При установке SafeQ на одном сервере (All in one), нескольких серверах в кластере, или ORS серверах на удаленных локациях клиента, требуется совершить действия на всех серверах SafeQ в случае обновления системы пункт 5, или, только на серверах, где используется служба Ysoft SafeQ Termnalserver, в случае подмены сертификата Terminalserver пункт 6.

Для проверки используется утилита sslscan:

https://github.com/rbsec/sslscan/releases

• Перейдите в каталог с утилитой (команда cd) и запустите команду:

sslscan.exe --show-certificate IP_адрес_сервера:5014

например sslscan --show-certificate 10.10.10.10:5014 или sslscan --show-certificate 127.0.0.1:5014 (если запускаете утилиту на сервере SQ)

• Чтобы сканирование прошло быстрее, можно убрать лишнюю информацию с помощью следующих аргументов:

sslscan.exe --show-certificate --no-cipher-details --no-ciphersuites --no-compression --no-fallback --no-groups --no-heartbleed --no-renegotiation --no-sigs 127.0.0.1:5014

• После сканирования, среди прочих, появится значение срока действия используемого сертификата - Not valid after:

• !!! В случае обновления системы, пункт 6 данной инструкции выполнять НЕ НАДО;

• !!! Представлено краткое руководство по обновлению СУОП, есть особенности. Пожалуйста обратитесь к документации SafeQ, статье UPDATING FROM MU/BUILD TO BUILD (EN версия) или в Базе знаний Konica Minolta https://sd.konicaminolta.ru/otrs/public.pl FAQ#: 1000503 — Обновление с использованием Server Installer SafeQ 6 (РУ) для получения полной информации;

• Проверьте актуальность срока действия поддержки СУОП. Не получится обновить СУОП с просроченной поддержкой SLA. Срок окончания поддержки отображается на главной странице интерфейса SafeQ SLA Details, действуют выгодные условия амнистии и продления поддержки, см. https://sd.konicaminolta.ru/promo/

• Сделать снапшот серверов СУОП и бекап баз данных SQDB6 и SQDB6_IMS;
• Ссылку на актуальный дистрибутив СУОП можно запросить по адресу help@konicaminolta.ru;
• Разархивировать из дистрибутива папку Server installer для SafeQ 6, или Ysaft SafeQ CML для SafeQ 5;
• Иметь ввиду, что процесс обновления занимает время, примерно 1-2 часа, в это время сервисы печати будут недоступны;
• Остановить все сервисы Ysoft SafeQ на всех серверах СУОП, кроме YSoft Bundled Etcd и YSoft Bundled PostgreSQL (в случае использования встроенной БД POSTGRE), или изолировать обновляемый сервер от остальной инфраструктуры;
• Запустить установочный .exe файл;

• Установщик обнаружит установленную версию SafeQ и предложит обновить ее;
• Произвести обновление, проверить, что все сервисы системы запустились, реактивировать лицензию;
• Сервера SafeQ 6 Site обновляются аналогичным образом, для серверов ORS SafeQ 5 процедура обновления отличается, см. документацию SafeQ 5 Updating YSoft SafeQ ORS with cache recovery.

Выпустите свой собственный сертификат пункт 6.1, или скачайте готовый сертификат пункт 6.2, импортируйте сертификат в хранилище сертификатов пункт 6.3, заменить сертификаты в каталогах СУОП на скаченные пункт 6.4 и произведите настройку SafeQ пункт 6.5.

ВАЖНО!!! Если в вашем парке печатающих устройств присутствуют старые модели, а именно:

Konica Minolta bizhub 423

Konica Minolta bizhub 223

Konica Minolta bizhub 224e

Konica Minolta bizhub 283

Konica Minolta bizhub 284e

Konica Minolta bizhub 36

Konica Minolta bizhub 363

Konica Minolta bizhub 364e

Konica Minolta bizhub 4050

Konica Minolta bizhub 454e

Konica Minolta bizhub 4750

Konica Minolta bizhub 554e

Konica Minolta bizhub 654e

Konica Minolta bizhub C220

Konica Minolta bizhub C224

Konica Minolta bizhub C224e

Konica Minolta bizhub C253

Konica Minolta bizhub C284e

Konica Minolta bizhub C3350

Konica Minolta bizhub C364

Konica Minolta bizhub C364e

Konica Minolta bizhub C3850

Konica Minolta bizhub C454

Konica Minolta bizhub C454e

Konica Minolta bizhub C554e

Konica Minolta bizhub C654

Konica Minolta bizhub C654e

Konica Minolta bizhub C754e

Konica Minolta bizhub С360

Konica Minolta C35

Необходимо использовать шифрование SHA1, ссылка на готовый сертификат с таким шифрованием находится в пункте 6.2 Для дополнительной консультации можете обратиться к вашему SDM менеджеру или на help@konicaminolta.ru

Требования к сертификату, подписанному CA:

• Сертификат должен быть подписан центром сертификации, которому доверяют в вашей среде;
• Сертификат (поля Общее имя и Альтернативное имя субъекта) должен содержать все сетевые имена (т.е. все имена хостов, полные доменные имена и IP-адреса), используемые для подключения к Терминальному серверу;
• Для импорта сертификата он необходим в соответствующем формате - Personal Information Exchange (файл .pfx или p12) с экспортируемым закрытым ключом;
• Если по каким-то причинам, вы не можете выпустить свой сертификат, можно воспользоваться утилитой OPENSSL, описание процесса создания есть в документации SafeQ в главе SYSTEM COMMUNICATION HARDENING;
• Импортировать созданный сертификат на все сервера СУОП со службой Ysoft SafeQ Terminalserver пункт 6.3, замените сертификаты в СУОП пункт 6.4 и произвести настройку системы на данный сертификат, пункт 6.5, настройка идентична на SafeQ 5 и SafeQ 6.

• Скачать готовый сертификат Ysoft SafeQ Terminal Server, взятый из новой версии Ysoft SafeQ можно по ссылке: https://portal.ysoft.com/YSoftPartnerPortal/media/releases/YSKB/SafeQDSWebServer.zip

• Если в вашем парке печатающих устройств присутствуют старые модели (список предоставлен выше), необходимо использовать шифрование SHA1, во вложении, либо тут https://disk.yandex.ru/d/6MwxKDgLw28Ctg

• Поместите данный сертификат в локальное хранилище на каждый сервер, где работает служба Ysoft SafeQ Terminalserver пункт 6.3 и произвести настройку системы на данный сертификат, пункт 6.4, настройка идентична на SafeQ 5 и SafeQ 6.

• Скопируйте свой или Ysoft сертификат в формате .pfx на сервер, на котором установлен сервер терминалов Ysoft SafeQ Terminalserver;
• Сертификат в хранилище сертификатов Windows Local Computer\My (Локальный компьютер\Персональный) через Wizard интерфейс импорта, или с помощью PS команд;
• Пароля нет, обязательно укажите галочку «Пометить как экспортируемый»;

• Проверить, что сертификат корректно добавился можно в консоли MMC;

• Добавить оснастку «Сертификаты» для компьютера;

6.4 Замена сертификатов в каталогах СУОП

Скаченные сертификаты пункт 6.2 необходимо заменить в следующих каталогах СУОП, если каталоги отсутствует в вашей установке, создавать его не надо, они относятся к старым релизам:

Для SafeQ5:

• <YSoft SafeQ>\terminalserver\certificates\
• <YSoft SafeQ>\terminalserver\
• <YSoft SafeQ>\terminalserver\TSClassic\certificates\
• <YSoft SafeQ>\terminalserver\TSClassic\
• <YSoft SafeQ> \terminalserver\WsdScan.Services\bin\Certificates\

Для SafeQ6:

• <YSoft SafeQ>\SPOC\terminalserver\Certificates\
• <YSoft SafeQ>\SPOC\terminalserver\
• <YSoft SafeQ>\FSP\Service\Spooler 6.0.XX.X\Certificates\

Проверьте настройки СУОП в соответствии с нижеприведенными. Если ваши параметры отличаются от предоставленных, пожалуйста свяжитесь с нами help@konicaminolta.ru для уточнения корректных значений.

dsCertificateFileSource = -empty-

dsCertificateStoreIdentifier = -empty-

dsCertificateStore = my (or root, default)

dsCertificateSource = default

• Зайти в системные настройки, включите режим эксперта и проверьте заданные параметры:

• Перезагрузите службу Ysoft SafeQ Terminalserver
• Чтобы убедиться в корректности нового сертификата, выполните проверку сертификата, смотрите пункт 4