Проблемы с сертификатом

Сертификат обеспечивает защищенное HTTPS-соединение. Если с сертификатом возникают проблемы, браузер не может гарантировать безопасный обмен данными с сервером, а риск перехвата данных возрастает.

Когда необходимо заменить сертификат:

• Изменение данных — в сертификате указаны устаревшие данные, например, доменное имя, SAN (Subject Alternative Names) или IP-адрес сервера.
  Если оставить старый сертификат, работа с PAM станет невозможна.

• Компрометация приватного ключа сервера — ключ становится известен и может быть использован третьими лицами.
  Замените сертификаты, даже если их срок действия еще не истек.

• Истек срок действия — наиболее распространенная причина смены сертификата.
  Рекомендуем менять сертификаты до истечения срока действия, иначе PAM станет недоступен, а соединение небезопасным для пользователей.

  Как проверить срок действия сертификата?

  Если консоль пользователя или администратора не открывается, а в адресной строке браузера отображается ошибка Не защищено или Небезопасно, проверьте срок действия сертификата. Нажмите на предупреждение в адресной строке вашего браузера:

  • Microsoft Edge: перейдите Небезопасно → Подключение к этому сайту не защищено → .
  • Google Chrome: перейдите Не защищено → Сведения о сертификате.
  • Яндекс Браузер: перейдите Не защищено → Подключение не защищено → Недействительный сертификат.

Корневой сертификат УЦ

Корневой сертификат УЦ необходимо заменить на всех серверах PAM, включая балансировщик нагрузки.
Сертификат должен быть в формате PEM с кодировкой Base-64 и использовать алгоритм подписи SHA-256. При замене сертификатов сохраняйте исходные имена файлов.

Примечание

Если новый сертификат УЦ создается с теми же закрытыми ключами, замена сертификатов в инсталляции PAM не требуется. При создании сертификата с новой парой ключей, необходимо заменить все ранее выданные сертификаты во всей инсталляции PAM.

Windows

1. Экспортируйте корневой сертификат без закрытого ключа с расширением .cer или .crt.
2. Нажмите правкой кнопкой на файл сертификата и в контекстном меню выберите Install Certificate (Установить сертификат).
3. В мастере импорта сертификатов для параметра Store Location (Расположение хранилища) выберите Local Machine (Локальный компьютер) и нажмите Next (Далее).
4. Выберите Place all certificates in the following store (Поместить все сертификаты в следующее хранилище) и нажмите Browse (Обзор).
5. В открывшемся окне выберите Trusted Root Certification Authorities (Доверенные корневые центры сертификации) и нажмите ОК.
6. Нажмите Next (Далее).
7. В окне подтверждения нажмите Finish (Готово).

Linux

1. Экспортируйте корневой сертификат без закрытого ключа с расширением .crt.

   Предупреждение

   Корневой сертификат для балансировщика нагрузки должен называться ca.crt.

2. Разместите сертификат по пути /etc/indeed/indeed-pam/ca-certificates/

3. Перейдите в папку /etc/indeed/indeed-pam/ с повышением привилегий:

   sudo -i

   cd /etc/indeed/indeed-pam/

4. Остановите все компоненты:

   bash scripts/stop-pam.sh

5. Обновите права на замененных файлах:

   Предупреждение

   Обязательно запускайте команду из папки /etc/indeed/indeed-pam/

   bash scripts/set-permissions.sh

6. Запустите остановленные компоненты:

   bash scripts/run-pam.sh

Сертификат сервера

Замените сертификаты на целевом сервере. Новые сертификаты должны соответствовать требованиям и сохранять исходные имена файлов.

Windows

1. Экспортируйте сертификат сервера с закрытым ключом в формате .pfx.

2. Разместите сертификат сервера в личные сертификаты компьютера:

   1. Нажмите правкой кнопкой на файл сертификата и в контекстном меню выберите Install Certificate (Установить сертификат).
   2. В мастере импорта сертификатов для параметра Store Location (Расположение хранилища) выберите Local Machine (Локальный компьютер) и нажмите Next (Далее). Введите пароль от сертификата.
   3. Выберите Place all certificates in the following store (Поместить все сертификаты в следующее хранилище) и нажмите Browse (Обзор).
   4. В открывшемся окне выберите Personal (Личное) и нажмите ОК.
   5. В окне подтверждения нажмите Finish (Готово).

3. Запустите IIS Manager (Диспетчер служб IIS).

4. На левой панели Connections (Подключения) раскройте <FQDN сервера> → Sites (Сайты) → Default Web Site.

5. Выберите Default Web Site и на правой панели Actions (Действие) нажмите Bindings (Привязки).

6. В открывшемся окне для всех привязок с типом HTTPS и портом 443 выполните замену сертификата:

   1. Выберите привязку и нажмите Edit (Изменить).
   2. В открывшемся окне нажмите Select (Выбрать) и выберите импортированный сертификат.

7. После замены сертификатов на левой панели Connections (Подключения) нажмите на FQDN сервера.

8. На правой панели Actions (Действие) нажмите Restart (Перезапустить).

9. Откройте с правами администратора конфигурационный файл C:\Program Files\Indeed\Indeed PAM\Gateway\Pam.Gateway.Service\appsettings.json

10. В секции Kestrel для параметра Subject укажите значение Subject нового сертификата.

    Структура конфигурационного файла

       "Kestrel": {
         "Endpoints": {
           "HttpsInlineCertStore": {
             "Url": "https://0.0.0.0:5443",
             "Certificate": {
               "Subject": "dc.indeed.local", // Укажите значение из нового сертификата
               "Store": "My",
               "Location": "LocalMachine",
               "AllowInvalid": "False"
             }
           }
         }
       }

    Если в новом сертификате в поле SAN не указан IP-адреса сервера, измените конфигурацию ProxyApp:

    • Откройте конфигурационный файл C:\Program Files\Indeed\Indeed PAM\Gateway\ProxyApp\appsettings.json
    • В секции GatewayService замените IP-адрес на имя сервера в формате FQDN.
      
      
    Структура конфигурационного файла

    "GatewayService": {
      "Url": "https://dc.indeed.local:5443" // Укажите имя сервера в формате FQDN
    }

Linux

1. Экспортируйте сертификат с открытым ключом в формате PEM (Base-64) и расширением .crt.

2. Экспортируйте сертификат с закрытым ключом в формате PEM (Base-64) и расширением .pem или .pfx.
   Для сертификата с расширением .pem предварительная подготовка не требуется.
   
   Если сертификат с расширением .pfx, извлеките из него ключи с помощью команд:

   Извлечение закрытого ключа

   openssl pkcs12 -in <сертификат с открытым ключом> -nocerts -out <сертификат с закрытым ключом> -nodes -passin pass:<пароль>
   Извлечение сертификата

   openssl pkcs12 -in <сертификат с закрытым ключом> -clcerts -nokeys -out <сертификат с открытым ключом> -passin pass:<пароль>
   • <сертификат с открытым ключом> — имя экспортированного сертификата c расширением .crt;
   • <сертификат с закрытым ключом> — имя экспортированного сертификата c расширением .pem или .pfx.
   • <пароль> — пароль, заданный при экспортировании сертификата.

3. Разместите сертификаты в соответствующие папки компонентов:

   • Сервер управления: /etc/indeed/indeed-pam/certs
     Замените сертификаты pam.crt  и pam.key. Если в папке расположены сертификаты  pam-selfsigned.key  и pam-selfsigned.crt, менять их не нужно.
   • RDP Proxy: /etc/indeed/indeed-pam/keys/rdp-proxy
   • PostgreSQL Proxy: /etc/indeed/indeed-pam/keys/sql-proxy
   • MSSQL Proxy: /etc/indeed/indeed-pam/keys/tsql-proxy
   • Web Proxy: /etc/indeed/indeed-pam/keys/web-proxy

4. Перейдите в папку /etc/indeed/indeed-pam/ с повышением привилегий:

   sudo -i

   cd /etc/indeed/indeed-pam/

5. Остановите все компоненты:

   bash scripts/stop-pam.sh

6. Обновите права на замененных файлах:

   Предупреждение

   Обязательно запускайте команду из папки /etc/indeed/indeed-pam/

   bash scripts/set-permissions.sh

7. Запустите остановленные компоненты:

   bash scripts/run-pam.sh

Сертификат сервера доступа RDS

Управление сертификатами сервера доступа RDS происходит в Server Manager (Диспетчер серверов), так как они используются следующими службами:

• Посредник подключений к удаленному рабочему столу: включение единого входа (RD Connection Broker: SSO).
• Посредник подключений к удаленному рабочему столу: публикация (RD Connection Broker: Publishing).

Чтобы заменить сертификат:

1. Экспортируйте два сертификата сервера с закрытым ключом в формате .pfx.
   Сертификаты должны соответствовать требованиям.
2. Откройте Server Manager (Диспетчер серверов).
3. Перейдите в Remote Desktop Services (Служба удаленных рабочих столов).
4. В окне Deployment Overview (Обзор развертывания) нажмите Tasks (Задачи) и из выпадающего списка выберите Edit Deployment Properties (Изменить свойства развертывания).
5. В открывшемся окне выберите Сертификаты (Certificates).
6. В окне Role Service (Службы ролей) выберите RD Connection Broker - Enable Single Sign On (Посредник подключений к удаленному рабочему столу: включение единого входа в систему).
7. Нажмите Select existing certificate... (Выбрать существующий сертификат).
8. Выберите Choose a different certificate (Выберите другой сертификат) и нажмите Browse (Обзор).
9. В открывшемся окне выберите импортируемый сертификат и нажмите Open (Открыть).
10. В поле Password (Пароль) введите пароль от сертификата.
11. Включите опцию Allow the certificate to be added to the Trusted Root Certification Authorities certificate store on the destination computers (Разрешить добавление сертификата в хранилище «Доверенные корневые центры сертификации» на конечных компьютерах).
12. Нажмите ОК и Apply (Применить).
13. Повторите действия 6-12 для службы ролей RD Connection Broker - Publishing (Посредник подключений к удаленному рабочему столу: публикация).