À propos des certificats de Kaspersky Security Center

Kaspersky Security Center utilise les types de certificats suivants pour permettre une interaction sécurisée entre les composants de l'application :

Par défaut, Kaspersky Security Center utilise des certificats auto-signés (c'est-à-dire émis par Kaspersky Security Center lui-même), mais vous pouvez les remplacer par des certificats personnalisés pour mieux répondre aux exigences du réseau de votre organisation et respecter les normes de sécurité. Une fois que le Serveur d'administration a vérifié si un certificat personnalisé répond à toutes les exigences applicables, ce certificat a la même zone de fonction qu'un certificat auto-signé. La seule différence réside dans le fait qu'un certificat personnalisé n'est pas réémis automatiquement à son expiration. Vous remplacez les certificats par des certificats personnalisés à l'aide de l'utilitaire klsetsrvcert ou par la section des propriétés du Serveur d'administration dans la Console d'administration, en fonction du type de certificat. Les index des types de certificats décrits ci-dessous sont basés sur les valeurs possibles du paramètre -t certtype dans l'utilitaire klsetsrvcert :

Certificats du Serveur d'administration

Un certificat de Serveur d'administration est requis pour procéder à l'authentification du Serveur d'administration ainsi que pour assurer une interaction sécurisée entre le Serveur d'administration et l'Agent d'administration sur les appareils administrés. Lorsque vous connectez la Console d'administration au Serveur d'administration pour la première fois, vous êtes invité à confirmer l'utilisation du certificat actuel du Serveur d'administration. Une telle confirmation est également requise chaque fois que le certificat du Serveur d'administration est remplacé, après chaque réinstallation du Serveur d'administration et lors de la connexion d'un Serveur d'administration secondaire au Serveur d'administration principal. Ce certificat est appelé certificat commun ("C").

Il existe également un certificat commun de réserve ("CR"). Kaspersky Security Center génère automatiquement ce certificat 90 jours avant l'expiration du certificat commun. Le certificat commun de réserve est ensuite utilisé pour remplacer facilement le certificat du Serveur d'administration. Lorsque le certificat commun est sur le point d'expirer, le certificat commun de réserve est utilisé pour maintenir la connexion avec les instances d'Agent d'administration installées sur les appareils administrés. Ainsi, le certificat commun de réserve remplace automatiquement le nouveau certificat commun 24 heures avant l'expiration de l'ancien certificat commun.

Vous pouvez également sauvegarder le certificat du Serveur d'administration séparément des autres paramètres du Serveur d'administration afin de déplacer le Serveur d'administration d'un appareil à un autre sans aucune perte de données.

Certificats mobiles

Un certificat mobile ("M") est requis pour assurer l'authentification du Serveur d'administration sur les appareils mobiles. Vous configurez l'utilisation du certificat mobile à l'étape dédiée de l'Assistant de configuration initiale de l'application.

Il existe également un certificat mobile de réserve ("MR") : il est utilisé pour remplacer facilement le certificat mobile. Lorsque le certificat mobile est sur le point d'expirer, le certificat mobile de réserve est utilisé pour maintenir la connexion avec les instances d'Agent d'administration installées sur les appareils mobiles administrés. Ainsi, le certificat mobile de réserve remplace automatiquement le nouveau certificat mobile 24 heures avant l'expiration de l'ancien certificat mobile.

Si le scénario de connexion nécessite l'utilisation d'un certificat client sur les appareils mobiles (connexion impliquant une authentification SSL bidirectionnelle), vous générez ces certificats au moyen de l'autorité de certification pour les certificats utilisateur générés automatiquement ("MCA"). En outre, l'Assistant de configuration initiale de l'application vous permet de commencer à utiliser des certificats clients personnalisés émis par une autre autorité de certification, tandis que l'intégration avec l'infrastructure à clés publiques (PKI) de domaine de votre organisation vous permet d'émettre des certificats clients au moyen de votre autorité de certification de domaine.

Certificat du serveur MDM iOS

Un certificat de serveur MDM iOS est requis pour assurer l'authentification du Serveur d'administration sur les appareils mobiles fonctionnant sous le système d'exploitation iOS. L'interaction avec ces appareils est effectuée via le protocole d'administration des appareils mobiles Apple (MDM) qui n'implique aucun Agent d'administration. Au lieu de cela, vous installez un profil MDM iOS spécial, contenant un certificat client, sur chaque appareil, pour assurer une authentification SSL bidirectionnelle.

En outre, l'Assistant de configuration initiale de l'application vous permet de commencer à utiliser des certificats clients personnalisés émis par une autre autorité de certification, tandis que l'intégration avec l'infrastructure à clés publiques (PKI) de domaine de votre organisation vous permet d'émettre des certificats clients au moyen de votre autorité de certification de domaine.

Les certificats clients sont transmis aux appareils iOS lorsque vous téléchargez ces profils MDM iOS. Chaque certificat client du serveur MDM iOS est unique. Vous générez tous les certificats clients du serveur MDM iOS au moyen de l'autorité de certification pour les certificats utilisateur générés automatiquement ("MCA").

Certificat du Serveur Web

Le Serveur Web, un composant du Serveur d'administration de Kaspersky Security Center, utilise un type spécial de certificat. Ce certificat est requis pour la publication des paquets d'installation de l'Agent d'administration que vous téléchargez par la suite sur les appareils administrés, ainsi que pour la publication des profils MDM iOS, des applications iOS et des paquets d'installation de Kaspersky Security for Mobile. Pour cela, le Serveur Web peut utiliser différents certificats.

Si la prise en charge des appareils mobiles est désactivée, le Serveur Web utilise l'un des certificats suivants, par ordre de priorité :

  1. Certificat de serveur Web personnalisé que vous avez précisé manuellement par la Console d'administration
  2. Certificat commun du Serveur d'administration ("C")

Si la prise en charge des appareils mobiles est activée, le Serveur Web utilise l'un des certificats suivants, par ordre de priorité :

  1. Certificat de serveur Web personnalisé que vous avez précisé manuellement par la Console d'administration
  2. Certificat mobile personnalisé
  3. Certificat mobile auto-signé ("M")
  4. Certificat commun du Serveur d'administration ("C")

Voir également

Conditions requises pour les certificats personnalisés utilisés dans Kaspersky Security Center

Indication du certificat du Serveur d'administration

Principal scénario d'installation

Authentification du Serveur d'administration lors de la connexion de la Console d'administration

Hiérarchie des Serveurs d'administration : Serveur d'administration principal et Serveur d'administration secondaire

Sauvegarde et restauration des données en mode interactif

Utilisation des certificats

Assistant de configuration initiale du Serveur d'administration

Ajout des appareils mobiles iOS à la liste des appareils administrés

Établissement d'un certificat de profil MDM iOS

Serveur Web

Haut de page