Zertifikate des Integrationsservers und von SVMs ersetzen
25. Januar 2024
ID 97888
Der Lieferumfang der Lösung "Kaspersky Security" enthält das Tool certificate_manager, mit dem die Zertifikate des Integrationsservers und der SVMs verwaltet werden können. Das SSL-Zertifikat des Integration Servers wird verwendet, um eine sichere Verbindung mit dem Integrationsserver herzustellen und um den Kommunikationskanal zwischen dem Schutzserver und dem Light Agent zu verschlüsseln.
Mit dem Tool zur Verwaltung der Zertifikate können Sie folgendes tun:
- Erstellen eines Integrationsserver-Zertifikats, das für den Aufbau einer sicheren Verbindung zum Integrationsserver verwendet wird.
- Ersetzen des selbstsignierten Zertifikats des Integrationsservers, das im Rahmen der Bereitstellung der Lösung installiert wurde.
Beim Ersetzen des Integrationsserver-Zertifikats wird automatisch das SVM-Zertifikat ersetzt, das zur Verschlüsselung des Kommunikationskanals zwischen dem Light Agent und dem Schutzserver verwendet wird. Basierend auf dem Integration Server-Zertifikat wird ein neues SVM-Zertifikat erstellt.
In den folgenden Fällen kann das Tauschen von Zertifikaten erforderlich sein:
- Bei einer Aktualisierung der Lösung, in deren Rahmen das zuvor installierte Zertifikat durch ein sichereres ersetzt werden soll.
- Wenn das von Ihnen verwendete Zertifikat abgelaufen ist oder kompromittiert wurde.
- Wenn sich die IP-Adresse oder der Domänenname des Geräts geändert hat, auf dem der Integrationsserver installiert ist.
Sie können das Integrationsserver-Zertifikat durch ein neues Zertifikat ersetzen, das entweder mit dem Tool oder mittels Drittanbietern erstellt wurde. Wenn Sie ein mit Tools von Drittanbietern erstelltes Integrationsserver-Zertifikat verwenden möchten, stellen Sie sicher, dass das neue Zertifikat die Zertifikatsanforderungen des Dienstprogramms erfüllt.
Das Dienstprogramm certificate_manager befindet sich im Installationsordner des Integrationsservers "%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky VIISLA\".
Um das Dienstprogramm verwenden zu können, sind Administratorrechte im Betriebssystem erforderlich.
So erstellen Sie ein Integrationsserver-Zertifikat mit dem Dienstprogramm:
Führen Sie auf dem Gerät, auf dem der Integrationsserver installiert ist, den folgenden Befehl aus:
%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky VIISLA\certificate_manager.exe create-self-signed-certs --outputFolder <Pfad zum Order mit dem Zertifikat>
Dabei ist <Pfad zum Ordner mit dem Zertifikat> der Pfad zum Ordner, in dem das erstellte Zertifikat abgelegt wird. Der Ordner muss sich auf dem Gerät befinden, auf dem der Integrationsserver installiert ist.
Es wird empfohlen, das Zertifikat vor unberechtigtem Zugriff zu schützen. Sie können beispielsweise einen sicheren Ordner zum Ablegen des Zertifikats verwenden.
Als Ergebnis der Ausführung des Befehls erstellt das Dienstprogramm ein Integrationsserver-Zertifikat (im PFX-Format) und legt es im angegebenen Ordner ab.
So ersetzen Sie die Integrationsserver- und SVM-Zertifikate:
Führen Sie auf dem Gerät, auf dem der Integrationsserver installiert ist, den folgenden Befehl aus:
%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky VIISLA\certificate_manager.exe replace --certificatePath <Pfad zum Zertifikat>
Wobei "<Pfad zum Zertifikat>" den Pfad zum Integrationsserver-Zertifikat (Datei im pfx-Format) darstellt.
Nach der Ausführung des Befehls führt das Dienstprogramm die folgenden Aktionen aus:
- Es erstellt ein SVM-Zertifikat basierend auf dem sich im angegebenen Ordner befindlichen Zertifikat.
- Es ersetzt das zuvor installierte Integrationsserver-Zertifikat und SVM-Zertifikat durch neue Zertifikate.
- Es startet den Dienst des Integrationsservers neu.
Nach dem Ersetzen der Integrationsserver- und SVM-Zertifikate müssen Sie alle Light Agent-Richtlinien und SVM-Richtlinien aktualisieren, damit sie den öffentlichen Schlüssel des neuen Zertifikats erhalten.
Während der Ausführung des Tools zur Verwaltung der Zertifikate können Protokolldateien können generiert werden.