Kaspersky Security Center utilizza i seguenti tipi di certificati per consentire un'interazione sicura tra i componenti dell'applicazione:
Per impostazione predefinita, Kaspersky Security Center utilizza certificati autofirmati (ovvero emessi da Kaspersky Security Center stesso), ma è possibile sostituirli con certificati personalizzati per soddisfare al meglio i requisiti della rete dell'organizzazione e rispettare gli standard di sicurezza. Quando Administration Server verifica che un certificato personalizzato soddisfa tutti i requisiti applicabili, il certificato assume lo stesso ambito funzionale di un certificato autofirmato. L'unica differenza è che un certificato personalizzato non viene riemesso automaticamente alla scadenza. È possibile sostituire i certificati con quelli personalizzati tramite l'utilità klsetsrvcert o la sezione delle proprietà di Administration Server in Administration Console, a seconda del tipo di certificato. Gli indici dei tipi di certificato descritti di seguito si basano sui possibili valori del parametro -t certtype nell'utilità klsetsrvcert:
Non è necessario scaricare l'utilità klsetsrvcert. È inclusa nel kit di distribuzione di Kaspersky Security Center. Non è compatibile con le versioni precedenti di Kaspersky Security Center.
Il periodo di validità massimo di qualsiasi certificato di Administration Server non deve superare i 397 giorni.
Certificati di Administration Server
È necessario un certificato di Administration Server per l'autenticazione di Administration Server, nonché per l'interazione sicura tra Administration Server e Network Agent nei dispositivi gestiti o tra l'Administration Server primario e gli Administration Server secondari. Quando si connette Administration Console ad Administration Server per la prima volta, viene richiesto di confermare l'utilizzo del certificato di Administration Server corrente. Tale conferma è richiesta anche ogni volta che il certificato di Administration Server viene sostituito, dopo ogni reinstallazione di Administration Server e quando si collega un Administration Server secondario all'Administration Server primario. Questo certificato è denominato comune ("C").
Il certificato comune ("C") viene creato automaticamente durante l'installazione del componente Administration Server. Il certificato si compone di due parti:
Esiste inoltre un certificato di riserva comune ("CR"). Kaspersky Security Center genera automaticamente questo certificato 90 giorni prima della scadenza del certificato comune. Il certificato di riserva comune viene successivamente utilizzato per la sostituzione immediata del certificato di Administration Server. Quando il certificato comune sta per scadere, il certificato di riserva comune viene utilizzato per gestire la connessione con le istanze di Network Agent installate nei dispositivi gestiti. A tale scopo, il certificato di riserva comune diventa automaticamente il nuovo certificato comune 24 ore prima della scadenza del certificato comune precedente.
È inoltre possibile eseguire il backup del certificato di Administration Server separatamente dalle altre impostazioni di Administration Server per spostare Administration Server da un dispositivo all'altro senza perdite di dati.
Certificati mobili
Per l'autenticazione di Administration Server nei dispositivi mobili è richiesto un certificato mobile ("M"). L'utilizzo del certificato mobile viene configurato nel passaggio dedicato dell'Avvio rapido guidato.
Esiste inoltre un certificato di riserva mobile ("MR"): viene utilizzato per la sostituzione immediata del certificato mobile. Quando il certificato mobile sta per scadere, il certificato di riserva mobile viene utilizzato per gestire la connessione con le istanze di Network Agent installate nei dispositivi mobili gestiti. A tale scopo, il certificato di riserva mobile diventa automaticamente il nuovo certificato mobile 24 ore prima della scadenza del certificato mobile precedente.
La riemissione automatica dei certificati mobili non è supportata. Si consiglia di specificare un nuovo certificato mobile quando quello esistente sta per scadere. Se il certificato mobile scade e il certificato di riserva mobile non è specificato, la connessione tra le istanze di Administration Server e Network Agent installate nei dispositivi mobili gestiti andrà persa. In questo caso, per riconnettere i dispositivi mobili gestiti, è necessario specificare un nuovo certificato mobile e reinstallare Kaspersky Security for Mobile in ciascun dispositivo mobile gestito.
Se lo scenario di connessione richiede l'utilizzo di un certificato client nei dispositivi mobili (connessione che implica l'autenticazione SSL bidirezionale), è necessario generare tali certificati tramite l'autorità di certificazione per i certificati utente generati automaticamente ("MCA"). L'Avvio rapido guidato consente inoltre di iniziare a utilizzare certificati client personalizzati emessi da un'autorità di certificazione diversa, mentre l'integrazione con l'infrastruttura a chiave pubblica (PKI) del dominio dell'organizzazione consente di emettere certificati client tramite l'autorità di certificazione del dominio.
Certificato del server per dispositivi mobili MDM iOS
È necessario un certificato del server per dispositivi mobili MDM iOS per l'autenticazione di Administration Server nei dispositivi mobili che eseguono il sistema operativo iOS. L'interazione con questi dispositivi viene eseguita tramite il protocollo MDM (Mobile Device Management) di Apple che non coinvolge Network Agent. È invece necessario installare uno speciale profilo MDM iOS contenente un certificato client in ogni dispositivo, per garantire l'autenticazione SSL bidirezionale.
L'Avvio rapido guidato consente inoltre di iniziare a utilizzare certificati client personalizzati emessi da un'autorità di certificazione diversa, mentre l'integrazione con l'infrastruttura a chiave pubblica (PKI) del dominio dell'organizzazione consente di emettere certificati client tramite l'autorità di certificazione del dominio.
I certificati client vengono trasmessi ai dispositivi iOS quando si scaricano i profili MDM iOS. Ogni certificato client del server per dispositivi mobili MDM iOS è univoco. Tutti i certificati client del server per dispositivi mobili MDM iOS vengono generati tramite l'autorità di certificazione per i certificati utente generati automaticamente ("MCA").
Certificato Server Web
Uno speciale tipo di certificato viene utilizzato da Server Web, un componente di Kaspersky Security Center Administration Server. Questo certificato è necessario per pubblicare i pacchetti di installazione di Network Agent scaricati successivamente nei dispositivi gestiti, nonché per pubblicare profili MDM iOS, app iOS e pacchetti di installazione di Kaspersky Security for Mobile. A tale scopo, Server Web può utilizzare diversi certificati.
Se il supporto dei dispositivi mobili è disabilitato, Server Web utilizza uno dei seguenti certificati, in ordine di priorità:
Se il supporto dei dispositivi mobili è abilitato, Server Web utilizza uno dei seguenti certificati, in ordine di priorità:
Certificato di Kaspersky Security Center 13 Web Console
Il server di Kaspersky Security Center 13 Web Console (di seguito denominato Web Console) dispone di un proprio certificato. Quando si apre un sito Web, un browser verifica se la connessione è attendibile. Il certificato di Web Console consente di autenticare Web Console e viene utilizzato per criptare il traffico tra un browser e Web Console.
Quando si apre Web Console, il browser potrebbe informare che la connessione a Web Console non è privata e il certificato Web Console non è valido. Questo avviso viene visualizzato perché il certificato di Web Console è autofirmato e generato automaticamente da Kaspersky Security Center. Per rimuovere questo avviso è possibile eseguire una delle seguenti operazioni: