Um eine sichere Interaktion zwischen den Komponenten des Programms zu ermöglichen, verwendet Kaspersky Security Center die folgenden Arten von Zertifikaten:
Standardmäßig verwendet Kaspersky Security Center selbstsignierte Zertifikate (d.h., sie werden von Kaspersky Security Center selbst ausgestellt). Sie können diese jedoch durch benutzerdefinierte Zertifikate ersetzen, um den Sicherheitsanforderungen Ihres Unternehmensnetzwerks sowie Sicherheitsstandards besser zu entsprechen. Nachdem der Administrationsserver sichergestellt hat, dass das benutzerdefinierte Zertifikat alle notwendigen Anforderungen erfüllt, nimmt das Zertifikat den gleichen Funktionsumfang wie ein selbstsigniertes Zertifikat an. Der einzige Unterschied besteht darin, dass ein benutzerdefiniertes Zertifikat nach dessen Ablauf nicht automatisch neu ausgestellt wird. Zertifikate können durch benutzerdefinierte Zertifikate ersetzt werden, indem Sie entweder das Dienstprogramm klsetsrvcert verwenden, oder in Abhängigkeit des Zertifikat-Typs den Abschnitt "Eigenschaften des Administrationsservers" in der Verwaltungskonsole verwenden. Die im Folgenden beschriebenen Indizes für die Zertifikatstypen basieren auf den möglichen Werten des Parameters -t certtype des Tools klsetsrvcert:
Sie müssen das Dienstprogramm klsetsrvcert nicht herunterladen. Dieses Tool gehört zum Programmpaket von Kaspersky Security Center. Es ist nicht mit früheren Versionen von Kaspersky Security Center kompatibel.
Die maximale Gültigkeitsdauer für jedes Zertifikat des Administrationsservers beträgt 397 Tage.
Zertifikate des Administrationsservers
Das Zertifikat des Administrationsservers wird zur Authentifizierung des Administrationsservers und zur sicheren Interaktion zwischen dem Administrationsserver und dem Administrationsagenten auf verwalteten Geräten oder zwischen dem primären Administrationsserver und den sekundären Administrationsservern verwendet. Wenn Sie die Verwaltungskonsole mit dem Administrationsserver verbinden, werden Sie dazu aufgefordert, die Verwendung des aktuellen Zertifikats des Administrationsservers zu bestätigen. Außerdem ist eine derartige Bestätigung jedes Mal notwendig, wenn das Zertifikat des Administrationsservers ersetzt wird, wenn der Administrationsserver neu installiert wurde und wenn ein sekundärer Administrationsserver mit dem primären Administrationsserver verbunden wird. Dieses Zertifikat wird als gemeinsames Zertifikat (common - "C") bezeichnet.
Das gemeinsame Zertifikat ("C") wird bei der Installation des Administrationsservers automatisch erstellt. Das Zertifikat besteht aus zwei Teilen:
Es existiert außerdem ein gemeinsames Reservezertifikat ("CR"). Kaspersky Security Center generiert dieses Zertifikat 90 Tage vor Ablauf des gemeinsamen Zertifikats automatisch. Das gemeinsame Reservezertifikat wird daraufhin für das nahtlose Ersetzen des Zertifikats des Administrationsservers verwendet. Wenn das gemeinsame Zertifikat im Begriff ist abzulaufen, wird das gemeinsame Reservezertifikat verwendet, um die Verbindung mit den Instanzen der Administrationsagenten auf den verwalteten Geräten aufrecht zu erhalten. Aus diesem Grund wird 24 Stunden vor Ablauf des alten gemeinsame Zertifikates das gemeinsame Reservezertifikat automatisch zum neuen gemeinsamen Zertifikat.
Außerdem können Sie für das Zertifikat des Administrationsservers eine Sicherungskopie, die von anderen Einstellungen des Administrationsservers separiert ist, erstellen, um so den Administrationsserver ohne Datenverlust von einem Gerät auf ein anderes verlegen zu können.
Mobilgerät-Zertifikate
Ein Mobilgerät-Zertifikat (mobile - "M") wird für die Authentifizierung des Administrationsservers auf mobilen Geräten verwendet. Sie können die Verwendung des Mobilgerät-Zertifikat in einem dafür vorgesehenen Schritt des Schnellstartassistenten konfigurieren.
Es existiert außerdem ein Mobilgerät-Reservezertifikat ("MR"): Dieses wird für das nahtlose Ersetzen des mobilen Zertifikats verwendet. Wenn das Mobilgerät-Zertifikat dabei ist abzulaufen, wird das Mobilgerät-Reservezertifikat verwendet, um die Verbindung mit den Instanzen der Administrationsagenten auf den verwalteten mobilen Geräten aufrecht zu erhalten. Aus diesem Grund wird 24 Stunden vor Ablauf des alten Mobilgerät-Zertifikats das Mobilgerät-Reservezertifikat automatisch zum neuen mobilen Zertifikat.
