Especificación del certificado del Servidor de administración

Si es necesario, puede asignar un certificado especial para el Servidor de administración usando la utilidad de la línea de comandos klsetsrvcert.

Al reemplazar el certificado, todos los Agentes de red que estaban conectados anteriormente al Servidor de administración a través de SSL pierden su conexión y devuelven el "error de autenticación del Servidor de administración". Para especificar el nuevo certificado y restaurar la conexión, puede usar la utilidad klmover.

Para especificar el nuevo certificado y restaurar la conexión, haga lo siguiente:

Desde la línea de comandos, ejecute el siguiente comando:

klmover [-address <dirección del servidor>] [-pn <número de puerto>] [-ps <número de puerto SSL>] [-nossl] [-cert <ruta al archivo de certificado>]

El certificado del Servidor de administración a menudo se añade a paquetes del Agente de red cuando se crean. Si es así, reemplazar el certificado del Servidor de administración por medio de la utilidad klsetsrvcert no causará el reemplazo del certificado del Servidor de administración en los paquetes del Agente de red existentes.

Es útil reemplazar el certificado inmediatamente después de la instalación del Servidor de administración y antes de que el Asistente de inicio rápido se complete.

Si especifica un período de validez superior a 397 días para el certificado del Servidor de administración, el navegador web devuelve un error.

En algunos casos, se requiere el reemplazo del certificado.

El certificado especificado con la utilidad debe incluir toda la cadena de confianza y debe cumplir con los requisitos que se enumeran en la siguiente tabla.

Los certificados emitidos por una autoridad de certificación (CA) pública no tienen el permiso de firma de certificados, que es obligatorio para el certificado del Servidor de administración y, por lo tanto, no se pueden utilizar.

Requisitos para los certificados del Servidor de administración

Tipo de certificado

Requisitos

Comentarios

Certificado común, certificado de reserva común ("C", "CR")

Longitud mínima de la clave: 2048.

Restricciones básicas:

  • CA: cierto
  • Restricción de longitud de ruta: Ninguna

    Uso de la clave:

  • Firma digital
  • Firma de certificados
  • Cifrado de claves
  • Firma de CRL

    Uso extendido de claves (opcional): autenticación de servidor, autenticación de cliente.

El parámetro Extended Key Usage es opcional.

El valor de la restricción de longitud de ruta puede ser un número entero diferente de "Ninguna", pero no menos de 1.

Certificado móvil, Certificado de reserva móvil ("M", "MR")

Longitud mínima de la clave: 2048.

Restricciones básicas:

  • CA: cierto
  • Restricción de longitud de ruta: Ninguna

    Uso de la clave:

  • Firma digital
  • Firma de certificados
  • Cifrado de claves
  • Firma de CRL

    Extended Key Usage (opcional): autenticación de servidor.

El parámetro Extended Key Usage es opcional.

El valor de restricción de longitud de ruta puede ser un número entero diferente de "Ninguna" si el certificado común tiene un valor de restricción de longitud de ruta no menor que "1".

CA de certificado para certificados de usuario generados automáticamente ("MCA")

Longitud mínima de la clave: 2048.

Restricciones básicas:

  • CA: cierto
  • Restricción de longitud de ruta: Ninguna

    Uso de la clave:

  • Firma digital
  • Firma de certificados
  • Cifrado de claves
  • Firma de CRL

    Uso extendido de claves (opcional): autenticación de servidor, autenticación de cliente.

El parámetro Extended Key Usage es opcional.

El valor de restricción de longitud de ruta puede ser un número entero diferente de "Ninguna" si el certificado común tiene un valor de restricción de longitud de ruta no menor que "1".

Para reemplazar el certificado, debe crear uno nuevo (por ejemplo, por medio de PKI de la organización) en el formato PKCS#12 y transferirlo a la utilidad klsetsrvcert (consulte la tabla a continuación para conocer los valores de configuración de la utilidad).

Sintaxis de línea de comandos de la utilidad:

klsetsrvcert [--stp <instid>][-t <type> {-i <inputfile> [-p <password>] [-o <chkopt>] | -g <dnsname>}][-f <time>][-r <calistfile>][-l <logfile>]

Valores de los parámetros de la utilidad klsetsrvcert

Parámetro

Valor

--stp <instid>

Identificador de instancia:

-t <type>

Tipo de certificado para reemplazar. Posibles valores del parámetro <type>:

  • C: Reemplace el certificado para puertos 13000 y 13291
  • CR: Reemplace el certificado de reserva para puertos 13000 y 13291
  • M: Reemplace el certificado para dispositivos móviles en el puerto 13292
  • MR: reemplace el certificado de reserva en dispositivos móviles para el puerto 13292
  • MCA: CA de cliente móvil para certificados de usuario autogenerados

-f <time>

Horario de cambio del certificado, formato “DD-MM-AAAA hh:mm” (para los puertos 13000 y 13291).

-i <inputfile>

Contenedor con el certificado con formato PKCS#12 (archivo con la extensión .p12 o .pfx).

-p <password>

Contraseña usada para la protección del contenedor p12 con el certificado.

-o <chkopt>

Parámetros de validación del certificado (separados por punto y coma).

-g <dnsname>

Un nuevo certificado se creará para el nombre de DNS especificado.

-r <calistfile>

Lista de autoridades de certificación raíz de confianza, formato PEM.

-l <logfile>

Archivo de salida de resultados. De forma predeterminada, la salida se redirige al flujo de salida estándar.

Consulte también:

Requisitos para los certificados personalizados utilizados en Kaspersky Security Center

Escenario de instalación principal
Subir