Über die Zertifikate von Kaspersky Security Center

Um eine sichere Interaktion zwischen den Komponenten des Programms zu ermöglichen, verwendet Kaspersky Security Center die folgenden Arten von Zertifikaten:

Standardmäßig verwendet Kaspersky Security Center selbstsignierte Zertifikate (d.h., sie werden von Kaspersky Security Center selbst ausgestellt). Sie können diese jedoch durch benutzerdefinierte Zertifikate ersetzen, um den Sicherheitsanforderungen Ihres Unternehmensnetzwerks sowie Sicherheitsstandards besser zu entsprechen. Nachdem der Administrationsserver sichergestellt hat, dass das benutzerdefinierte Zertifikat alle notwendigen Anforderungen erfüllt, nimmt das Zertifikat den gleichen Funktionsumfang wie ein selbstsigniertes Zertifikat an. Der einzige Unterschied besteht darin, dass ein benutzerdefiniertes Zertifikat nach dessen Ablauf nicht automatisch neu ausgestellt wird. Zertifikate können durch benutzerdefinierte Zertifikate ersetzt werden, indem Sie entweder das Dienstprogramm klsetsrvcert verwenden, oder in Abhängigkeit des Zertifikat-Typs den Abschnitt "Eigenschaften des Administrationsservers" in der Verwaltungskonsole verwenden. Die Indizes der unten beschriebenen Zertifikat-Typen basieren auf den möglichen Werten des Parameters -t certtype des Tools "klsetsrvcert":

Sie müssen das Dienstprogramm klsetsrvcert nicht herunterladen. Dieses Tool gehört zum Programmpaket von Kaspersky Security Center. Es ist nicht mit früheren Versionen von Kaspersky Security Center kompatibel.

Zertifikate des Administrationsservers

Das Zertifikat des Administrationsservers wird zur Authentifizierung des Administrationsservers und zur sicheren Interaktion zwischen dem Administrationsserver und dem Administrationsagenten auf verwalteten Geräten verwendet. Wenn Sie die Verwaltungskonsole mit dem Administrationsserver verbinden, werden Sie dazu aufgefordert, die Verwendung des aktuellen Zertifikats des Administrationsservers zu bestätigen. Außerdem ist eine derartige Bestätigung jedes Mal notwendig, wenn das Zertifikat des Administrationsservers ersetzt wird, wenn der Administrationsserver neu installiert wurde und wenn ein sekundärer Administrationsserver mit dem primären Administrationsserver verbunden wird. Dieses Zertifikat wird als gewöhnliches Zertifikat (common - "C") bezeichnet.

Es existiert außerdem ein gewöhnliches Reservezertifikat ("CR"). Kaspersky Security Center generiert dieses Zertifikat 90 Tage vor Ablauf des gewöhnlichen Zertifikats automatisch. Das gewöhnliche Reservezertifikat wird daraufhin für das nahtlose Ersetzen des Zertifikats des Administrationsservers verwendet. Wenn das gewöhnliche Zertifikat im Begriff ist abzulaufen, wird das gewöhnliche Reservezertifikat verwendet, um die Verbindung mit den Instanzen der Administrationsagenten auf den verwalteten Geräten aufrecht zu erhalten. Aus diesem Grund wird 24 Stunden vor Ablauf des alten gewöhnlichen Zertifikates das gewöhnliche Reservezertifikat automatisch zum neuen gewöhnlichen Zertifikat.

Außerdem können Sie für das Zertifikat des Administrationsservers eine Sicherungskopie, die von anderen Einstellungen des Administrationsservers separiert ist, erstellen, um so den Administrationsserver ohne Datenverlust von einem Gerät auf ein anderes verlegen zu können.

Mobile Zertifikate

Ein mobiles Zertifikat (mobile - "M") wird für die Authentifizierung des Administrationsservers auf mobilen Geräten verwendet. Sie können die Verwendung des mobilen Zertifikats in einem dafür vorgesehenen Schritt des Schnellstartassistenten konfigurieren.

Es existiert außerdem ein mobiles Reservezertifikat ("MR"): Dieses wird für das nahtlose Ersetzen des mobilen Zertifikats verwendet. Wenn das mobile Zertifikat dabei ist abzulaufen, wird das mobile Reservezertifikat verwendet, um die Verbindung mit den Instanzen der Administrationsagenten auf den verwalteten mobilen Geräten aufrecht zu erhalten. Aus diesem Grund wird 24 Stunden vor Ablauf des alten mobilen Zertifikates das mobile Reservezertifikat automatisch zum neuen mobilen Zertifikat.

