例如,您可以分配自定义管理服务器证书,以便更好地与贵司的现有公钥基础结构 (PKI) 集成,或自定义配置证书字段。最好在安装管理服务器后,快速启动向导完成之前立即替换证书。
任何管理服务器证书的最长有效期必须为 397 天或更短。
先决条件
新证书必须以 PKCS#12 格式创建(例如,通过组织的 PKI),并且必须由受信任的证书颁发机构 (CA) 颁发。此外,新证书必须包含整个信任链和私钥,该私钥必须存储在扩展名为 pfx 或 p12 的文件中。对于新证书,必须满足下表中列出的要求。
管理服务器证书的要求
证书类别 |
要求 |
---|---|
普通证书,普通备用证书(“C”,“CR”) |
最小密钥长度:2048 基本限制:
密钥用法:
扩展密钥用法 (EKU):服务器身份验证,客户端身份验证。EKU 可选,但如果您的证书包含它,则必须在 EKU 中指定服务器和客户端身份验证数据。 |
移动证书,移动备用证书(“M”,“MR”) |
最小密钥长度:2048 基本限制:
密钥用法:
扩展密钥用法 (EKU):服务器身份验证。EKU 可选,但如果您的证书包含它,则必须在 EKU 中指定服务器身份验证数据。 |
自动生成的用户证书的证书 CA(“MCA”) |
最小密钥长度:2048 基本限制:
密钥用法:
扩展密钥用法 (EKU):客户端身份验证。EKU 可选,但如果您的证书包含它,则必须在 EKU 中指定客户端身份验证数据。 |
公共 CA 颁发的证书没有证书签名权限。要使用此类证书,请确保您在网络中的分发点或连接网关上安装了网络代理版本 13 或更高版本。否则,您将无法在没有签名权限的情况下使用证书。
阶段
指定管理服务器证书分阶段进行:
为此目的使用命令行 klsetsrvcert utility。
当证书被替换时,所有先前通过 SSL 连接到管理服务器的网络代理将丢失它们的连接,并返回“管理服务器身份验证错误。”要指定新证书和恢复连接,使用命令行 klmover utility。
更换证书后,在 Kaspersky Security Center 13.2 Web Console 的设置中指定证书。否则,Kaspersky Security Center 13.2 Web Console 将无法连接到管理服务器。
结果
当您结束场景时,管理服务器证书被替换,且服务器得到受管理设备上的网络代理验证。