Задание сертификата Сервера администрирования

В случае необходимости можно задать Серверу администрирования специальный сертификат при помощи утилиты командной строки klsetsrvcert.

При замене сертификата все Агенты администрирования, ранее подключенные к Серверу администрирования по SSL, перестанут подключаться к Серверу с ошибкой "Ошибка аутентификации Сервера администрирования". Чтобы указать новый сертификат и восстановить соединение, вы можете использовать утилиту klmover.

Чтобы указать новый сертификат и восстановить соединение,

в командной строке выполните следующую команду:

Klmover [-address <адрес сервера>] [-pn <номер порта>] [-ps <номер SSL-порта>] [-nossl] [-cert <путь к файлу сертификата>]

Сертификат Сервера администрирования часто помещают в пакеты Агента администрирования при их создании. В этом случае замена сертификата Сервера при помощи утилиты klsetsrvcert не приведет к замене сертификата Сервера администрирования в уже существующих пакетах Агента администрирования.

Целесообразно заменять сертификат сразу после инсталляции Сервера администрирования, до завершения работы мастера первоначальной настройки.

Если вы укажете срок действия сертификата Сервера администрирования более 397 дней, браузер вернет ошибку.

В некоторых случаях требуется замена сертификата.

Сертификат, указанный в утилите, должен включать всю цепочку доверия и соответствовать требованиям, перечисленным в таблице ниже.

Сертификаты, выпущенные аккредитованным центром сертификации (CA), не имеют разрешения на подписывание сертификатов, которое является обязательным для сертификата Сервера администрирования, и поэтому не могут быть использованы.

Требования к сертификатам Сервера администрирования

Тип сертификата

Требования

Комментарии

Общий сертификат, Общий резервный сертификат ("С", "CR")

Минимальная длина ключа: 2048.

Основные ограничения:

  • CA: Да.
  • Ограничение длины пути: Отсутствует.

    Используемые ключи:

  • Цифровая подпись.
  • Подпись сертификата.
  • Шифрование ключей.
  • Подписывание списка отзыва (CRL).

    Расширенное использование ключа (Extended Key Usage, EKU) (необязательно): аутентификация Сервера, аутентификация клиента.

Параметр Extended Key Usage является необязательным.

Значение ограничения длины пути может быть целым числом, отличным от "None", но не должно быть меньше 1.

Мобильный сертификат, Мобильный резервный сертификат ("M", "MR")

Минимальная длина ключа: 2048.

Основные ограничения:

  • CA: Да.
  • Ограничение длины пути: Отсутствует.

    Используемые ключи:

  • Цифровая подпись.
  • Подпись сертификата.
  • Шифрование ключей.
  • Подписывание списка отзыва (CRL).

    Расширенное использование ключа (EKU) (необязательно): аутентификация Сервера.

Параметр Extended Key Usage является необязательным.

Значение ограничения длины пути может быть целым числом, отличным от "None", если Общий сертификат имеет значение ограничения длины пути не менее 1.

Сертификат, выпущенный аккредитованным центром сертификации (CA), для автоматически генерируемых пользовательских сертификатов (MCA)

Минимальная длина ключа: 2048.

Основные ограничения:

  • CA: Да.
  • Ограничение длины пути: Отсутствует.

    Используемые ключи:

  • Цифровая подпись.
  • Подпись сертификата.
  • Шифрование ключей.
  • Подписывание списка отзыва (CRL).

    Расширенное использование ключа (Extended Key Usage, EKU) (необязательно): аутентификация Сервера, аутентификация клиента.

Параметр Extended Key Usage является необязательным.

Значение ограничения длины пути может быть целым числом, отличным от "None", если Общий сертификат имеет значение ограничения длины пути не менее 1.

Для замены сертификата следует создать новый сертификат (например, средствами инфраструктуры открытых ключей организации) в формате PKCS#12 и передать его на вход утилиты klsetsrvcert (значения параметров утилиты см. в таблице ниже).

Синтаксис утилиты:

klsetsrvcert [--stp <instid>][-t <type> {-i <inputfile> [-p <password>] [-o <chkopt>] | -g <dnsname>}][-f <time>][-r <calistfile>][-l <logfile>]

Значения параметров утилиты klsetsrvcert

Параметр

Значение

--stp <instid>

Идентификатор экземпляра.

-t <type>

Тип сертификата, который следует заменить. Возможные значения параметра <type>:

  • С – заменить сертификат для портов 13000 и 13291.
  • CR – заменить резервный сертификат для портов 13000 и 13291.
  • M – заменить сертификат для мобильных устройств порта 13292.
  • MR – заменить мобильный резервный сертификат для порта 13292.
  • MCA – мобильный сертификат, полученный от аккредитованного центра сертификации для автоматической генерации пользовательских сертификатов.

-f <time>

Расписание замены сертификата, формата "ДД-ММ-ГГГГ ЧЧ:ММ" (для портов 13000 и 13291).

-i <inputfile>

Контейнер с сертификатом в формате PKCS#12 (файл с расширением p12 или pfx).

-p <password>

Пароль, при помощи которого защищен p12-контейнер с сертификатом.

-o <chkopt>

Параметры проверки сертификата (разделенные точкой с запятой).

-g <dnsname>

Сертификат будет создан с указанным DNS-именем.

-r <calistfile>

Список доверенных корневых сертификатов, подписанных аккредитованным центром сертификации, в формате PEM.

-l <logfile>

Файл вывода результатов. По умолчанию вывод осуществляется в стандартный поток вывода.

См. также:

Требования к пользовательским сертификатам, используемым в Kaspersky Security Center

Основной сценарий установки

В начало