À propos des certificats de Kaspersky Security Center

Kaspersky Security Center utilise les types de certificats suivants pour permettre une interaction sécurisée entre les modules de l'application :

• Certificat du Serveur d'administration
• Certificat du Serveur Web
• Certificat de Kaspersky Security Center Web Console

Par défaut, Kaspersky Security Center utilise des certificats auto-signés (c'est-à-dire émis par Kaspersky Security Center lui-même), mais vous pouvez les remplacer par des certificats personnalisés pour mieux répondre aux exigences du réseau de votre organisation et respecter les normes de sécurité. Une fois que le Serveur d'administration a vérifié si un certificat personnalisé répond à toutes les exigences applicables, ce certificat a la même zone de fonction qu'un certificat auto-signé. La seule différence réside dans le fait qu'un certificat personnalisé n'est pas réémis automatiquement à son expiration. Vous remplacez les certificats par des certificats personnalisés à l'aide de l'utilitaire klsetsrvcert ou via la section des propriétés du Serveur d'administration dans Kaspersky Security Center Web Console, selon le type de certificat. Lorsque vous utilisez l'utilitaire klsetsrvcert, vous devez spécifier un type de certificat à l'aide de l'une des valeurs suivantes :

• C—certificat commun pour les ports 13000 et 13291.
• C—certificat commun de réserve pour les ports 13000 et 13291.

La période de validité maximale des certificats du Serveur d'administration ne doit pas dépasser 397 jours.

Certificats du Serveur d'administration

Un certificat de Serveur d'administration est requis aux fins suivantes :

• Authentification du Serveur d'administration lors de la connexion à Kaspersky Security Center Web Console
• Interaction sécurisée entre le Serveur d'administration et l'Agent d'administration sur les appareils administrés
• Authentification lorsque les Serveurs d'administration primaires sont connectés aux Serveurs d'administration secondaires

Le certificat de Serveur d'administration est automatiquement créé en cours de l'installation du module Serveur d'administration et sauvegardé dans le dossier /var/opt/kaspersky/klnagent_srv/1093/cert/. Vous indiquez le certificat du Serveur d'administration lors de la création du fichier de réponses pour l'installation de Kaspersky Security Center Web Console. Ce certificat est appelé certificat commun ("C").

Le certificat du Serveur d'administration est valable 397 jours. Kaspersky Security Center génère automatiquement un certificat de réserve commune ("CR") 90 jours avant l'expiration du certificat commun. Le certificat commun de réserve est ensuite utilisé pour remplacer facilement le certificat du Serveur d'administration. Lorsque le certificat commun est sur le point d'expirer, le certificat commun de réserve est utilisé pour maintenir la connexion avec les instances d'Agent d'administration installées sur les appareils administrés. Ainsi, le certificat commun de réserve remplace automatiquement le nouveau certificat commun 24 heures avant l'expiration de l'ancien certificat commun.

La période de validité maximale des certificats du Serveur d'administration ne doit pas dépasser 397 jours.

Le cas échéant, vous pouvez attribuer un certificat personnalisé au Serveur d'administration. Une telle mesure peut se justifier par l'amélioration de l'intégration avec la PKI en place de votre entreprise ou pour personnaliser la configuration des champs du certificat. Lors du remplacement du certificat, tous les Agents d'administration déjà connectés au Serveur d'administration via SSL se déconnectent du Serveur avec l'erreur « Erreur d'authentification du Serveur d'administration ». Pour éliminer cette erreur, il faudra restaurer la connexion après le remplacement du certificat.

Dans le cas où le certificat du Serveur d'administration serait perdu, il est nécessaire pour le restaurer de réinstaller le module du Serveur d'administration, puis de restaurer les données.

Vous pouvez également sauvegarder le certificat du Serveur d'administration séparément des autres paramètres du Serveur d'administration afin de déplacer le Serveur d'administration d'un appareil à un autre sans aucune perte de données.

Certificats mobiles

Un certificat mobile ("M") est requis pour assurer l'authentification du Serveur d'administration sur les appareils mobiles. Vous définissez le certificat mobile dans les propriétés du Serveur d'administration.

Il existe également un certificat mobile de réserve ("MR") : il est utilisé pour remplacer facilement le certificat mobile. Kaspersky Security Center génère automatiquement ce certificat 60 jours avant l'expiration du certificat commun. Lorsque le certificat mobile est sur le point d'expirer, le certificat mobile de réserve est utilisé pour maintenir la connexion avec les instances d'Agent d'administration installées sur les appareils mobiles administrés. Ainsi, le certificat mobile de réserve remplace automatiquement le nouveau certificat mobile 24 heures avant l'expiration de l'ancien certificat mobile.

Si le scénario de connexion nécessite l'utilisation d'un certificat client sur les appareils mobiles (connexion impliquant une authentification SSL bidirectionnelle), vous pouvez générer ces certificats au moyen de l'autorité de certification pour les certificats utilisateur générés automatiquement ("MCA"). De plus, dans les propriétés du Serveur d'administration, vous pouvez spécifier des certificats clients personnalisés émis par une autre autorité de certification, tandis que l'intégration avec l'infrastructure à clés publiques (PKI) de domaine de votre organisation vous permet d'émettre des certificats clients au moyen de votre autorité de certification de domaine.

Certificat du Serveur Web

Le Serveur Web, un module du Serveur d'administration de Kaspersky Security Center, utilise un type spécial de certificat. Ce certificat est requis pour la publication des paquets d'installation de l'Agent d'administration que vous téléchargez par la suite sur les appareils administrés. Pour cela, le Serveur Web peut utiliser différents certificats.

Le Serveur Web utilise l'un des certificats suivants, par ordre de priorité :

1. Certificat de serveur Web personnalisé que vous avez spécifié manuellement à l'aide de Kaspersky Security Center Web Console
2. Certificat commun du Serveur d'administration ("C")

Certificat de Kaspersky Security Center Web Console

Le Serveur de Kaspersky Security Center Web Console (ci-après Web Console) possède son propre certificat. Lorsque vous ouvrez un site, un navigateur vérifie si votre connexion est fiable. Le certificat de Web Console permet d'authentifier Web Console et sert à chiffrer le trafic entre un navigateur et Web Console.

Lorsque vous ouvrez Web Console, le navigateur peut vous informer que la connexion à Web Console n'est pas privée et que le certificat de Web Console n'est pas valide. Cet avertissement apparaît car le certificat de la Console Web est auto-signé et généré automatiquement par Kaspersky Security Center. Pour supprimer cet avertissement, vous pouvez effectuer une des actions suivantes :

• Remplacez le certificat de Web Console par un certificat personnalisé (option recommandée). Créez un certificat de confiance dans votre infrastructure et qui répond aux exigences des certificats personnalisés.
• Ajoutez le certificat de Web Console à la liste des certificats de navigateur de confiance. Nous vous recommandons d'utiliser cette option uniquement si vous ne pouvez pas créer de certificat personnalisé.