Kaspersky Security Center używa następujących typów certyfikatów w celu włączenia interakcji między składnikami aplikacji:
Domyślnie, Kaspersky Security Center używa certyfikatów z podpisem własnym (czyli takich, które zostały opublikowane przez sam program Kaspersky Security Center), ale możesz zastąpić je z certyfikatami niestandardowymi, aby lepiej spełniały wymagania sieci w Twojej organizacji i były zgodne ze standardami bezpieczeństwa. Po zweryfikowaniu przez Serwer administracyjny, czy certyfikat niestandardowy spełnia wszystkie odpowiednie wymagania, ten certyfikat obejmuje ten sam obszar funkcyjny jak certyfikat z podpisem własnym. Jedyna różnica to taka, że certyfikat niestandardowy nie jest ponownie publikowany automatycznie po wygaśnięciu. Możesz zastąpić certyfikaty certyfikatami niestandardowymi przy użyciu narzędzia klsetsrvcert lub poprzez sekcję Właściwości Serwera administracyjnego w Konsoli administracyjnej, w zależności od typu certyfikatu. Indeksy typów certyfikatu opisane poniżej są oparte na możliwych wartościach parametru -t certtype
w narzędziu klsetsrvcert:
Nie ma konieczności pobierania narzędzia klsetsrvcert. To narzędzie znajduje się w pakiecie dystrybucyjnym Kaspersky Security Center. Nie jest kompatybilne z poprzednimi wersjami Kaspersky Security Center.
Maksymalny okres ważności dowolnego certyfikatu Serwera administracyjnego nie może przekraczać 397 dni.
Certyfikaty Serwera administracyjnego
Certyfikat Serwera administracyjnego jest wymagany do autoryzacji Serwera administracyjnego, a także do bezpiecznej interakcji między Serwerem administracyjnym a Agentem sieciowym na zarządzanych urządzeniach lub między głównym Serwerem administracyjnym a podrzędnymi Serwerami administracyjnymi. Po podłączeniu Konsoli administracyjnej do Serwera administracyjnego po raz pierwszy, zostanie wyświetlony komunikat z potwierdzeniem użycia bieżącego certyfikatu Serwera administracyjnego. Takie potwierdzenie jest również wymagane za każdym razem, gdy certyfikat Serwera administracyjnego zostanie wymieniony, po każdej ponownej instalacji Serwera administracyjnego, a także podczas podłączania podrzędnego Serwera administracyjnego do głównego Serwera administracyjnego. Ten certyfikat jest nazywany standardowym („C”).
Wspólny certyfikat („C”) jest tworzony automatycznie podczas instalacji komponentu Serwer administracyjny. Certyfikat składa się z dwóch części:
Oprócz tego istnieje wspólny certyfikat rezerwowy („CR”). Kaspersky Security Center automatycznie generuje ten certyfikat na 90 dni przed wygaśnięciem certyfikatu standardowego. Wspólny certyfikat rezerwowy jest dalej używany dla bezproblemowego zastąpienia certyfikat Serwera administracyjnego. Jeśli certyfikat standardowy wkrótce wygaśnie, wspólny certyfikat rezerwowy jest używany do zachowania połączenia z instancjami Agenta sieciowego, zainstalowanymi na zarządzanych urządzeniach. Wspólny certyfikat rezerwowy automatycznie staje się nowym certyfikatem standardowym na 24 godziny przed wygaśnięciem starego certyfikatu standardowego.
Możesz utworzyć kopię zapasową certyfikatu Serwera administracyjnego oddzielnie od innych ustawień Serwera administracyjnego w celu usunięcia Serwera administracyjnego z jednego urządzenia na inne bez utraty danych.
Certyfikaty mobilne
Certyfikat mobilny („M”) jest wymagany do autoryzacji Serwera administracyjnego na urządzeniu mobilnym. Możesz skonfigurować użycie certyfikatu mobilnego w dedykowanym kroku Kreator wstępnej konfiguracji.
Poza tym, dostępny jest zapasowy certyfikat mobilny („MR”): jest on używany dla bezproblemowego zastąpienia certyfikatu mobilnego. Jeśli certyfikat mobilny wkrótce wygaśnie, zapasowy certyfikat mobilny jest używany do zachowania połączenia z instancjami Agenta sieciowego, zainstalowanymi na zarządzanych urządzeniach mobilnych. Zapasowy certyfikat mobilny automatycznie staje się nowym certyfikatem standardowym na 24 godziny przed wygaśnięciem starego certyfikatu mobilnego.