Wenn Sie für Ihr Verbindungsszenario Client-Zertifikate auf den mobilen Geräten benötigen (für Verbindungen unter Verwendung von Two-Way SSL), können Sie diese Zertifikate unter Verwendung der Zertifizierungsstelle für automatisch generierte Benutzerzertifikate (Mobile Certificate Authority -"MCA") erstellen. Außerdem ermöglicht Ihnen der Schnellstartassistent die umgehende Verwendung von benutzerdefinierten Zertifikaten, die von einer anderen Zertifizierungsstelle ausgestellt wurden, während die Integration mit der Domain Public Key Infrastructure (PKI) Ihrer Organisation es Ihnen ermöglicht, Client-Zertifikate durch Ihre Domain-Zertifizierungsstelle auszustellen.

Zertifikat des iOS MDM-Servers

Das Zertifikat des iOS MDM-Servers wird für die Authentifizierung des Administrationsservers auf mobilen Geräten mit iOS-Betriebssystem benötigt. Die Interaktion mit diesen Geräten wird mittels Apple's Mobile Device Management (MDM)-Protokoll ausgeführt, welches keine Administrationsagenten einbezieht. Stattdessen installieren Sie auf jedem Gerät ein spezielles iOS MDM-Profil, welches ein Client-Zertifikat enthält, um eine Two-Way SSL-Authentifizierung sicherzustellen.

Außerdem ermöglicht Ihnen der Schnellstartassistent die umgehende Verwendung von benutzerdefinierten Zertifikaten, die von einer anderen Zertifizierungsstelle ausgestellt wurden, während die Integration mit der Domain Public Key Infrastructure (PKI) Ihrer Organisation es Ihnen ermöglicht, Client-Zertifikate durch Ihre Domain-Zertifizierungsstelle auszustellen.

Die Client-Zertifikate werden auf iOS-Geräte übertragen, wenn Sie diese iOS MDM-Profile herunterladen. Jedes Client-Zertifikat eines iOS MDM-Servers ist einzigartig. Sie erstellen alle Client-Zertifikate eines iOS MDM-Servers unter Verwendung der Zertifizierungsstelle für automatisch generierte Benutzerzertifikate (Mobile Certificate Authority -"MCA").

Zertifikat des Webservers

Die Webserver-Komponente des Kaspersky Security Center Administrationsservers verwendet eine spezielle Art von Zertifikat. Dieses Zertifikat wird für die Veröffentlichung von Installationspaketen des Administrationsagenten benötigt, die Sie anschließend auf Ihre verwalteten Geräte herunterladen, sowie für die Veröffentlichung von iOS MDM-Profilen, iOS-Apps und Kaspersky Security for Mobile-Installationspakete. Aus diesem Grund kann der Webserver verschiedene Zertifikate verwenden.

Wenn die Unterstützung von mobilen Geräten deaktiviert ist, verwendet der Webserver eins der folgenden Zertifikate, gegliedert nach Priorität:

  1. Benutzerdefiniertes Zertifikat des Webservers, welches Sie manuell in der Verwaltungskonsole angegeben haben
  2. Gewöhnliches Zertifikate des Administrationsservers ("C")

Wenn die Unterstützung von mobilen Geräten aktiviert ist, verwendet der Webserver eins der folgenden Zertifikate, gegliedert nach Priorität:

  1. Benutzerdefiniertes Zertifikat des Webservers, welches Sie manuell in der Verwaltungskonsole angegeben haben
  2. Benutzerdefiniertes mobiles Zertifikat
  3. Selbstsigniertes mobiles Zertifikat ("M")
  4. Gewöhnliches Zertifikate des Administrationsservers ("C")

Siehe auch:

Anforderungen an benutzerdefinierte Zertifikate für deren Verwendung in Kaspersky Security Center

Szenario: Angeben des benutzerdefinierten Zertifikats des Administrationsservers

Hauptinstallationsszenario

Authentifizierung des Administrationsservers beim Verbindungsaufbau mit der Verwaltungskonsole

Hierarchie der Administrationsserver: primärer Administrationsserver und sekundärer Administrationsserver

Daten im interaktiven Modus sichern, kopieren und wiederherstellen

Arbeiten mit Zertifikaten

Der Schnellstartassistent für den Administrationsserver

Mobiles iOS-Gerät zur Liste der verwalteten Geräte hinzufügen

Ein iOS MDM-Profil mittels Zertifikat signieren

Webserver

Nach oben