跳转至

启用已知主机身份验证,实现与代理工作站的安全连接

为了加强连接,防止中间人攻击,您可以在服务器上启用 已知主机 进行检查,无需创建自定义证书。

  1. 终止 VDog MasterService 服务。
  2. 打开位于服务器存档中的server.ini 文件 (VD$A\Configuration\Server.ini)。

  3. 在 [Common] 节,添加以下条目:

    KnownHostsOnCsc=Y

  4. 重新启动 VDog MasterService 服务。

启用后,服务器将在作业执行期间验证代理工作站的证书指纹。如果指纹不匹配,则会终止连接并记录错误。

错误消息示例:

"主机 'my.agentstation.local' 的真实性无法确定。证书指纹为 '00:01:02:03:04:05:06:07:08:09:0a:0b:0c:0d:0e:0f:10:11:12:13:14:15:16:17:18:19:1a:1b:1c:1d:1e:1f'。请联系您的系统管理员。"

"连接到代理工作站 'my.agentstation.local' 失败,因为其证书意外更改。请验证 knownhosts.txt 中服务器条目中的指纹,是否与代理工作站启动时转储到其调试日志文件中的指纹一致。"

如果看到类似的错误消息,说明代理的证书与服务器期望的证书不符。

分析问题的步骤如下:

  1. 检查错误消息中的指纹与代理工作站实际使用的指纹是否一致。

    代理会将其指纹写入调试日志。

  2. 在代理计算机上,打开代理存档中从代理(重新)启动时开始的相关日志文件。

    • VD$A\Logs\Debug\VDogUploadAgent
    • VD$A\Logs\Debug\VDogCompareAgent

    如果需要,重新启动代理以重新生成日志。

  3. 在日志文件中,搜索类似以下内容的行:

    "服务器证书的指纹为 00:01:02:03:04:05:06:07:08:09:0a:0b:0c:0d:0e:0f:10:11:12:13:14:15:16:17:18:19:1a:1b:1c:1d:1e:1f"。

识别错误警报

代理计算机日志文件中的指纹必须与上述服务器错误消息中的指纹一致。

  • 如果指纹不匹配,这意味着服务器不与该代理建立直接连接。

    这种不匹配可能有合理的原因。例如,如果防火墙经过合理配置,会拦截并检查使用 TLS(传输层安全协议)的加密通信,就可能导致证书指纹与预期不一致。如果您不确定是否属于这种情况,请咨询您的网络管理员。

    此外,还要验证服务器上为代理配置的地址是否与正确的代理工作站相对应。

    Warning

    如果不匹配没有正当理由,则可能表明存在潜在的中间人攻击。

  • 如果指纹匹配,或者您确定不匹配有正当理由,但仍收到此错误消息,则很可能是代理的证书最近发生了变更或重新创建。例如,代理重新安装了新的代理存档。

    在这种情况下(也只有在这种情况下!)从服务器的 KnownHosts.txt 文件中删除该代理工作站:

    1. 在服务器存档中,用文本编辑器打开 VD$A\Configuration\Local\KnownHosts.txt 文件。

    2. 查找并删除与受影响代理相关的行。

      示例:

      my.agentstation.local 64011 4F4EA3E046F95327373587C3D1DB2537866A8D59765D00AD82256A6F5A19808B my.agentstation.local 64010 4F4EA3E046F95327373587C3D1DB2537866A8D59765D00AD82256A6F5A19808B

    3. 保存文件。不需要重新启动服务器。

    4. 重新连接,验证错误是否不再发生。
    5. 连接成功后,服务器将使用正确的指纹重新生成 KnownHosts.txt 文件。

相关主题