Kaspersky Security Center utilise les types de certificats suivants pour permettre une interaction sécurisée entre les modules de l'application :
Par défaut, Kaspersky Security Center utilise des certificats auto-signés (c'est-à-dire émis par Kaspersky Security Center lui-même), mais vous pouvez les remplacer par des certificats personnalisés pour mieux répondre aux exigences du réseau de votre organisation et respecter les normes de sécurité. Une fois que le Serveur d'administration a vérifié si un certificat personnalisé répond à toutes les exigences applicables, ce certificat a la même zone de fonction qu'un certificat auto-signé. La seule différence réside dans le fait qu'un certificat personnalisé n'est pas réémis automatiquement à son expiration. Vous remplacez les certificats par des certificats personnalisés à l'aide de l'utilitaire klsetsrvcert ou par la section des propriétés du Serveur d'administration dans la Console d'administration, en fonction du type de certificat. Les index des types de certificats décrits ci-dessous sont basés sur les valeurs possibles du paramètre -t certtype dans l'utilitaire klsetsrvcert :
Vous n'avez pas besoin de télécharger l'utilitaire klsetsrvcert. Il figure dans le kit de distribution de Kaspersky Security Center. Il n'est pas compatible avec les versions précédentes de Kaspersky Security Center.
La période de validité maximale des certificats du Serveur d'administration ne doit pas dépasser 397 jours.
Certificats du Serveur d'administration
Un certificat de Serveur d'administration est requis pour procéder à l'authentification du Serveur d'administration ainsi que pour assurer une interaction sécurisée entre le Serveur d'administration et l'Agent d'administration sur les appareils administrés ou entre le Serveur d'administration principal et les Serveurs d'administration secondaires. Lorsque vous connectez la Console d'administration au Serveur d'administration pour la première fois, vous êtes invité à confirmer l'utilisation du certificat actuel du Serveur d'administration. Une telle confirmation est également requise chaque fois que le certificat du Serveur d'administration est remplacé, après chaque réinstallation du Serveur d'administration et lors de la connexion d'un Serveur d'administration secondaire au Serveur d'administration principal. Ce certificat est appelé certificat commun ("C").
Le certificat commun ("C") est créé automatiquement lors de l'installation du module Serveur d'administration. Le certificat est composé de deux parties :
Il existe également un certificat commun de réserve ("CR"). Kaspersky Security Center génère automatiquement ce certificat 90 jours avant l'expiration du certificat commun. Le certificat commun de réserve est ensuite utilisé pour remplacer facilement le certificat du Serveur d'administration. Lorsque le certificat commun est sur le point d'expirer, le certificat commun de réserve est utilisé pour maintenir la connexion avec les instances d'Agent d'administration installées sur les appareils administrés. Ainsi, le certificat commun de réserve remplace automatiquement le nouveau certificat commun 24 heures avant l'expiration de l'ancien certificat commun.
Vous pouvez également sauvegarder le certificat du Serveur d'administration séparément des autres paramètres du Serveur d'administration afin de déplacer le Serveur d'administration d'un appareil à un autre sans aucune perte de données.
Certificats mobiles
Un certificat mobile ("M") est requis pour assurer l'authentification du Serveur d'administration sur les appareils mobiles. Vous configurez l'utilisation du certificat mobile à l'étape dédiée de l'Assistant de configuration initiale de l'application.
Il existe également un certificat mobile de réserve ("MR") : il est utilisé pour remplacer facilement le certificat mobile. Lorsque le certificat mobile est sur le point d'expirer, le certificat mobile de réserve est utilisé pour maintenir la connexion avec les instances d'Agent d'administration installées sur les appareils mobiles administrés. Ainsi, le certificat mobile de réserve remplace automatiquement le nouveau certificat mobile 24 heures avant l'expiration de l'ancien certificat mobile.
La réémission automatique de certificats mobiles n'est pas prise en charge. Nous vous recommandons de spécifier un nouveau certificat mobile lorsque le certificat existant est sur le point d'expirer. Si le certificat mobile expire et que le certificat de réserve mobile n'est pas spécifié, la connexion entre les instances du Serveur d'administration et de l'Agent d'administration installées sur les appareils mobiles administrés sera perdue. Dans ce cas, pour reconnecter les appareils mobiles administrés, vous devez définir un nouveau certificat mobile et réinstaller Kaspersky Security for Mobile sur chaque appareil mobile administré.
Si le scénario de connexion nécessite l'utilisation d'un certificat client sur les appareils mobiles (connexion impliquant une authentification SSL bidirectionnelle), vous générez ces certificats au moyen de l'autorité de certification pour les certificats utilisateur générés automatiquement ("MCA"). En outre, l'Assistant de configuration initiale de l'application vous permet de commencer à utiliser des certificats clients personnalisés émis par une autre autorité de certification, tandis que l'intégration avec l'infrastructure à clés publiques (PKI) de domaine de votre organisation vous permet d'émettre des certificats clients au moyen de votre autorité de certification de domaine.
Certificat du serveur MDM iOS
Un certificat de serveur MDM iOS est requis pour assurer l'authentification du Serveur d'administration sur les appareils mobiles fonctionnant sous le système d'exploitation iOS. L'interaction avec ces appareils est effectuée via le protocole d'administration des appareils mobiles Apple (MDM) qui n'implique aucun Agent d'administration. Au lieu de cela, vous installez un profil MDM iOS spécial, contenant un certificat client, sur chaque appareil, pour assurer une authentification SSL bidirectionnelle.
En outre, l'Assistant de configuration initiale de l'application vous permet de commencer à utiliser des certificats clients personnalisés émis par une autre autorité de certification, tandis que l'intégration avec l'infrastructure à clés publiques (PKI) de domaine de votre organisation vous permet d'émettre des certificats clients au moyen de votre autorité de certification de domaine.
Les certificats clients sont transmis aux appareils iOS lorsque vous téléchargez ces profils MDM iOS. Chaque certificat client du serveur MDM iOS est unique. Vous générez tous les certificats clients du serveur MDM iOS au moyen de l'autorité de certification pour les certificats utilisateur générés automatiquement ("MCA").
Certificat du Serveur Web
Le Serveur Web, un module du Serveur d'administration de Kaspersky Security Center, utilise un type spécial de certificat. Ce certificat est requis pour la publication des paquets d'installation de l'Agent d'administration que vous téléchargez par la suite sur les appareils administrés, ainsi que pour la publication des profils MDM iOS, des applications iOS et des paquets d'installation de Kaspersky Security for Mobile. Pour cela, le Serveur Web peut utiliser différents certificats.
Si la prise en charge des appareils mobiles est désactivée, le Serveur Web utilise l'un des certificats suivants, par ordre de priorité :
Si la prise en charge des appareils mobiles est activée, le Serveur Web utilise l'un des certificats suivants, par ordre de priorité :
Certificat de Kaspersky Security Center 13 Web Console
Le Serveur de Kaspersky Security Center 13 Web Console (ci-après Web Console) possède son propre certificat. Lorsque vous ouvrez un site, un navigateur vérifie si votre connexion est fiable. Le certificat de Web Console permet d'authentifier Web Console et sert à chiffrer le trafic entre un navigateur et Web Console.
Lorsque vous ouvrez Web Console, le navigateur peut vous informer que la connexion à Web Console n'est pas privée et que le certificat de Web Console n'est pas valide. Cet avertissement apparaît car le certificat de la Console Web est auto-signé et généré automatiquement par Kaspersky Security Center. Pour supprimer cet avertissement, vous pouvez effectuer une des actions suivantes :