Los siguientes tipos de certificados permiten que los componentes de Kaspersky Security Center interactúen en forma segura:
Los certificados que se utilizan por defecto son autofirmados, es decir, son certificados emitidos por el propio Kaspersky Security Center. Si así lo exigen los requisitos de su red o los estándares de seguridad de su organización, puede reemplazarlos por certificados personalizados. Los certificados personalizados asumen el mismo alcance funcional que los autofirmados una vez que el Servidor de administración ha verificado que cumplen con todos los requisitos. La única diferencia entre las dos clases de certificados es que los personalizados no se renuevan automáticamente al caducar. Para reemplazar un certificado autofirmado por uno personalizado, deberá usar —según el tipo de certificado— la utilidad klsetsrvcert o la Consola de administración (específicamente, en este último caso, la sección de propiedades del Servidor de administración). Los índices de los tipos de certificado que se describen a continuación se basan en los posibles valores del parámetro -t certtype de la utilidad klsetsrvcert:
No necesita descargar la utilidad klsetsrvcert. Esta utilidad se incluye en el kit de distribución de Kaspersky Security Center. No es compatible con versiones anteriores de Kaspersky Security Center.
El período máximo de validez para cualquiera de los certificados del Servidor de administración debe ser de 397 días o menos.
Certificados del Servidor de administración
El certificado del Servidor de administración tiene dos funciones: autenticar el Servidor de administración y permitir que las copias del Agente de red instaladas en los dispositivos administrados interactúen en forma segura con el Servidor de administración. La primera vez que se conecte al Servidor de administración con la Consola de administración, se le pedirá que confirme el uso del certificado del Servidor de administración vigente. Volverá a ver esta solicitud cuando el certificado se reemplace, si reinstala el Servidor de administración o si conecta un Servidor de administración secundario al Servidor de administración principal. El certificado del Servidor de administración se denomina certificado común ("C").
También existe un certificado común de reserva ("CR"). Kaspersky Security Center lo genera en forma automática 90 días antes de que caduque el certificado común. El certificado común de reserva se instala luego, de manera transparente, como nuevo certificado del Servidor de administración. Cuando el certificado común está próximo a caducar, el certificado de reserva se utiliza para mantener la conexión con las copias del Agente de red instaladas en los dispositivos administrados. Para tal fin, el certificado común de reserva se convierte en el nuevo certificado común 24 horas antes de que caduque el original.
Cabe destacar que el certificado del Servidor de administración se puede guardar en una copia de seguridad que no incluya ningún otro ajuste del Servidor. Esta facilidad permite mudar el Servidor de administración de un dispositivo a otro sin perder información.
Certificados para dispositivos móviles
El certificado para dispositivos móviles ("M") permite autenticar el Servidor de administración en los dispositivos móviles. El uso de este certificado se configura a través del Asistente de inicio rápido, que dispone de un paso específico para ello.
También existe un certificado de reserva para dispositivos móviles ("MR"). Se lo utiliza para reemplazar, de manera simple, el certificado para dispositivos móviles. Cuando el certificado para dispositivos móviles está próximo a caducar, el certificado MR se utiliza para mantener la conexión con las instancias del Agente de red instaladas en los dispositivos administrados. Para tal fin, el certificado de reserva para dispositivos móviles se convierte en el nuevo certificado para dispositivos móviles 24 horas antes de que caduque el original.
Si su esquema de conexión exige usar certificados cliente en los dispositivos móviles (para realizar una autenticación SSL bidireccional), debe generarlos utilizando la MCA (la entidad de certificación para certificados de usuario autogenerados). El Asistente de inicio rápido le permitirá comenzar a usar certificados cliente personalizados que hayan sido emitidos por una entidad de certificación diferente. Con la capacidad de integrar la infraestructura de claves públicas (PKI) de su organización, podrá utilizar la entidad de certificación de su dominio para emitir los certificados cliente.
Certificado del Servidor de MDM para iOS
El certificado del Servidor de MDM para iOS se utiliza para realizar la autenticación del Servidor de administración en los dispositivos móviles que utilizan el sistema operativo iOS. La interacción con estos equipos se lleva a cabo mediante un protocolo de administración de dispositivos móviles (MDM) definido por Apple. El mecanismo no requiere utilizar un Agente de red. Lo que se hace, en cambio, es instalar un perfil de MDM para iOS en cada dispositivo; el perfil contiene un certificado cliente, que permite realizar una autenticación SSL bidireccional.
El Asistente de inicio rápido le permitirá comenzar a usar certificados cliente personalizados que hayan sido emitidos por una entidad de certificación diferente. Con la capacidad de integrar la infraestructura de claves públicas (PKI) de su organización, podrá utilizar la entidad de certificación de su dominio para emitir los certificados cliente.
El dispositivo iOS obtiene su certificado cliente al descargar el perfil de MDM para iOS. Cada certificado cliente del Servidor de MDM para iOS es único. Usted genera todos los certificados de cliente del Servidor de MDM para iOS mediante la autoridad de certificación para certificados de usuario generados automáticamente ("MCA").
Certificado del Servidor web
El Servidor web —uno de los componentes del Servidor de administración de Kaspersky Security Center— utiliza un tipo de certificado especial. Este certificado es necesario para publicar paquetes de instalación del Agente de red que posteriormente descargará en dispositivos administrados, así como para publicar perfiles de MDM para iOS, aplicaciones de iOS y paquetes de instalación de Kaspersky Security para dispositivos móviles. El Servidor web puede usar distintos certificados para tal fin.
Si la compatibilidad con dispositivos móviles no está habilitada, el Servidor web usará uno de los siguientes certificados (en orden de prioridad):
Si la compatibilidad con dispositivos móviles está habilitada, el Servidor web usará uno de los siguientes certificados (en orden de prioridad):
Certificado de Kaspersky Security Center 13.1 Web Console
El Servidor de Kaspersky Security Center 13.1 Web Console (en adelante, Web Console) tiene su propio certificado. Cuando abre un sitio web, el navegador verifica si su conexión es fiable. El certificado de la consola web le permite autenticar la consola web y se utiliza para cifrar el tráfico entre el navegador y la consola web.
Cuando abre Web Console, el navegador le informa que la conexión a Web Console no es privada y que el certificado de Web Console no es válido. La advertencia se muestra porque Web Console utiliza un certificado autofirmado, generado automáticamente por Kaspersky Security Center. Para deshacerse de esta advertencia, realice una de las siguientes acciones: