Szenario: Angeben des benutzerdefinierten Zertifikats des Administrationsservers

Sie können das benutzerdefinierte Zertifikat des Administrationsservers beispielsweise für eine bessere Integration in die vorhandene Public-Key-Infrastruktur (PKI) Ihres Unternehmens oder für eine benutzerdefinierte Konfiguration der Zertifikatfelder angeben. Es ist zweckmäßig, das Zertifikat sofort nach der Installation des Administrationsservers vor dem Abschluss des Schnellstartassistenten zu ersetzen.

Die maximale Gültigkeitsdauer für jedes der Zertifikate des Administrationsservers darf bis zu 397 Tage betragen.

Erforderliche Komponenten

Das neue Zertifikat muss im PKCS#12-Format erstellt werden (z. B. mittels PKI der Organisation) und von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt werden. Außerdem muss das neue Zertifikat die gesamte Vertrauenskette und einen privaten Schlüssel enthalten, welcher in der Datei mit der pfx- oder p12-Erweiterung gespeichert werden muss. Für das neue Zertifikat müssen die in der folgenden Tabelle aufgeführten Voraussetzungen erfüllt sein.

Voraussetzungen für die Zertifikate des Administrationsservers

Typ des Zertifikats

Voraussetzungen

Gewöhnliches Zertifikat, gewöhnliches Reservezertifikat ("C", "CR")

Minimale Schlüssellänge: 2048

Basic constraints:

  • CA: true
  • Path Length Constraint: None

    Der Wert von Path Length Constraint kann eine von "None" abweichende Integer-Zahl sein, aber darf nicht kleiner als "1" sein.

Schlüsselverwendung:

  • Digital signature
  • Certificate signing
  • Key encipherment
  • CRL Signing

Extended Key Usage (EKU): Serverauthentifizierung und Clientauthentifizierung. Die EKU ist optional, aber wenn Ihr Zertifikat diese enthält, müssen die Authentifizierungsdaten für Server und Client in der EKU angegeben werden.

Mobiles Zertifikat, mobiles Reservezertifikat ("M", "MR")

Minimale Schlüssellänge: 2048

Basic constraints:

  • CA: true
  • Path Length Constraint: None

    Der Wert von Path Length Constraint kann eine von "None" abweichende Integer-Zahl sein, wenn der Wert von Path Length Constraint des Common Certificates nicht kleiner als "1" ist.

Schlüsselverwendung:

  • Digital signature
  • Certificate signing
  • Verschlüsselung des Schlüssels
  • CRL Signing

Extended Key Usage (EKU): Serverauthentifizierung. Die EKU ist optional, aber wenn Ihr Zertifikat diese enthält, müssen die Authentifizierungsdaten des Servers in der EKU angegeben werden.

CA-Zertifikat für automatisch generierte Benutzerzertifikate ("MCA")

Minimale Schlüssellänge: 2048

Basic constraints:

  • CA: true
  • Path Length Constraint: None

    Der Wert von Path Length Constraint kann eine von "None" abweichende Integer-Zahl sein, wenn der Wert von Path Length Constraint des Common Certificates nicht kleiner als "1" ist.

Schlüsselverwendung:

  • Digital signature
  • Certificate signing
  • Verschlüsselung des Schlüssels
  • CRL Signing

Extended Key Usage (EKU): Clientauthentifizierung. Die EKU ist optional, aber wenn Ihr Zertifikat diese enthält, müssen die Authentifizierungsdaten des Clients in der EKU angegeben werden.

Von einer öffentlichen Zertifizierungsstelle ausgestellte Zertifikate verfügen nicht über die Berechtigung zum Signieren von Zertifikaten. Um solche Zertifikate zu verwenden, stellen Sie sicher, dass Sie den Administrationsagenten ab Version 13 auf den Verteilungspunkten oder Verbindungsgateways in Ihrem Netzwerk installiert haben. Andernfalls können Sie Zertifikate ohne die Berechtigung zum Signieren nicht verwenden.

Schritte

Das Angeben des Zertifikats des Administrationsservers erfolgt schrittweise:

  1. Ersetzen des Zertifikat des Administrationsservers

    Verwenden Sie dafür das Befehlszeilendienstprogramm klsetsrvcert.

  2. Angeben eines neuen Zertifikats und Wiederherstellen der Verbindung der Administrationsagenten zum Administrationsserver

    Wenn das Zertifikat ersetzt wird, verlieren alle Administrationsagenten, die zuvor mittels SSL mit Administrationsserver verbunden waren, die Verbindung zum Server und geben den Fehler "Fehler bei der Authentifizierung des Administrationsservers" zurück. Verwenden Sie das Befehlszeilendienstprogramm klmover, um das neue Zertifikat zu spezifizieren und die Verbindung wiederherzustellen.

  3. Angeben eines neuen Zertifikats in den Einstellungen der Kaspersky Security Center 13.2 Web Console

    Nachdem Sie das Zertifikat ersetzt haben, müssen Sie es in den Einstellungen der Kaspersky Security Center 13.2 Web Console angeben. Andernfalls kann die Kaspersky Security Center 13.2 Web Console keine Verbindung zum Administrationsserver herstellen.

Ergebnisse

Wenn Sie das Szenario abgeschlossen haben, wurde das Zertifikat des Administrationsservers ersetzt und der Server wurde durch Administrationsagenten auf den Client-Geräten authentifiziert.

Siehe auch:

Über die Zertifikate von Kaspersky Security Center

Über das Zertifikat des Administrationsservers

Anforderungen an benutzerdefinierte Zertifikate für deren Verwendung in Kaspersky Security Center

Hauptinstallationsszenario

Nach oben