使用 klsetsrvcert 公用程式替換管理伺服器憑證
要取代管理伺服器憑證:
在命令列下,執行以下公用程式:
klsetsrvcert [-t <type> {-i <inputfile> [-p <password>] [-o <chkopt>] | -g <dnsname>}][-f <time>][-r <calistfile>][-l <logfile>]
您無需下載 klsetsrvcert 公用程式。它包含在 Kaspersky Security Center Linux 分發套件中。它與以前的 Kaspersky Security Center Linux 版本不相容。
下表列出了 klsetsrvcert 公用程式參數的說明。
klsetsrvcert 實用工具參數值
參數 | 參數值 |
|---|---|
| 要取代的憑證類型。
|
| 變更憑證的時間排程,使用格式「DD-MM-YYYY hh:mm」(適用於連接埠 13000 和 13291)。 如果要在到期前取代普通或普通儲備憑證,請使用此參數。 指定受管理裝置必須與新憑證上的管理伺服器同步的時間。 |
| 帶有 PKCS#12 格式憑證和私密金鑰的容器(帶有副檔名 .p12 或 .pfx 的檔案)。 |
| 用於防護 p12 容器的密碼。 憑證和私密金鑰儲存在容器中,因此需要密碼才能使用容器解密檔案。 |
| 憑證驗證參數(以冒號區隔)。 要在沒有簽名權限的情況下使用自訂憑證,請在 klsetsrvcert 公用程式中指定 若要變更憑證類型 C 或 CR 的加密金鑰長度,請在 klsetsrvcert 公用程式中指定 |
| 新憑證將為指定 DNS 名稱建立。 |
| 信任的根憑證授權機構清單,格式 PEM。 |
| 結果輸入檔案。預設下,輸出被重新定向到標準輸出流。 |
例如,要指定自訂管理伺服器憑證,使用以下指令:
klsetsrvcert -t C -i <inputfile> -p <password> -o NoCA
憑證被取代後,所有透過 SSL 連線到管理伺服器的網路代理都會失去連線。要還原它,請使用指令行 klmover utility。
為避免丟失網路代理連線,請使用以下指令:
- 安裝新憑證:
klsetsrvcert -t CR -i <inputfile> -p <password> -o NoCA
- 指定套用新憑證的日期:
klsetsrvcert -f "DD-MM-YYYY hh:mm"
其中,“DD-MM-YYYY hh:mm” 是比目前日期晚 3-4 週的日期。將憑證變更為備份憑證的時間偏移將允許將新憑證分發給所有網路代理。