazione di firma utilizzata per creare il certificato esista come root attendibile sui propri computer client. Se apri il gestore dei certificati (certmgr.msc su Windows), vedi quell'autorità elencata in "Certificati di autorità di certificazione / certificati attendibili"? Alcuni clienti potrebbero disporre di autorità interne elencate qui, il che è interessante se tutti i loro agenti si troveranno sul dominio e verranno installati manualmente.
2) HTTP funziona, ma HTTPS no.
- Assicurarsi che la porta 443 sia aperta per KACE SMA (più comunemente bloccata quando KACE SMA si trova in una DMZ).
- Il certificato intermedio non è stato incluso quando è stato richiesto. Vedere l' Appendice A per uno screenshot, fare doppio clic sul file KBOX.crt e fare clic sulla scheda Percorso certificazione. Se ha 3 livelli, di solito ha bisogno di un certificato intermedio. Se ci sono solo 2 livelli, dovrebbe essere buono.
- Assicurati che i checksum della tua chiave crt e privata corrispondano. Scarica e installa il toolkit OpenSSL ed esegui questi comandi:
- openssl x509 - noout -modulus -in KBOX.crt | openssl md5
- openssl rsa -noout -modulus -in private.key | openssl md5
3) L'interfaccia web di KACE SMA non è accessibile dopo aver applicato un certificato.
E' probabilmente dovuto all'abilitazione della porta di reindirizzamento da 80 a 443 senza test; non spegnere o riavviare KACE SMA!
- Ping KACE SMA
- Ottieni l'accesso alla console a KACE SMA
- Alla console K1000, accedi come "netdiag" ed esegui il comando "top" - vedi i processi httpd in esecuzione (vedi la colonna "COMMAND" a sinistra)? Se lo fai, l'interfaccia utente web non è disattivata, è solo occupata, attendi che ritorni o contatta l'assistenza. Non procedere con questa lista.
- Accedi come 'netdiag' e usa il comando 'httpd80' per rimuovere la configurazione SSL.
- Apri l'interfaccia web K1000 e disattiva tutte le impostazioni SSL: riavvierà la K1000.
- Procedere con la revisione della configurazione della configurazione SSL.
Per ulteriori domande e assistenza, contatta l'assistenza KACE.
V. Materiale di riferimento:
APPENDICE A - TIPI DI CERTIFICATI
- Autorità di certificazione (CA): è da dove vengono emessi i certificati e può essere una CA principale o intermedia.
- Certificato SSL individuale - Si tratta di un certificato che può essere utilizzato solo su un server, il nome del server Web K1000 deve corrispondere al nome sul certificato. Questo è il certificato più comune che vedrai.
- Certificato CA interno: un server di dominio interno viene utilizzato come autorità di firma, generalmente utilizzato quando KBOX è solo interno. Il certificato deve essere installato sui client per funzionare.
- Certificato intermedio (concatenato): si tratta di un certificato utilizzato per convalidare un'autorità di certificazione intermedia con un'autorità di certificazione principale.
- Certificato UCC: si tratta di un certificato che può essere utilizzato su un numero di server, il nome del server Web deve corrispondere a uno dei nomi sul certificato.
- Certificato illimitato per sottodominio (Wildcard): si tratta di un certificato che può essere utilizzato su qualsiasi numero di sistemi su un dominio, il dominio del nome del server Web deve corrispondere al dominio elencato nel certificato. (es. "KBOX.test.com" per "* .test.com" cert)
- Certificato autofirmato: un certificato che viene generato e firmato dal proprio creatore.