Acerca de los certificados de Kaspersky Security Center

Los siguientes tipos de certificados permiten que los componentes de Kaspersky Security Center interactúen en forma segura:

Los certificados que se utilizan por defecto son autofirmados, es decir, son certificados emitidos por el propio Kaspersky Security Center. Si así lo exigen los requisitos de su red o los estándares de seguridad de su organización, puede reemplazarlos por certificados personalizados. Los certificados personalizados asumen el mismo alcance funcional que los autofirmados una vez que el Servidor de administración ha verificado que cumplen con todos los requisitos. La única diferencia entre las dos clases de certificados es que los personalizados no se renuevan automáticamente al caducar. Para reemplazar un certificado autofirmado por uno personalizado, deberá usar —según el tipo de certificado— la utilidad klsetsrvcert o la Consola de administración (específicamente, en este último caso, la sección de propiedades del Servidor de administración). Los índices de los tipos de certificado que se describen a continuación se basan en los posibles valores del parámetro -t certtype de la utilidad klsetsrvcert:

No necesita descargar la utilidad klsetsrvcert. Esta utilidad se incluye en el kit de distribución de Kaspersky Security Center. No es compatible con versiones anteriores de Kaspersky Security Center.

Certificados del Servidor de administración

El certificado del Servidor de administración tiene dos funciones: autenticar el Servidor de administración y permitir que las copias del Agente de red instaladas en los dispositivos administrados interactúen en forma segura con el Servidor de administración. La primera vez que se conecte al Servidor de administración con la Consola de administración, se le pedirá que confirme el uso del certificado del Servidor de administración vigente. Volverá a ver esta solicitud cuando el certificado se reemplace, si reinstala el Servidor de administración o si conecta un Servidor de administración secundario al Servidor de administración principal. El certificado del Servidor de administración se denomina certificado común ("C").

También existe un certificado común de reserva ("CR"). Kaspersky Security Center lo genera en forma automática 90 días antes de que caduque el certificado común. El certificado común de reserva se instala luego, de manera transparente, como nuevo certificado del Servidor de administración. Cuando el certificado común está próximo a caducar, el certificado de reserva se utiliza para mantener la conexión con las copias del Agente de red instaladas en los dispositivos administrados. Para tal fin, el certificado común de reserva se convierte en el nuevo certificado común 24 horas antes de que caduque el original.

Cabe destacar que el certificado del Servidor de administración se puede guardar en una copia de seguridad que no incluya ningún otro ajuste del Servidor. Esta facilidad permite mudar el Servidor de administración de un dispositivo a otro sin perder información.

Certificados para dispositivos móviles

El certificado para dispositivos móviles ("M") permite autenticar el Servidor de administración en los dispositivos móviles. El uso de este certificado se configura a través del Asistente de inicio rápido, que dispone de un paso específico para ello.

También existe un certificado de reserva para dispositivos móviles ("MR"). Se lo utiliza para reemplazar, de manera simple, el certificado para dispositivos móviles. Cuando el certificado para dispositivos móviles está próximo a caducar, el certificado MR se utiliza para mantener la conexión con las instancias del Agente de red instaladas en los dispositivos administrados. Para tal fin, el certificado de reserva para dispositivos móviles se convierte en el nuevo certificado para dispositivos móviles 24 horas antes de que caduque el original.

Si su esquema de conexión exige usar certificados cliente en los dispositivos móviles (para realizar una autenticación SSL bidireccional), debe generarlos utilizando la MCA (la entidad de certificación para certificados de usuario autogenerados). El Asistente de inicio rápido le permitirá comenzar a usar certificados cliente personalizados que hayan sido emitidos por una entidad de certificación diferente. Con la capacidad de integrar la infraestructura de claves públicas (PKI) de su organización, podrá utilizar la entidad de certificación de su dominio para emitir los certificados cliente.

Certificado del Servidor de MDM para iOS

El certificado del Servidor de MDM para iOS se utiliza para realizar la autenticación del Servidor de administración en los dispositivos móviles que utilizan el sistema operativo iOS. La interacción con estos equipos se lleva a cabo mediante un protocolo de administración de dispositivos móviles (MDM) definido por Apple. El mecanismo no requiere utilizar un Agente de red. Lo que se hace, en cambio, es instalar un perfil de MDM para iOS en cada dispositivo; el perfil contiene un certificado cliente, que permite realizar una autenticación SSL bidireccional.

El Asistente de inicio rápido le permitirá comenzar a usar certificados cliente personalizados que hayan sido emitidos por una entidad de certificación diferente. Con la capacidad de integrar la infraestructura de claves públicas (PKI) de su organización, podrá utilizar la entidad de certificación de su dominio para emitir los certificados cliente.

El dispositivo iOS obtiene su certificado cliente al descargar el perfil de MDM para iOS. Cada certificado cliente del Servidor de MDM para iOS es único. Usted genera todos los certificados de cliente del Servidor de MDM para iOS mediante la autoridad de certificación para certificados de usuario generados automáticamente ("MCA").

Certificado del Servidor web

El Servidor web —uno de los componentes del Servidor de administración de Kaspersky Security Center— utiliza un tipo de certificado especial. Este certificado es necesario para publicar paquetes de instalación del Agente de red que posteriormente descargará en dispositivos administrados, así como para publicar perfiles de MDM para iOS, aplicaciones de iOS y paquetes de instalación de Kaspersky Security para dispositivos móviles. El Servidor web puede usar distintos certificados para tal fin.

Si la compatibilidad con dispositivos móviles no está habilitada, el Servidor web usará uno de los siguientes certificados (en orden de prioridad):

  1. certificado personalizado, elegido manualmente para el Servidor web a través de la Consola de administración
  2. certificado común del Servidor de administración ("C")

Si la compatibilidad con dispositivos móviles está habilitada, el Servidor web usará uno de los siguientes certificados (en orden de prioridad):

  1. certificado personalizado, elegido manualmente para el Servidor web a través de la Consola de administración
  2. Certificado para dispositivos móviles personalizado
  3. certificado para dispositivos móviles autofirmado ("M")
  4. certificado común del Servidor de administración ("C")

Consulte también:

Requisitos para los certificados personalizados utilizados en Kaspersky Security Center

Escenario de instalación principal

Autenticación del Servidor de administración durante la conexión de la Consola de administración

Jerarquía de Servidores de administración: Servidor de administración principal y Servidor de administración secundario

Copia de seguridad y recuperación de datos en modo interactivo

Trabajar con certificados de dispositivos móviles

Asistente de inicio rápido del Servidor de administración

Adición de dispositivos móviles iOS a la lista de dispositivos administrados

Firmar un perfil de MDM para iOS mediante un certificado

Servidor web

Principio de página