Zertifikat des Administrationsservers angeben

Falls erforderlich kann für den Administrationsserver ein spezielles Zertifikat mithilfe des Befehlszeilentools klsetsrvcert festgelegt werden.

Wenn das Zertifikat ersetzt wird, verlieren alle Administrationsagenten, die zuvor mittels SSL mit Administrationsserver verbunden waren, die Verbindung zum Server und geben den Fehler "Fehler bei der Authentifizierung des Administrationsservers" zurück. Um das neue Zertifikat anzugeben und die Verbindung wiederherzustellen, können Sie das Dienstprogramm klmover verwenden.

Um das neue Zertifikat anzugeben und die Verbindung wiederherzustellen:

Führen Sie aus der Befehlszeile den folgenden Befehl aus:

klmover [-address <Serveradresse>] [-pn <Portnummer>] [-ps <SSL-Portnummer>] [-nossl] [-cert <Pfad zur Zertifikatsdatei>]

Das Zertifikat des Administrationsservers wird häufig zu den Paketen des Administrationsagenten hinzugefügt, wenn diese erstellt werden. In diesem Fall führt das Ersetzen des Serverzertifikats mit Hilfe des Tools klsetsrvcert nicht zum Ersetzen des Zertifikats des Administrationsservers in den schon existierenden Paketen des Administrationsagenten.

Es ist zweckmäßig, das Zertifikat sofort nach der Installation des Administrationsservers vor dem Abschluss des Schnellstartassistenten zu ersetzen.

Wenn Sie mehr als 397 Tage für den Gültigkeitszeitraum des Administrationsserver-Zertifikats angeben, gibt der Web-Browser einen Fehler aus.

In einigen Fällen muss das Zertifikat ersetzt werden.

Das mittels des Tools angegebene Zertifikat muss die gesamte Vertrauenskette enthalten und den in der unteren Tabelle aufgeführten Voraussetzungen entsprechen.

Zertifikate, die von einer öffentlichen Zertifizierungsstelle (Certification Authority - CA) ausgestellt werden, besitzen nicht die für das Zertifikat des Administrationsservers notwendige Berechtigung, Zertifikate zu signieren, und können daher nicht verwendet werden.

Voraussetzungen für Administrationsserver-Zertifikate

Typ des Zertifikats

Voraussetzungen

Kommentare

Gewöhnliches Zertifikat, gewöhnliches Reservezertifikat ("C", "CR")

Minimale Schlüssellänge: 2048

Basic constraints:

  • CA: true
  • Path Length Constraint: None

    Schlüsselverwendung:

  • Digital signature
  • Certificate signing
  • Key encipherment
  • CRL Signing

    Extended Key Usage (optional): Serverauthentifizierung, Clientauthentifizierung

Der Parameter für Extended Key Usage ist optional.

Der Wert von Path Length Constraint kann eine von "None" abweichende Integer-Zahl sein, aber darf nicht kleiner als "1" sein.

Mobiles Zertifikat, mobiles Reservezertifikat ("M", "MR")

Minimale Schlüssellänge: 2048

Basic constraints:

  • CA: true
  • Path Length Constraint: None

    Schlüsselverwendung:

  • Digital signature
  • Certificate signing
  • Key encipherment
  • CRL Signing

    Extended Key Usage (optional): Serverauthentifizierung.

Der Parameter für Extended Key Usage ist optional.

Der Wert von Path Length Constraint kann eine von "None" abweichende Integer-Zahl sein, wenn der Wert von Path Length Constraint des Common Certificates nicht kleiner als "1" ist.

CA-Zertifikat für automatisch generierte Benutzerzertifikate ("MCA")

Minimale Schlüssellänge: 2048

Basic constraints:

  • CA: true
  • Path Length Constraint: None

    Schlüsselverwendung:

  • Digital signature
  • Certificate signing
  • Key encipherment
  • CRL Signing

    Extended Key Usage (optional): Serverauthentifizierung, Clientauthentifizierung

Der Parameter für Extended Key Usage ist optional.

Der Wert von Path Length Constraint kann eine von "None" abweichende Integer-Zahl sein, wenn der Wert von Path Length Constraint des Common Certificates nicht kleiner als "1" ist.

Für das Ersetzen des Zertifikats muss das neue Zertifikat (beispielsweise mithilfe der PKI-Infrastruktur des Unternehmens) im Format PKCS#12 erstellt und bei der Anmeldung des Tools klsetsrvcert übergeben werden (die Parameterwerte des finden Sie in der nachfolgenden Tabelle).

Die Syntax des Tools lautet:

klsetsrvcert [--stp <instid>][-t <type> {-i <inputfile> [-p <password>] [-o <chkopt>] | -g <dnsname>}][-f <time>][-r <calistfile>][-l <logfile>]

Parameterwerte des Tools klsetsrvcert

Parameter

Wert

--stp <instid>

Instance-ID.

-t <type>

Typ des Zertifikats, das ersetzt werden muss. Mögliche Einstellungswerte des Parameters <type>:

  • C – Zertifikat für die Ports 13000 und 13291 ersetzen
  • CR – Reservezertifikat für die Ports 13000 und 13291 ersetzen
  • M – Zertifikat für mobile Geräte des Ports 13292 ersetzen
  • MR – mobiles Reservezertifikat für Port 13292 ersetzen
  • MCA – mobile Client-Zertifizierungsstelle für automatisch generierte Benutzerzertifikate

-f <time>

Zeitplan für das Ersetzen der Zertifikate im Format "DD-MM-YYYY hh:mm" (für die Ports 13000 und 13291).

-I <inputfile>

Container mit dem Zertifikat im Format PKCS#12 (Datei mit der p12- oder pfx-Erweiterung).

-p <password>

Kennwort, mithilfe dessen der p12-Container mit dem Zertifikat geschützt ist.

-o <chkopt>

Parameter der Zertifikatsvalidierung (durch Strichpunkt getrennt).

-g <dnsname>

Ein neues Zertifikat wird für den angegebenen DNS-Namen erstellt.

-r <calistfile>

Liste mit vertrauenswürdigen Zertifizierungsstellen für Stammzertifikate im Format PEM.

-l <logfile>

Datei zur Ausgabe der Ergebnisse. Standardmäßig erfolgt die Ausgabe im Standardausgabestream.

Siehe auch:

Anforderungen an benutzerdefinierte Zertifikate für deren Verwendung in Kaspersky Security Center

Hauptinstallationsszenario

Nach oben