Das automatische Neuausstellen von Mobilgerät-Zertifikaten wird nicht unterstützt. Es wird empfohlen, ein neues Mobilgerät-Zertifikat anzugeben, wenn das vorhandene abläuft. Wenn das Mobilgerät-Zertifikat abläuft und kein Mobilgerät-Reservezertifikat angegeben ist, wird die Verbindung zwischen dem Administrationsserver und den Instanzen des Administrationsagenten, die auf den verwalteten mobilen Geräten installiert sind, unterbrochen. Um die verwalteten Mobilgeräte erneut zu verbinden, müssen Sie in diesem Fall ein neues Mobilgeräte-Zertifikat angeben und Kaspersky Security für mobile Endgeräte auf jedem verwalteten Mobilgerät erneut installieren.
Wenn Sie für Ihr Verbindungsszenario Client-Zertifikate auf den mobilen Geräten benötigen (für Verbindungen unter Verwendung von Two-Way SSL), können Sie diese Zertifikate unter Verwendung der Zertifizierungsstelle für automatisch generierte Benutzerzertifikate (Mobile Certificate Authority -"MCA") erstellen. Außerdem ermöglicht Ihnen der Schnellstartassistent die umgehende Verwendung von benutzerdefinierten Zertifikaten, die von einer anderen Zertifizierungsstelle ausgestellt wurden, während die Integration mit der Domain Public Key Infrastructure (PKI) Ihrer Organisation es Ihnen ermöglicht, Client-Zertifikate durch Ihre Domain-Zertifizierungsstelle auszustellen.
Zertifikat des iOS MDM-Servers
Das Zertifikat des iOS MDM-Servers wird für die Authentifizierung des Administrationsservers auf mobilen Geräten mit iOS-Betriebssystem benötigt. Die Interaktion mit diesen Geräten wird mittels Apple's Mobile Device Management (MDM)-Protokoll ausgeführt, welches keine Administrationsagenten einbezieht. Stattdessen installieren Sie auf jedem Gerät ein spezielles iOS MDM-Profil, welches ein Client-Zertifikat enthält, um eine Two-Way SSL-Authentifizierung sicherzustellen.
Außerdem ermöglicht Ihnen der Schnellstartassistent die umgehende Verwendung von benutzerdefinierten Zertifikaten, die von einer anderen Zertifizierungsstelle ausgestellt wurden, während die Integration mit der Domain Public Key Infrastructure (PKI) Ihrer Organisation es Ihnen ermöglicht, Client-Zertifikate durch Ihre Domain-Zertifizierungsstelle auszustellen.
Die Client-Zertifikate werden auf iOS-Geräte übertragen, wenn Sie diese iOS MDM-Profile herunterladen. Jedes Client-Zertifikat eines iOS MDM Servers ist eindeutig. Sie erstellen alle Client-Zertifikate eines iOS MDM-Servers unter Verwendung der Zertifizierungsstelle für automatisch generierte Benutzerzertifikate (Mobile Certificate Authority -"MCA").
Zertifikat des Webservers
Die Webserver-Komponente des Kaspersky Security Center Administrationsservers verwendet eine spezielle Art von Zertifikat. Dieses Zertifikat wird für die Veröffentlichung von Installationspaketen des Administrationsagenten benötigt, die Sie anschließend auf Ihre verwalteten Geräte herunterladen, sowie für die Veröffentlichung von iOS MDM-Profilen, iOS-Apps und Kaspersky Security for Mobile-Installationspakete. Aus diesem Grund kann der Webserver verschiedene Zertifikate verwenden.
Wenn die Unterstützung von mobilen Geräten deaktiviert ist, verwendet der Webserver eins der folgenden Zertifikate, gegliedert nach Priorität:
Wenn die Unterstützung von mobilen Geräten aktiviert ist, verwendet der Webserver eins der folgenden Zertifikate, gegliedert nach Priorität:
Zertifikat der Kaspersky Security Center 13 Web Console
Der Server der Kaspersky Security Center 13 Web Console (im Folgenden als Web Console bezeichnet) verfügt über ein eigenes Zertifikat. Wenn Sie eine Website öffnen, überprüft ein Browser, ob Ihre Verbindung vertrauenswürdig ist. Das Zertifikat der Web Console ermöglicht Ihnen die Authentifizierung der Web Console und wird verwendet, um den Datenverkehr zwischen einem Browser und der Web Console zu verschlüsseln.
Wenn Sie die Web Console öffnen, informiert Sie der Browser möglicherweise darüber, dass die Verbindung zur Web Console nicht privat und das Zertifikat der Web Console ungültig ist. Diese Warnung wird angezeigt, weil das Zertifikat der Web Console selbstsigniert ist und von Kaspersky Security Center automatisch generiert wird. Um diese Warnung zu vermeiden, können Sie Folgendes tun: