Kaspersky Security Center では、次の種類の証明書を使用することで、製品コンポーネント間の安全な対話を可能にしています。
既定では、Kaspersky Security Center は自己署名証明書(つまり、Kaspersky Security Center 自体によって発行された証明書)を使用しますが、組織のネットワークの要件をより適切に満たし、セキュリティ標準に準拠するために、それらをカスタム証明書に置換することができます。カスタム証明書が該当するすべての要件を満たしているかどうかを管理サーバーが検証し、その後、この証明書は自己署名証明書と同じ機能範囲があると判断されます。唯一の違いは、カスタム証明書は期限切れ時に自動的に再発行されないことです。証明書のタイプに応じて、klsetsrvcert ユーティリティを使用するか、管理コンソールの[管理サーバーのプロパティ]セクションを介して、証明書をカスタム証明書に置き換えます。以下で説明する証明書タイプのインデックスは、klsetsrvcert ユーティリティの -t certtype
パラメータに指定可能な値に基づいています:
klsetsrvcert ユーティリティをダウンロードする必要はありません。Kaspersky Security Center の配布キットに含まれています。Kaspersky Security Center の以前のバージョンとは互換性がありません。
管理サーバー証明書の最大有効期間は 397 日以下である必要があります。
管理サーバー証明書
管理サーバー証明書は、管理サーバーの認証、および管理対象デバイス上の管理サーバーとネットワークエージェント間のセキュアな対話に必要です。管理コンソールと管理サーバーの初回接続時に、現在の管理サーバー証明書の使用の確認が要求されます。このような確認は、管理サーバー証明書を交換するたび、管理サーバーを再インストールするたび、およびセカンダリ管理サーバーをプライマリ管理サーバーに接続する時にも必要です。この証明書は共通(「C」)と呼ばれます。
また、共通予備(「CR」)証明書も存在します。Kaspersky Security Center は、共通証明書の有効期限が切れる 90 日前にこの証明書を自動的に生成します。その後、共通予備証明書を使用して、管理サーバー証明書はシームレスに置換されます。共通証明書の有効期限が近づくと、共通予備証明書を使用して、管理対象デバイスにインストールされているネットワークエージェントインスタンスとの接続が維持されます。この目的で、共通予備証明書は、古い共通証明書の有効期限が切れる 24 時間前に自動的に新しい共通証明書になります。
データを失うことなく管理サーバーをあるデバイスから別のデバイスに移動するために、他の管理サーバー設定とは別に管理サーバー証明書をバックアップすることもできます。
モバイル証明書
モバイルデバイスでの管理サーバーの認証には、モバイル証明書(「M」)が必要です。モバイル証明書の使用は、クイックスタートウィザードの専用の手順で設定します。
また、モバイル予備(「MR」)証明書も存在します。これは、モバイル証明書のシームレスな置換に使用されます。モバイル証明書の有効期限が近づくと、モバイル予備証明書を使用して、管理対象のモバイルデバイスにインストールされているネットワークエージェントインスタンスとの接続が維持されます。この目的で、モバイル予備証明書は、古い証明書の有効期限が切れる 24 時間前に自動的に新しい証明書になります。
接続シナリオで、モバイルデバイスでクライアント証明書を使用する必要がある場合(双方向 SSL 認証を含む接続)、自動生成されたユーザー証明書(「MCA」)の認証局を使用してそれらの証明書を生成します。また、クイックスタートウィザードを使用すると、別の認証局によって発行されたカスタムクライアント証明書の使用を開始できます。一方、組織のドメイン公開鍵インフラストラクチャ(PKI)と統合すると、ドメイン認証局を使用してクライアント証明書を発行できます。
iOS MDM サーバー証明書
iOS オペレーティングシステムで動作しているモバイルデバイスでの管理サーバーの認証には、iOS MDM サーバー証明書が必要です。これらのデバイスとのインタラクションは、ネットワークエージェントを含まない Apple モバイルデバイス管理(MDM)プロトコルを介して実行されます。代わりに、クライアント証明書を含む特別な iOS MDM プロファイルを各デバイスにインストールして、双方向 SSL 認証を保証します。
また、クイックスタートウィザードを使用すると、別の認証局によって発行されたカスタムクライアント証明書の使用を開始できます。一方、組織のドメイン公開鍵インフラストラクチャ(PKI)と統合すると、ドメイン認証局を使用してクライアント証明書を発行できます。
これらの iOS MDM プロファイルをダウンロードすると、クライアント証明書が iOS デバイスに送信されます。各 iOS MDM サーバークライアント証明書は一意です。自動生成されたユーザー証明書(「MCA」)の認証局を使用して、すべての iOS MDM Server クライアント証明書を生成します。
Web サーバーの証明書
特別な種類の証明書は、Kaspersky Security Center 管理サーバーのコンポーネントである Web サーバーによって使用されます。この証明書は、後で管理対象デバイスにダウンロードするネットワークエージェントインストールパッケージの公開、および iOS MDM プロファイル、iOS アプリ、Kaspersky Security for Mobile インストールパッケージの公開に必要です。この目的のために、Web サーバーは様々な証明書を使用できます。
モバイルデバイスのサポートが無効になっている場合、Web サーバーは優先度の高い順に次の証明書のいずれかを使用します:
モバイルデバイスのサポートが有効になっている場合、Web サーバーは優先度の高い順に次の証明書のいずれかを使用します:
Kaspersky Security Center 13.1 Web コンソールの証明書
Kaspersky Security Center 13.1 Web コンソール(以降「Web コンソール」と表記)のサーバーには、独自の証明書があります。Web サイトを開く際に、ブラウザは接続が信頼できるかどうかを確認します。Web コンソール証明書を使用して、Web コンソールを認証できます。この証明書は、ブラウザーと Web コンソールの間のトラフィックの暗号化にも使用されます。
Web コンソールを開くと、ブラウザーから Web コンソールとの接続がプライベートでなく Web コンソールの証明書が無効であると通知される場合があります。この警告は、Web コンソールの証明書が自己署名で、Kaspersky Security Center によって自動で生成されているために表示されます。この警告が表示されないようにするには、次の操作のうち 1 つを実行します: