يستخدم Kaspersky Security Center الأنواع التالية من الشهادات لتمكين التفاعل الآمن بين مكونات التطبيق:
بشكل افتراضي، يستخدم Kaspersky Security Center الشهادات الموقعة ذاتيًا (أي الصادرة عن Kaspersky Security Center نفسه)، ولكن يمكنك استبدالها بشهادات مخصصة لتفي بمتطلبات شبكة مؤسستك بشكل أفضل والامتثال لمعايير الأمان. بعد أن يتحقق خادم الإدارة مما إذا كانت الشهادة المخصصة تفي بجميع المتطلبات المعمول بها، تفترض هذه الشهادة نفس النطاق الوظيفي للشهادة الموقعة ذاتيًا. الاختلاف الوحيد هو أن الشهادة المخصصة لا يتم إعادة إصدارها تلقائيًا عند انتهاء الصلاحية. يمكنك استبدال الشهادات بشهادات مخصصة عن طريق الأداة المساعدة klsetsrvcert أو من خلال قسم خصائص خادم الإدارة في وحدة تحكم الإدارة بناءً على نوع الشهادة. تستند فهارس أنواع الشهادات الموضحة أدناه إلى القيم المحتملة للمعامل -t certtype
في الأداة المساعدة klsetsrvcert:
لا تحتاج إلى تنزيل الأداة المساعدة klsetsrvcert. يتم تضمين الأداة المساعدة في مجموعة توزيع Kaspersky Security Center. إنه غير متوافق مع إصدارات Kaspersky Security Center السابقة.
يجب أن تكون فترة الصلاحية القصوى لأي من شهادات خادم الإدارة 397 يومًا أو أقل.
شهادات خادم الإدارة
مطلوب شهادة خادم الإدارة لمصادقة خادم الإدارة، وكذلك للتفاعل الآمن بين خادم الإدارة وعميل الشبكة على الأجهزة المُدارة أو بين خادم الإدارة الأساسي وخوادم الإدارة الثانوية. عند توصيل وحدة تحكم الإدارة بخادم الإدارة لأول مرة، تتم مطالبتك بتأكيد استخدام شهادة خادم الإدارة الحالية. هذا التأكيد مطلوب أيضًا في كل مرة يتم فيها استبدال شهادة خادم الإدارة، بعد كل مرة تعيد تثبيت خادم الإدارة، وعند توصيل خادم الإدارة الثانوي بخادم الإدارة الرئيسي. تسمى هذه الشهادة بالمشتركة ("C").
يتم إنشاء الشهادة العامة ("C") تلقائيًا عند تثبيت مكون خادم الإدارة. وتتكون الشهادة من جزأين:
كما توجد شهادة احتياطية مشتركة ("CR"). يُنشئ Kaspersky Security Center هذه الشهادة تلقائيًا قبل 90 يومًا من انتهاء صلاحية الشهادة المشتركة. تُستخدم الشهادة الاحتياطية المشتركة لاحقًا في الاستبدال السلس لشهادة خادم الإدارة. عندما توشك الشهادة المشتركة على الانتهاء، يتم استخدام الشهادة الاحتياطية المشتركة للحفاظ على الاتصال مع مثيلات عميل الشبكة المثبتة على الأجهزة المدارة. بهذا الغرض، تصبح الشهادة الاحتياطية المشتركة تلقائيًا الشهادة المشتركة الجديدة قبل 24 ساعة من انتهاء صلاحية الشهادة المشتركة القديمة.
يمكنك أيضًا إجراء نسخ احتياطي لشهادة خادم الإدارة بشكل منفصل عن إعدادات خادم الإدارة الأخرى من أجل نقل خادم الإدارة من جهاز إلى آخر دون فقدان البيانات.
شهادات المحمول
مطلوب شهادة المحمول ("M") لمصادقة خادم الإدارة على الأجهزة المحمولة. يمكنك تكوين استخدام شهادة المحمول في الخطوة المخصصة لمعالج البدء السريع.
كما توجد شهادة احتياطية للمحمول ("MR"): يتم استخدامها لاستبدال شهادة خادم الإدارة بسهولة. عندما توشك شهادة المحمول أن تنتهي صلاحيتها، يتم استخدام الشهادة الاحتياطية للمحمول من أجل الحفاظ على الاتصال مع مثيلات عميل الشبكة المثبتة على الأجهزة المحمولة المدارة. بهذا الغرض، تصبح الشهادة الاحتياطية للمحمول بشكلٍ تلقائي الشهادة المشتركة الجديدة قبل 24 ساعة من انتهاء صلاحية الشهادة المشتركة القديمة.
لا يتم دعم إعادة إصدار شهادات الهاتف المحمول تلقائيًا. ونوصي بتحديد شهادة هاتف محمول جديدة عندما توشك صلاحية الشهادة الحالية على الانتهاء. وإذا انتهت صلاحية شهادة الهاتف المحمول ولم يتم تحديد شهادة احتياطية للهاتف المحمول، فسيتم فقدان الاتصال بين خادم الإدارة ومثيلات عميل الشبكة المُثبتة على الأجهزة المحمولة المدارة. وفي هذه الحالة، لإعادة توصيل الأجهزة المحمولة المُدارة، يجب عليك تحديد شهادة هاتف محمول جديدة وإعادة تثبيت Kaspersky Security for Mobile على كل جهاز محمول مُدار.
إذا كان سيناريو الاتصال يتطلب استخدام شهادة العميل على الأجهزة المحمولة (اتصال يتضمن مصادقة ثنائي الاتجاه SSL)، فيمكنك إنشاء هذه الشهادات عن طريق الجهة المعتمدة لشهادات المستخدم التي يتم إنشاؤها تلقائيًا ("MCA"). يمكّنك أيضًا معالج البدء السريع من بدء استخدام شهادات العميل المخصصة الصادرة عن جهة معتمدة مختلفة، بينما يتيح لك التكامل مع مجال البنية التحتية للمفتاح العام (PKI) لمؤسستك إصدار شهادات العميل عن طريق جهة معتمدة للمجال الخاص بك.
شهادة خادم الأجهزة التي تعمل بنظام iOS MDM
مطلوب شهادة خادم الأجهزة المحمولة التي تعمل بنظام iOS MDM لمصادقة خادم الإدارة على الأجهزة المحمولة التي تعمل بنظام التشغيل iOS. يتم إجراء التفاعل مع هذه الأجهزة عبر بروتوكول إدارة الأجهزة المحمولة من Apple (MDM) الذي لا يتضمن أي عميل شبكة. بدلاً من ذلك، تقوم بتثبيت ملف تعريف iOS MDM خاص يحتوي على شهادة العميل على كل جهاز لضمان مصادقة SSL ثنائي الاتجاه.
يمكّنك أيضًا معالج البدء السريع من بدء استخدام شهادات العميل المخصصة الصادرة عن جهة معتمدة مختلفة، بينما يتيح لك التكامل مع مجال البنية التحتية للمفتاح العام (PKI) لمؤسستك إصدار شهادات العميل عن طريق جهة معتمدة للمجال الخاص بك.
يتم إرسال شهادات العميل إلى أجهزة iOS عند تنزيل ملفات تعريف iOS MDM هذه. تعد كل شهادة عميل على خادم الأجهزة المحمولة التي تعمل بنظام iOS MDM فريدة من نوعها. يمكنك إنشاء جميع شهادات العميل لخادم الأجهزة المحمولة التي تعمل بنظام iOS MDM عن طريق الجهة المعتمدة لشهادات المستخدم المُنشأة تلقائيًا ("MCA").
شهادة خادم الويب
يتم استخدام نوع خاص من الشهادات بواسطة خادم الويب، وهو أحد مكونات خادم إدارة Kaspersky Security Center Administration Server. هذه الشهادة مطلوبة لنشر حزم تثبيت عميل الشبكة التي تقوم بتنزيلها بشكل متتابع على الأجهزة المُدارة، وهي مطلوبة كذلك لنشر ملفات تعريف iOS MDM وتطبيقات iOS وحزم تثبيت Kaspersky Security للهاتف. بالنسبة لهذا الغرض، يمكن لخادم الويب استخدام شهادات مختلفة.
إذا تم تعطيل دعم الجهاز المحمول، فسيستخدم خادم الويب إحدى الشهادات التالية حسب ترتيب الأولوية:
إذا تم تمكين دعم الجهاز المحمول، فسيستخدم خادم الويب إحدى الشهادات التالية حسب ترتيب الأولوية:
شهادة Kaspersky Security Center 13 Web Console
يمتلك خادم Kaspersky Security Center 13 Web Console (المشار إليه فيما يلي باسم Web Console) شهادته الخاصة. عند فتح موقع ويب، يتحقق المستعرض مما إذا كان اتصالك موثوقًا به أم لا. تسمح لك شهادة Web Console بمصادقة Web Console وتُستخدم لتشفير حركة المرور بين المستعرض وWeb Console.
عند فتح وحدة تحكم الويب، قد يخبرك المستعرض أن الاتصال بوحدة تحكم الويب ليس خاصًا وأن شهادة وحدة تحكم الويب غير صالحة. يظهر هذا التحذير لأن شهادة Web Console موقعة ذاتيًا ويتم إنشاؤها تلقائيًا بواسطة Kaspersky Security Center. لإزالة هذا التحذير، يمكنك القيام بأحد الإجراءات التالية: