Подключение Р7-Команда для Windows и Linux в сетях с корпоративными (самоподписанными) сертификатами

Print Friendly, PDF & EmailРаспечатать/сохранить в PDF

Введение

Данное руководство предназначено для пользователей и администраторов приложения Р7-Команда (десктоп-версия). Оно объясняет, как обеспечить безопасное подключение к серверу в закрытых корпоративных сетях, использующих собственные (непубличные) центры сертификации. Ранее отсутствие доверия корневому сертификату приводило к невозможности скачивания файлов из приложения.

Механизм работы с самоподписанными сертификатами отличается в версиях для Windows и Linux.

Инструкция для пользователей Windows

Как это работает?

При первом подключении Р7-Команда проверяет, доверяет ли операционная система Windows корневому сертификату сервера.

Сценарий 1: Сертификат НЕ является доверенным в Windows

Если корневой сертификат вашего сервера не установлен в системное хранилище, вы увидите диалоговое окно «Предупреждение о безопасности».

Диалоговое окно Предупреждение о безопасности в интерфейсе Windows
Диалоговое окно «Предупреждение о безопасности» в интерфейсе Windows. В окне информация о сертификате (субъект, выдавший) и кнопки «Доверять» и «Отклонить».

 

Ваши действия:

  • Нажмите «Доверять»: Приложение сохранит сертификат в свое локальное хранилище, установит соединение, и больше не будет задавать этот вопрос для данного сервера;
  • Нажмите «Отклонить»: Соединение с сервером не будет установлено.

Сценарий 2: Сертификат УЖЕ является доверенным в Windows

Если ваш системный администратор уже добавил корневой сертификат в хранилище доверенных сертификатов Windows, вы не увидите никаких предупреждений. Приложение автоматически проверит доверие, подключится к серверу и запустится.

Устранение неполадок (Windows): Что делать, если случайно нажали «Отклонить»?

  1. В главном окне приложения перейдите в меню «Файл»;
  2. Выберите пункт «Очистить список доверенных сертификатов»;
  3. Перезапустите приложение. Окно «Предупреждение о безопасности» появится снова.
Скриншот меню Файл в приложении Р7 Команда desktop на Windows
Скриншот меню «Файл» в приложении «Р7 Команда desktop» на Windows с выделенным пунктом «Очистить список доверенных сертификатов».

Инструкция для пользователей Linux

Как это работает? (Важное отличие)

Принцип работы в Linux отличается: приложение Р7-Команда использует собственное, изолированное хранилище доверенных сертификатов и не проверяет системное хранилище вашего дистрибутива.

Например:

/etc/ssl/certs/

Это означает, что каждый пользователь при первом подключении к серверу увидит запрос на доверие, независимо от настроек операционной системы.

Единственный сценарий: Первое подключение к серверу

При первой попытке соединения с сервером, использующим корпоративный сертификат, вы всегда будете видеть диалоговое окно «Предупреждение о безопасности».

Диалоговое окно Предупреждение о безопасности в интерфейсе Linux
Диалоговое окно «Предупреждение о безопасности» в интерфейсе Linux. В окне информация о сертификате, (субъект, выдавший) и кнопки «Доверять» и «Отклонить».

 

Ваши действия:

  1. Нажмите «Доверять»
    • Приложение добавит корневой сертификат в свое собственное, локальное хранилище;
    • Соединение с сервером будет успешно установлено;
    • При последующих запусках окно больше не появится для этого сервера.
  2. Нажмите «Отклонить»
    • Подключение к серверу будет заблокировано.

Устранение неполадок (Linux): Что делать, если случайно нажали «Отклонить»?

Процедура сброса доверия идентична версии для Windows, так как она затрагивает внутреннее хранилище приложения.

  1. Откройте меню «Файл» в приложении;
  2. Нажмите на «Очистить список доверенных сертификатов»;
  3. После перезапуска приложения вы снова увидите запрос на доверие сертификату.

Рекомендации для системных администраторов

Для доменных сетей Windows

Для исключения диалоговых окон у пользователей, централизованно распространяйте корневой сертификат вашего УЦ через Групповые политики (GPO).

  • Путь для размещения:

Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Политики открытого ключа -> Доверенные корневые центры сертификации;

  • После применения политики приложение Р7-Команда будет подключаться без запросов.

Для рабочих станций Linux

В отличие от Windows, централизованная установка корневого сертификата в системное хранилище Linux (update-ca-certificates и т.д.) не повлияет на поведение приложения Р7-Команда, так как оно его не использует.

Рекомендация для администраторов Linux:

Ваша задача — проинформировать пользователей.

  1. Подготовьте инструкцию: Сообщите пользователям, что при первом запуске появится окно «Предупреждение о безопасности» и что им необходимо нажать кнопку «Доверять»;
  2. Обеспечьте безопасность: Для дополнительной проверки предоставьте пользователям данные корневого сертификата (субъект, выдавший) корпоративного сертификата. Они смогут сверить его со значением, указанным в диалоговом окне, чтобы убедиться в подлинности сервера.
Была ли полезна статья?
Позвольте нам стать лучше
Дополнительные материалы
Установка Р7-Команда и интеграция с Корпоративным сервером 2024
Инструкция по миграции Р7-Команда (Сервер управления) с одной машины на другую.
Кластер media (gate, media-db, media) для Р7-Команд
Необходимые разрешения для камеры и микрофона для настольного приложения
Интеграция Корпоративный сервер 2024 с Р7-Команда