Kesl 11.1.0.3013 проверка сертификатов | kaspersky community
Здравствуйте, на компьютерах в школе с ОС AstraLinux Common Edition установлен KESL 11 и включена проверка HTTPS трафика. По правилам доступа в Интернет, в школе работает контент-фильтр SkyDNS, соответственно доступ есть к ограниченному числу сайтов. Проблема в том, что при переходе на некоторые сайты по HTTPS (не все, в случае с https://poisk.skydns.ru всё нормально) выходит сообщение о том, что соединение не доверенное и проверка сертификатов не возможна.
Перейти на сайт в дальнейшем можно, но после перезагрузки браузера или компьютера, сообщение появляется снова. На некоторых сайтах (например, https://moodle3.ipk-tula.ru) это приводит к тому, что нормально с ними работать не получается (не происходит логин или выбрасывает из учетной записи).
При этом на компьютерах с Windows такого нет, на компьютерах с AstraLinux при подключении через другого провайдера (без контент-фильтра) тоже всё нормально.
Вопрос в следующем: KESL проверяет цепочку сертификатов через какой-то узел в интернете? Его можно было бы добавить в исключения в контент-фильтре для нормальной функциональности. Или эта проверка происходит другим образом? Если да, то можно ли как-то исправить данную ситуацию?
Доступ к сайтам с самоподписанными сертификатами. | kaspersky community
У меня подобная проблема случилась с pSense, тоже касперский перестал
пускать в админку.
Нашёл такое решение, у нас есть сайт с собственным доменом xxx.com
Хост с pFsence называется pfsence.xxx.com
В настройках KES 11 сделал следующее:
Настройка – Общие параметры – Параметры сети – <Доверенные домены> добавил
наш домен *.xxx.com
Заработало, кривовато, но работает, по ip-адресу касперский всё так же не пускает,
а вот, если в браузере набрать pfsence.xxx.com, то касперский пропускает,
остаются только сообщения браузера о не доверенном сертификате, которые можно игнорировать.
О сертификатах kaspersky security center
Kaspersky Security Center использует следующие типы сертификатов для обеспечения безопасного взаимодействия между компонентами программы:
По умолчанию Kaspersky Security Center использует самоподписанные сертификаты (то есть выданные самим Kaspersky Security Center). Если требуется, вы можете заменить самоподписанные сертификаты пользовательскими сертификатами, в соответствии со стандартами безопасности вашей организации. После того как Сервер администрирования проверит соответствие пользовательского сертификата всем применимым требованиям, этот сертификат приобретает такую же область действия, что и самоподписанный сертификат. Единственное отличие состоит в том, что пользовательский сертификат не перевыпускается автоматически по истечении срока действия. Вы заменяете сертификаты на пользовательские с помощью утилиты klsetsrvcert или в Консоли администрирования в свойствах Сервера администрирования, в зависимости от типа сертификата. Индексы типов сертификатов, описанные ниже, основаны на возможных значениях параметра -t certtype в утилите klsetsrvcert:
Сертификаты Сервера администрирования
Сертификат Сервера администрирования необходим для аутентификации Сервера администрирования, а также для безопасного взаимодействия Сервера администрирования и Агента администрирования на управляемых устройствах. При первом подключении Консоли администрирования к Серверу администрирования вам будет предложено подтвердить использование текущего сертификата Сервера администрирования. Такое подтверждение также требуется при каждой замене сертификата Сервера администрирования, после каждой переустановки Сервера администрирования и при подключении подчиненного Сервера администрирования к главному Серверу администрирования. Этот сертификат называется общим (“С”).
Также существует общий резервный сертификат (“CR”). Kaspersky Security Center автоматически генерирует этот сертификат за 90 дней до истечения срока действия общего сертификата. Общий резервный сертификат впоследствии используется для замены сертификата Сервера администрирования. Когда истекает срок действия общего сертификата, общий резервный сертификат используется для поддержания связи с экземплярами Агента администрирования, установленными на управляемых устройствах. С этой целью общий резервный сертификат автоматически становится новым общим сертификатом за 24 часа до истечения срока действия старого общего сертификата.
Вы также можете создать резервную копию сертификата Сервера администрирования отдельно от других параметров Сервера администрирования, чтобы перенести Сервер администрирования с одного устройства на другое без потери данных.
Мобильные сертификаты
Мобильный сертификат (“M”) необходим для аутентификации Сервера администрирования на мобильных устройствах. Вы настраиваете использование мобильного сертификата на шаге мастера первоначальной настройки.
Также существует мобильный резервный сертификат (“MR”): он используется для замены мобильного сертификата. Когда истекает срок действия мобильного сертификата, мобильный резервный сертификат используется для поддержания связи с Агентами администрирования, установленными на управляемых мобильных устройствах. С этой целью мобильный резервный сертификат автоматически становится новым мобильным сертификатом за 24 часа до истечения срока действия старого мобильного сертификата.
Если сценарий подключения требует использования сертификата клиента на мобильных устройствах (подключение с двусторонней SSL-аутентификация), вы генерируете эти сертификаты с помощью аккредитованного центра сертификации для автоматически сгенерированных пользовательских сертификатов (“MCA”). Кроме того, мастер первоначальной настройки позволяет вам начать использовать пользовательские сертификаты, выпущенные другим аккредитованным центром сертификации, а интеграция с инфраструктурой открытых ключей (PKI) вашей организации позволяет выпускать сертификаты клиентов с помощью центра сертификации домена.
Сертификат Сервера iOS MDM
Сертификат Сервера iOS MDM необходим для аутентификации Сервера администрирования на мобильных устройствах под управлением операционной системы iOS. Взаимодействие с этими устройствами осуществляется через протокол Apple Mobile Device Management (MDM), в котором не используется Агент администрирования. Вместо этого вы устанавливаете специальный iOS MDM-профиль, содержащий клиентский сертификат, на каждом устройстве, чтобы обеспечить двустороннюю SSL-аутентификацию.
Кроме того, мастер первоначальной настройки позволяет вам начать использовать пользовательские сертификаты, выпущенные другим аккредитованным центром сертификации, а интеграция с инфраструктурой открытых ключей (PKI) вашей организации позволяет выпускать сертификаты клиентов с помощью центра сертификации домена.
Клиентские сертификаты передаются на устройства iOS, когда вы загружаете эти iOS MDM-профили. Каждый клиентский сертификат Сервера iOS MDM уникален. Вы генерируете все клиентские сертификаты Сервера iOS MDM с помощью аккредитованного центра сертификации для автоматически сгенерированных пользовательских сертификатов (“MCA”).
Сертификат Веб-сервера
Специальный тип сертификата используется Веб-сервером, входящим в состав Сервера администрирования Kaspersky Security Center. Этот сертификат необходим для публикации инсталляционных пакетов Агента администрирования, которые вы впоследствии загружаете на управляемые устройства, а также для публикации iOS MDM-профилей, приложений iOS и инсталляционных пакетов Kaspersky Security для мобильных устройств. Для этого Веб-сервер может использовать различные сертификаты.
Если поддержка мобильных устройств отключена, Веб-сервер использует один из следующих сертификатов в порядке приоритета:
- Пользовательский сертификат Веб-сервера, который вы указали вручную с помощью Консоли администрирования.
- Общий сертификат Сервера администрирования (“C”).
Если поддержка мобильных устройств включена, Веб-сервер использует один из следующих сертификатов в порядке приоритета:
- Пользовательский сертификат Веб-сервера, который вы указали вручную с помощью Консоли администрирования.
- Пользовательский мобильный сертификат.
- Самоподписанный мобильный сертификат (“M”).
- Общий сертификат Сервера администрирования (“C”).
В начало
Причина
Причиной ошибки могут быть:
Проблема
Для проверки защищенных соединений программа «Лаборатории Касперского» использует расширение для браузера Kaspersky Protection и собственный SSL-сертификат. C помощью этого сертификата программа расшифровывает защищенный трафик. В некоторых случаях при проверке зашифрованного трафика браузера или других программ, например Microsoft Outlook, может возникнуть ошибка, препятствующая корректной установке соединения.
Решение
Если возникает ошибка при расшифровке трафика с сайта, с которым установил соединение ваш браузер, программа предложит добавить этот сайт в исключения из проверки защищенных соединений.
Нажмите соответствующую кнопку, чтобы:
Добавьте сайт в исключения, если это знакомый вам сайт, который вы часто посещаете. Если вы не уверены в безопасности сайта, перед добавлением в исключения проверьте его через OpenTip.
Если вы добавили сайт в исключения и при этом в вашем браузере не установлено расширение Kaspersky Protection, на этом сайте не будут работать компоненты защиты: Веб-Антивирус, Анти-Баннер, Безопасные платежи, Защита от сбора данных, Проверка ссылок и Родительский контроль.
Мы рекомендуем добавлять в исключения только проверенные сайты, в безопасности которых вы уверены.