Automatyczne ponowne wydawanie certyfikatów mobilnych nie jest obsługiwane. Zalecamy zdefiniowanie nowego certyfikatu mobilnego, gdy aktualnie obowiązujący certyfikat ma wkrótce wygasnąć. Jeśli certyfikat mobilny wygaśnie, a rezerwowy certyfikat mobilny nie zostanie zdefiniowany, połączenie pomiędzy Serwerem administracyjnym a zainstalowanymi na zarządzanych urządzeniach mobilnych instancjami Agenta sieciowego zostanie utracone. W takim przypadku, aby ponownie podłączyć zarządzane urządzenia mobilne, trzeba będzie wskazać nowy certyfikat mobilny oraz ponownie zainstalować Kaspersky Security for Mobile na każdym zarządzanym urządzeniu mobilnym.
Jeśli scenariusz połączenia wymaga użycia certyfikatu klienckiego na urządzeniach mobilnych (połączenie obejmujące dwuetapową autoryzację SSL), wygenerujesz te certyfikaty przy użyciu urzędu certyfikacji dla automatycznie wygenerowanych certyfikatów używanych („MCA”). Poza tym Kreator wstępnej konfiguracji włącza uruchamianie niestandardowych certyfikatów klienckich opublikowanych przez inny urząd certyfikacji, podczas integracji z domeną infrastrukturą kluczy publicznych (PKI) Twojej organizacji włącza publikację certyfikatów klienckich przy użyciu urzędu certyfikacji domeny.
Certyfikat serwera iOS MDM
Certyfikat serwera iOS MDM jest wymagany do autoryzacji Serwera administracyjnego na urządzeniach mobilnych działających pod kontrolą systemu operacyjnego iOS. Interakcja z tymi urządzeniami odbywa się za pośrednictwem protokołu Apple mobile device management (MDM), który nie obejmuje Agenta sieciowego. Zamiast tego instalujesz specjalnego profilu iOS MDM, zawierający certyfikat kliencki, na każdym urządzeniu, aby zapewnić dwuetapową autoryzację SSL.
Poza tym Kreator wstępnej konfiguracji włącza uruchamianie niestandardowych certyfikatów klienckich opublikowanych przez inny urząd certyfikacji, podczas integracji z domeną infrastrukturą kluczy publicznych (PKI) Twojej organizacji włącza publikację certyfikatów klienckich przy użyciu urzędu certyfikacji domeny.
Certyfikaty klienckie są transmitowane na urządzenia iOS, gdy pobierzesz ten profil iOS MDM. Każdy certyfikat kliencki serwera iOS MDM jest unikatowy. Wygenerujesz wszystkie certyfikaty klienckie serwera iOS MDM przy użyciu urzędu certyfikacji dla automatycznie wygenerowanych certyfikatów użytkownika („MCA”).
Certyfikat serwera sieciowego
Specjalny typ certyfikatu jest używany przez serwer sieciowy, komponent Serwer administracyjny Kaspersky Security Center. Ten certyfikat jest wymagany do publikowania pakietów instalacyjnych Agenta sieciowego, które są następnie pobierane na zarządzane urządzenia, a także do publikowania profili iOS MDM, aplikacji iOS i pakietów instalacyjnych Kaspersky Security for Mobile. W tym celu serwer sieciowy może użyć różnych certyfikatów.
Jeśli obsługa urządzenia mobilnego jest wyłączona, serwer sieciowy używa jednego z następujących certyfikatów w kolejności priorytetów:
Jeśli obsługa urządzenia mobilnego jest włączona, serwer sieciowy używa jednego z następujących certyfikatów w kolejności priorytetów:
Certyfikat Kaspersky Security Center 13 Web Console
Serwer Kaspersky Security Center 13 Web Console (zwany dalej Web Console) posiada własny certyfikat. Po otwarciu witryny przeglądarka sprawdza, czy połączenie jest zaufane. Certyfikat Web Console umożliwia uwierzytelnianie Web Console i jest używany do szyfrowania ruchu między przeglądarką a Web Console.
Po otworzeniu Web Console przeglądarka informuje użytkownika, że połączenie z Web Console nie jest prywatne oraz że certyfikat Web Console jest nieprawidłowy. Takie ostrzeżenie pojawia się, ponieważ certyfikat Web Console jest certyfikatem z podpisem własnym i jest automatycznie generowany przez Kaspersky Security Center. Aby usunąć to ostrzeżenie, możesz wykonać jedną z następujących czynności: