Skip to main content

Indeed CM Agent

Indeed CM Agent (клиентский агент Indeed CM) является дополнительным компонентом системы, который устанавливается после развертывания Indeed Certificate Manager.

Indeed CM Agent позволяет удаленно управлять и контролировать использование устройств пользователей (USB-токенов, смарт-карт).

С помощью агента на рабочих станциях пользователей в автоматическом режиме выполняются следующие операции:

  • блокировка и сброс PIN-кода пользователя,
  • обновление содержимого устройства,
  • очистка и инициализация устройства при отзыве,
  • смена PIN-кода администратора устройства,
  • контроль использования устройств и блокировка пользовательской сессии и устройства,
  • мониторинг устройств с информацией об устройствах с заблокированным PIN-кодом пользователя и администратора, о попытках ввода неверного PIN-кода и о подключении незарегистрированных устройств.

Indeed CM Agent устанавливается вместе с Indeed CM Middleware на рабочие станции, к которым подключаются устройства, выпущенные с помощью Indeed CM.

Установка и настройка Indeed CM Agent

Выберите инструкцию в зависимости от ОС, установленной на сервере Indeed CM:

Чтобы установить и настроить Indeed CM Agent, выполните следующие действия:

  1. Создайте сертификаты сервисов агента.
  2. Настройте защищенное соединение с сайтом сервисов агента.
  3. Настройте Indeed CM для работы с клиентскими агентами.
  4. Установите и настройте агенты на рабочих станциях.

Создание сертификатов сервисов агента

Для работы агента требуются следующие сертификаты:

  • CM Agent CA – корневой сертификат сервисов агента. Используется для выдачи сертификатов рабочим станциям пользователей, на которых будут устанавливаться Агенты.
  • CM Agent SSL – сертификат проверки подлинности, подписан корневым сертификатом. Необходим для установки двустороннего защищенного соединения между сервером и рабочей станцией с установленным Агентом. Сертификат выдается на имя рабочей станции, на которой развернут сервер Indeed CM.
  • Сертификат рабочей станции – выдается автоматически при регистрации Агента. Обращаясь к серверу, клиентский компьютер предоставляет свой сертификат, а сервер Indeed CM проверяет его подлинность. После проверки сервер добавляет клиентский компьютер в список доверенных и может передавать на него задачи. 

Сертификаты сервисов агента создаются с помощью утилиты Cm.Agent.Cert.Generator.

Параметры утилиты Cm.Agent.Cert.Generator

Генерация корневого и SSL-сертификата:
/root – генерация корневого сертификата сервисов агента.
/rootKeySize – размер закрытого ключа корневого сертификата сервисов агента (необязательный параметр, по умолчанию генерируется закрытый ключ размером 4096 бит, возможный диапазон от 512 до 8192 бит).
/sn <DNS-имя сервера> – генерация SSL-сертификата на указанное DNS-имя сервера.
/csn – генерация SSL-сертификата на имя сервера, на котором запущена утилита.
/sslKeySize – размер закрытого ключа SSL-сертификата (необязательный параметр, по умолчанию генерируется закрытый ключ размером 2048 бит, возможный диапазон от 512 до 4096 бит).
/pwd – пароль SSL-сертификата (необязательный параметр).
/installToStore – публикует сертификаты, выпущенные утилитой, в хранилища сертификатов сервера (необязательный параметр):

  • сертификат CM Agent CA в Доверенные корневые центры сертификации (Trusted Root Certification Authorities).
  • сертификат CM Agent SSL в хранилище Личных сертификатов рабочей станции, на которой установлен сервер Indeed CM.

Генерация только SSL-сертификата с помощью корневого сертификата CM Agent CA:

/rootKey – путь до файла корневого сертификата сервисов агента.
/ssl – генерация SSL-сертификата сервисов агента.
/sn <DNS-имя сервера> – генерация SSL-сертификата на указанное DNS-имя сервера.
/csn – генерация SSL-сертификата на имя сервера, на котором запущена утилита.
/pwd – пароль SSL-сертификата (необязательный параметр).
/sslKeySize – размер закрытого ключа SSL-сертификата (необязательный параметр, по умолчанию генерируется закрытый ключ размером 2048 бит, возможный диапазон от 512 до 4096 бит).

Чтобы создать сертификаты сервисов агента, выполните следующие действия:

  1. Перейдите в каталог IndeedCM.WindowsServer\Misc\AgentCertGenerator на сервере Indeed CM.
  2. От имени администратора запустите в командной строке утилиту Cm.Agent.Cert.Generator c параметрами и дождитесь завершения её работы:
    Cm.Agent.Cert.Generator.exe /root /csn /installToStore

В каталоге с утилитой появятся файлы:

  • agent_root_ca.json - корневой сертификат сервисов агента с закрытым ключом в формате JSON;
  • agent_root_ca.cer - корневой сертификат сервисов агента;
  • agent_root_ca.key - закрытый ключ корневого сертификата сервисов агента;
  • agent_ssl_cert.cer - SSL-сертификат сайта сервисов агента;
  • agent_ssl_cert.key - закрытый ключ SSL-сертификата сайта сервисов агента;
  • agent_ssl_cert.pfx - SSL-сертификат сервисов  агента с закрытым ключом в формате PFX.
info

Поместите сертификат CM Agent CA (agent_root_ca.cer) в Доверенные корневые центры сертификации (Trusted Root Certification Authorities) на сервере Indeed CM.

Если в вашей инфраструктуре развернуто несколько серверов Indeed CM с агентами, то для каждого сервера необходимо выпустить SSL-сертификат сервисов агента, используя общий корневой сертификат CM Agent CA. Корневой сертификат сервисов агента на всех серверах должен быть один и тот же.

Для создания SSL-сертификата дополнительного сервера или обновления истекшего сертификата перенесите на сервер каталог с утилитой Cm.Agent.Cert.Generator и корневой сертификат сервисов агента с закрытым ключом в формате JSON (agent_root_ca.json) и выполните команду:

Cm.Agent.Cert.Generator.exe /rootKey <путь к файлу agent_root_ca.json> /ssl /sn <DNS-имя сервера IndeedCM> /installToStore
Пример
Cm.Agent.Cert.Generator.exe /rootKey "C:\AgentCertGenerator\agent_root_ca.json" /ssl /sn server.demo.local /installToStore

Настройка защищенного соединения с сайтом сервисов агента

  1. Перейдите в Диспетчер служб IIS (Internet Information Services (IIS) Manager).
  2. Выберите сайт IndeedCM Agent Site и перейдите в раздел Привязки... (Bindings...).
  3. Выберите привязку по порту 3003.
  4. Нажмите Изменить... (Edit...).
  5. Укажите в качестве SSL-сертификата сертификат CM Agent SSL или другой SSL/TLS-сертификат, выпущенный с любого доверенного УЦ в инфраструктуре на имя сервера системы и нажмите OK.
Пример настройки привязки для сайта IndeedCM Agent Site

info

Порт 3003 используется по умолчанию. Если вы используете другой порт, то создайте и настройте новую привязку для него. Убедитесь, что порт открыт для входящих подключений в брандмауэре.

В качестве SSL/TLS-сертификата допускается использование RSA-сертификата, выпущенного c любого доверенного УЦ на имя сервера Indeed CM.

  • Субъект (Subject) сертификата должен содержать атрибут Общее имя (Common name) (FQDN сервера системы).
  • Дополнительное имя субъекта (Subject Alternative Name) сертификата должно содержать атрибут DNS-имя (DNS Name) (FQDN сервера системы).
    Например: server.demo.local или соответствующую запись с подстановочными знаками, например: *. demo.local (Wildcard certificate).
  • Улучшенный ключ (Enhanced Key Usage) сертификата должен содержать значение Проверка подлинности сервера (Server Authentication).

Настройка Indeed CM для работы с клиентскими агентами

Настройте Indeed Certificate Manager на работу с агентами:

  1. Запустите Мастер настройки Indeed CM:
    1. Откройте браузер и перейдите по адресу https://<FQDN сервера Indeed CM>/cm/wizard.
    2. Введите код в поле Код аутентификации и нажмите Войти.
  2. Перейдите в раздел Клиентский агент.
  3. Включите опцию Разрешить использование клиентских агентов.
  4. Укажите стратегию генерации Идентификатора агента для доменных/вне доменных компьтеров для регистрации в Indeed CM:
    • Не задано. Значение по умолчанию.
    • Использовать машинный GUID. MachineGuid рабочей станции.
    • Генерировать новый GUID. Выберите данную опцию, если у нескольких рабочих станций будет одно значение MachineGuid.
    • Использовать доменный SID компьютера.
    • Использовать SID компьютера. Выберите данную опцию, если агент установлен на рабочую станцию, которая находится вне домена. Идентификатору агента присвоится строковое значение MachineGuid из ветки реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography] рабочей станции.
Смена стратегии генерации идентификатора агента

Если вам нужно сменить Стратегию генерации идентификатора агента после первоначальной настройки Indeed CM, выполните следующие действия:

  1. Остановите сервисы агентов agentregistrationapi и agentserviceapi на сервере Indeed CM.
  2. Удалите все клиентские агенты в разделе Агенты Консоли управления или выполните запрос в базу данных системы для удаления зарегистрированных агентов и их сессий.
  3. Примените изменения в Мастере настройки и распространите измененный файл конфигурации сервиса agentregistrationapi на сервере системы.
  4. Запустите сервисы агентов agentregistrationapi и agentserviceapi.
  1. Для регистрации агентов без подтверждения администратора включите опцию Автоматическая регистрация Агентов. Если включить опцию Автоматическая регистрация Агентов, то после установки и настройки Агента на рабочей станции он появится в разделе Агенты Консоли управления Indeed CM со статусом Зарегистрирован.
  2. Загрузите сертификат агента – файл корневого сертификата сервисов агента с закрытым ключом в формате JSON agent_root_ca.json.
  3. Выберите Уровень журналирования событий агентом:
    • все (значение по умолчанию),
    • только ошибки,
    • только предупреждения и ошибки.
  4. Укажите Периодичность получения данных с сервера и Интервал повторного выполнения отмененной пользователем задачи.
  5. Имя заголовка HTTP-запроса сертификата указано по умолчанию. Если Indeed CM используется с балансировщиком нагрузки. Включите опцию Передавать только поле 'Субъект' сертификата агента в заголовках HTTP-запросов при использовании Indeed CM с балансировщиком нагрузки, чтобы снизить трафик.
  6. Перейдите в пункт Подтверждение и нажмите Применить для сохранения настроек.
  7. Примените настройки на сервере Indeed CM.