Los siguientes tipos de certificados permiten que los componentes de Kaspersky Security Center interactúen en forma segura:
Los certificados que se utilizan por defecto son autofirmados, es decir, son certificados emitidos por el propio Kaspersky Security Center. Si así lo exigen los requisitos de su red o los estándares de seguridad de su organización, puede reemplazarlos por certificados personalizados. Los certificados personalizados asumen el mismo alcance funcional que los autofirmados una vez que el Servidor de administración ha verificado que cumplen con todos los requisitos. La única diferencia entre las dos clases de certificados es que los personalizados no se renuevan automáticamente al caducar. Puede reemplazar los certificados autofirmados por personalizados mediante la utilidad klsetsrvcert o mediante la sección de propiedades del Servidor de administración en la Consola de administración, según el tipo de certificado. Los índices de los tipos de certificado descritos a continuación se basan en los posibles valores del parámetro -t certtype
en la utilidad klsetsrvcert:
No necesita descargar la utilidad klsetsrvcert. Esta utilidad se incluye en el kit de distribución de Kaspersky Security Center. No es compatible con versiones anteriores de Kaspersky Security Center.
El período máximo de validez para cualquiera de los certificados del Servidor de administración debe ser de 397 días o menos.
Certificados del Servidor de administración
Se requiere un certificado del Servidor de administración para autenticar el Servidor de administración, así como para la interacción segura entre el Servidor de administración y el Agente de red en los dispositivos administrados o entre el Servidor de administración principal y los Servidores de administración secundarios. La primera vez que se conecte al Servidor de administración con la Consola de administración, se le pedirá que confirme el uso del certificado del Servidor de administración vigente. Volverá a ver esta solicitud cuando el certificado se reemplace, si reinstala el Servidor de administración o si conecta un Servidor de administración secundario al Servidor de administración principal. El certificado del Servidor de administración se denomina certificado común ("C").
El certificado común ("C") se crea automáticamente cuando se instala el componente del Servidor de administración. El certificado consta de dos partes:
También existe un certificado común de reserva ("CR"). Kaspersky Security Center lo genera en forma automática 90 días antes de que caduque el certificado común. El certificado común de reserva se instala luego, de manera transparente, como nuevo certificado del Servidor de administración. Cuando el certificado común está próximo a caducar, el certificado de reserva se utiliza para mantener la conexión con las copias del Agente de red instaladas en los dispositivos administrados. Para tal fin, el certificado común de reserva se convierte en el nuevo certificado común 24 horas antes de que caduque el original.
Cabe destacar que el certificado del Servidor de administración se puede guardar en una copia de seguridad que no incluya ningún otro ajuste del Servidor. Esta facilidad permite mudar el Servidor de administración de un dispositivo a otro sin perder información.
Certificados para dispositivos móviles
El certificado para dispositivos móviles ("M") permite autenticar el Servidor de administración en los dispositivos móviles. El uso de este certificado se configura a través del Asistente de inicio rápido, que dispone de un paso específico para ello.
También existe un certificado de reserva para dispositivos móviles ("MR"). Se lo utiliza para reemplazar, de manera simple, el certificado para dispositivos móviles. Cuando el certificado para dispositivos móviles está próximo a caducar, el certificado MR se utiliza para mantener la conexión con las instancias del Agente de red instaladas en los dispositivos administrados. Para tal fin, el certificado de reserva para dispositivos móviles se convierte en el nuevo certificado para dispositivos móviles 24 horas antes de que caduque el original.
No se admite la reemisión automática de certificados móviles. Le recomendamos que especifique un nuevo certificado móvil cuando el existente esté a punto de caducar. Si el certificado móvil caduca y no se especifica el certificado de reserva móvil, se perderá la conexión entre el Servidor de administración y las instancias del Agente de red instaladas en los dispositivos móviles administrados. En este caso, para volver a conectar los dispositivos móviles administrados, debe especificar un nuevo certificado móvil y reinstalar Kaspersky Security for Mobile en cada dispositivo móvil administrado.
Si su esquema de conexión exige usar certificados cliente en los dispositivos móviles (para realizar una autenticación SSL bidireccional), debe generarlos utilizando la MCA (la entidad de certificación para certificados de usuario autogenerados). El Asistente de inicio rápido le permitirá comenzar a usar certificados cliente personalizados que hayan sido emitidos por una entidad de certificación diferente. Con la capacidad de integrar la infraestructura de claves públicas (PKI) de su organización, podrá utilizar la entidad de certificación de su dominio para emitir los certificados cliente.
Certificado del Servidor de MDM para iOS
El certificado del Servidor de MDM para iOS se utiliza para realizar la autenticación del Servidor de administración en los dispositivos móviles que utilizan el sistema operativo iOS. La interacción con estos equipos se lleva a cabo mediante el protocolo de administración de dispositivos móviles (MDM) definido por Apple. El mecanismo no requiere utilizar un Agente de red. Lo que se hace, en cambio, es instalar un perfil de MDM para iOS en cada dispositivo; el perfil contiene un certificado cliente, que permite realizar una autenticación SSL bidireccional.
El Asistente de inicio rápido le permitirá comenzar a usar certificados cliente personalizados que hayan sido emitidos por una entidad de certificación diferente. Con la capacidad de integrar la infraestructura de claves públicas (PKI) de su organización, podrá utilizar la entidad de certificación de su dominio para emitir los certificados cliente.
El dispositivo iOS obtiene su certificado cliente al descargar el perfil de MDM para iOS. Cada certificado cliente del Servidor de MDM para iOS es único. Usted genera todos los certificados de cliente del Servidor de MDM para iOS mediante la autoridad de certificación para certificados de usuario generados automáticamente ("MCA").
Certificado del Servidor web
Servidor web, un componente de Servidor de administración de Kaspersky Security Center, utiliza un tipo especial de certificado. Este certificado es necesario para publicar paquetes de instalación del Agente de red que posteriormente descargará en dispositivos administrados, así como para publicar perfiles de MDM para iOS, aplicaciones de iOS y paquetes de instalación de Kaspersky Security para dispositivos móviles. El Servidor web puede usar distintos certificados para tal fin.
Si la compatibilidad con dispositivos móviles no está habilitada, el Servidor web usará uno de los siguientes certificados (en orden de prioridad):
Si la compatibilidad con dispositivos móviles está habilitada, el Servidor web usará uno de los siguientes certificados (en orden de prioridad):
Certificado de Kaspersky Security Center 13 Web Console
El Servidor de Kaspersky Security Center 13 Web Console (en adelante, Web Console) tiene su propio certificado. Cuando abre un sitio web, el navegador verifica si su conexión es fiable. El certificado de la consola web le permite autenticar la consola web y se utiliza para cifrar el tráfico entre el navegador y la consola web.
Cuando abre Web Console, el navegador le informa que la conexión a Web Console no es privada y que el certificado de Web Console no es válido. La advertencia se muestra porque Web Console utiliza un certificado autofirmado, generado automáticamente por Kaspersky Security Center. Para deshacerse de esta advertencia, realice una de las siguientes acciones: