Задание сертификата Сервера администрирования

В случае необходимости можно задать Серверу администрирования специальный сертификат при помощи утилиты командной строки klsetsrvcert.

При замене сертификата все Агенты администрирования, ранее подключенные к Серверу администрирования по SSL, перестанут подключаться к Серверу с ошибкой "Ошибка аутентификации Сервера администрирования". Чтобы указать новый сертификат и восстановить соединение, используйте утилиту klmover. Из командной строки выполните команду со следующим синтаксисом:

Klmover [-address <адрес сервера>] [-pn <номер порта>] [-ps <номер SSL-порта>] [-nossl] [-cert <путь к файлу сертификата>]

Следует учитывать, что сертификат Сервера администрирования часто помещают в пакеты Агента администрирования при их создании. В этом случае замена сертификата Сервера при помощи утилиты klsetsrvcert не приведет к замене сертификата Сервера администрирования в уже существующих пакетах Агента администрирования.

Целесообразно заменять сертификат сразу после инсталляции Сервера администрирования, до завершения работы мастера первоначальной настройки.

Если вы укажете срок действия сертификата Сервера администрирования более 397 дней, браузер вернет ошибку.

Подробную информацию об условиях, при которых требуется замена сертификата, смотрите в разделе Планирование развертывания Kaspersky Security Center.

Сертификат, указанный в утилите, должен включать всю цепочку доверия и соответствовать требованиям, перечисленным в таблице ниже.

Сертификаты, выпущенные аккредитованным центром сертификации (CA), не имеют разрешения на подписывание сертификатов, которое является обязательным для сертификата Сервера администрирования, и поэтому не могут быть использованы.

Требования к сертификатам Сервера администрирования

Тип сертификата

Требования

Комментарии

Общий сертификат, Общий резервный сертификат ("С", "CR")

Минимальная длина ключа: 2048.

Основные ограничения:

  • CA: Да.
  • Ограничение длины пути: Отсутствует.

    Используемые ключи:

  • Цифровая подпись.
  • Подпись сертификата.
  • Шифрование ключей.
  • Подписывание списка отзыва (CRL).

    Расширенное использование ключа (Extended Key Usage, EKU) (необязательно): аутентификация Сервера, аутентификация клиента.

Параметр Extended Key Usage является необязательным.

Значение ограничения длины пути может быть целым числом, отличным от "None", но не должно быть меньше 1.

Мобильный сертификат, Мобильный резервный сертификат ("M", "MR")

Минимальная длина ключа: 2048.

Основные ограничения:

  • CA: Да.
  • Ограничение длины пути: Отсутствует.

    Используемые ключи:

  • Цифровая подпись.
  • Подпись сертификата.
  • Шифрование ключей.
  • Подписывание списка отзыва (CRL).

    Расширенное использование ключа (EKU) (необязательно): аутентификация Сервера.

Параметр Extended Key Usage является необязательным.

Значение ограничения длины пути может быть целым числом, отличным от "None", если Общий сертификат имеет значение ограничения длины пути не менее 1.

Сертификат, выпущенный аккредитованным центром сертификации (CA), для автоматически генерируемых пользовательских сертификатов (MCA)

Минимальная длина ключа: 2048.

Основные ограничения:

  • CA: Да.
  • Ограничение длины пути: Отсутствует.

    Используемые ключи:

  • Цифровая подпись.
  • Подпись сертификата.
  • Шифрование ключей.
  • Подписывание списка отзыва (CRL).

    Расширенное использование ключа (Extended Key Usage, EKU) (необязательно): аутентификация Сервера, аутентификация клиента.

Параметр Extended Key Usage является необязательным.

Значение ограничения длины пути может быть целым числом, отличным от "None", если Общий сертификат имеет значение ограничения длины пути не менее 1.

Для замены сертификата следует создать новый сертификат (например, средствами инфраструктуры открытых ключей организации) в формате PKCS#12 и передать его на вход утилиты klsetsrvcert (значения параметров утилиты см. в таблице ниже).

Синтаксис утилиты:

klsetsrvcert -t <type> {-i <inputfile> [-p <password>] | -g <dnsname>} [-l <logfile>]

Значения параметров утилиты klsetsrvcert

Параметр

Значение

-t <type>

Тип сертификата, который следует заменить. Возможные значения параметра <type>:

  • С – заменить сертификат для портов 13000 и 13291;
  • CR – заменить резервный сертификат для портов 13000 и 13291;
  • M – заменить сертификат для мобильных устройств порта 13292.

-i <inputfile>

Контейнер с сертификатом в формате PKCS#12 (файл с расширением p12 или pfx).

-p <password>

Пароль, при помощи которого защищен p12-контейнер с сертификатом.

-g <dnsname>

Сертификат будет создан с указанным DNS-именем.

-l <logfile>

Файл вывода результатов. По умолчанию вывод осуществляется в стандартный поток вывода.

В начало