關於卡巴斯基安全管理中心憑證
卡巴斯基安全管理中心使用以下類型的憑證來啟用應用程式元件之間的安全互動:
- 管理伺服器憑證
- 網頁伺服器憑證
- 卡巴斯基安全管理中心網頁主控台憑證
預設情況下,卡巴斯基安全管理中心使用自我簽署憑證(即由卡巴斯基安全管理中心本身頒發的憑證),但是您可以用自訂憑證加以替換,以更好地滿足組織網路的要求並符合安全標準。在管理伺服器驗證自訂憑證是否滿足所有適用要求之後,該憑證將承擔與自我簽署憑證相同的功能範圍。唯一的區別是自訂憑證在到期後不會自動重新發行。您可以透過 klsetsrvcert 公用程式或透過卡巴斯基安全管理中心 網頁主控台中的「管理伺服器屬性」區段將憑證替換為自訂憑證,具體視憑證類型而定。使用 klsetsrvcert 實用程式時,您需要使用以下值之一指定憑證類型:
- C—適用於連接埠 13000 和 13291 的常見憑證。
- CR—適用於連接埠 13000 和 13291 的預留憑證。
任何管理伺服器憑證的最長有效期不得超過 397 天。
管理伺服器憑證
管理伺服器憑證需要用於以下目的:
- 連線卡巴斯基安全管理中心 網頁主控台時驗證管理伺服器的身分
- 受管理裝置上管理伺服器和網路代理之間的安全交互
- 主管理伺服器連線到從屬管理伺服器時的身分驗證
管理伺服器憑證是在安裝管理伺服器元件時自動產生的,並儲存在 /var/opt/kaspersky/klnagent_srv/1093/cert/ 資料夾中。您在建立回應檔案以安裝卡巴斯基安全管理中心14 網頁主控台時指定管理伺服器憑證。該憑證稱為通用憑證 ("C")。
管理伺服器憑證 397 天有效。卡巴斯基安全管理中心會在通用憑證到期前 90 天自動產生一個一般儲備 ("CR") 憑證。公用預留憑證隨後會用來無縫替換管理伺服器憑證。當公用憑證即將到期時,公用預留憑證會用來維持與安裝在受管理裝置上網路代理實例的連線。為此,通用預留憑證會在舊的通用憑證到期前 24 小時自動變為新的通用憑證。
任何管理伺服器憑證的最長有效期不得超過 397 天。
如有必要,您可以為管理伺服器分配協力廠商憑證。例如,為了更好的整合您企業的現有 PKI 或為了憑證欄位的自訂設定,這可能是必要的。當取代憑證時,所有先前透過 SSL 連線到管理伺服器的網路代理將遺失它們的連線,並將返回「管理伺服器身分驗證錯誤」。要消除該錯誤,您將必須在憑證取代後還原連線。
如果遺失了管理伺服器憑證,要想還原憑證,就只能重新安裝管理伺服器元件,然後還原資料。
您也可以與其他管理伺服器設定獨立的備份管理伺服器憑證,以在將管理伺服器從一部裝置移至另一部裝置時不會遺失資料。
行動憑證
在行動裝置上對管理伺服器進行驗證需要行動憑證(「M」)。您可以在管理伺服器內容中指定行動憑證。
此外還有行動預留(「MR」)憑證:該憑證會用來無縫替換行動憑證。卡巴斯基安全管理中心會在通用憑證到期前 60 天自動產生此憑證。當行動憑證即將到期時,將使用行動備用憑證來維護與安裝在受管理行動裝置上的網路代理實例的連線。為此,行動備用憑證會在舊的行動憑證到期前 24 小時自動變為新的行動憑證。
如果連線情境要求在行動裝置上使用用戶端憑證(涉及雙向 SSL 驗證的連線),則您可以透過用於自動產生的使用者憑證(「MCA」)的憑證機構來產生那些憑證。此外,在管理伺服器內容中,您可以指定由其他憑證機構發行的自訂用戶端憑證,而與組織的網域公用金鑰基礎架構 (PKI) 整合,可讓您透過網域憑證機構發佈用戶端憑證。
網頁伺服器憑證
網頁伺服器(卡巴斯基安全管理中心管理伺服器的元件)使用的一種特殊類型憑證。發布網路代理安裝套件(隨後將其下載到受管理裝置)需要此憑證。基於此用途,網頁伺服器可以使用各種憑證。
網頁伺服器按優先級順序使用以下憑證之一:
- 您透過卡巴斯基安全管理中心 網頁主控台手動指定的自訂網頁伺服器憑證
- 通用管理伺服器憑證 ("C")
卡巴斯基安全管理中心網頁主控台憑證
卡巴斯基安全管理中心網頁主控台(以下簡稱「網頁主控台」)的伺服器有自己的憑證。當您開啟網站時,瀏覽器會驗證您的連線是否可信。網頁主控台憑證允許您對網頁主控台進行身分驗證,並被用於加密瀏覽器和網頁主控台之間的流量。
當您開啟網頁主控台時,瀏覽器會通知您與網頁主控台的連線不是私有,並且網頁主控台憑證無效。出現此警告是因為網頁主控台憑證為自簽名並由卡巴斯基安全管理中心自動產生。要刪除此警告,您可以執行以下操作之一: