Escenario: Especificación del certificado del Servidor de administración personalizado

Puede asignar el certificado del Servidor de administración personalizado, por ejemplo, para una mejor integración con la infraestructura de claves públicas (PKI) existente de su empresa o para la configuración personalizada de los campos del certificado. Es conveniente reemplazar el certificado inmediatamente después de la instalación del Servidor de administración y antes de que el asistente de inicio rápido termine con sus operaciones.

El período máximo de validez para cualquiera de los certificados del Servidor de administración debe ser de 397 días o menos.

Requisitos previos

Deben cumplirse las siguientes condiciones:

El nuevo certificado debe crearse en formato PKCS#12 (por ejemplo, mediante la PKI de la organización).
Para el nuevo certificado, se deben cumplir los requisitos que se enumeran en la siguiente tabla.

En la siguiente tabla, preste atención al requisito "CA: true", lo que significa que el nuevo certificado debe ser emitido por una autoridad de certificación (CA) de confianza. Además, el nuevo certificado con el requisito "CA: true" debe incluir toda la cadena de confianza y una clave privada, que se debe almacenar en el archivo con la extensión pfx o p12.

Requisitos de los certificados del Servidor de administración

Tipo de certificado	Requisitos
Certificado común, certificado de reserva común ("C", "CR")	Longitud mínima de la clave: 2048. Restricciones básicas: Restricción de longitud de ruta: ninguna El valor de la Restricción de longitud de ruta puede ser un número entero distinto de "Ninguna", pero no inferior a 1. Uso de claves: Firma digital Firma de certificados Cifrado de claves Firma de CRL Uso extendido de claves (EKU): autenticación del servidor y autenticación del cliente. El EKU es opcional, pero si su certificado lo contiene, los datos de autenticación del servidor y del cliente se deben especificar en el EKU.
Certificado móvil, Certificado de reserva móvil ("M", "MR")	Longitud mínima de la clave: 2048. Restricciones básicas: CA: cierto Restricción de longitud de ruta: ninguna El valor de la Restricción de longitud de ruta puede ser un número entero distinto de "Ninguna" si el certificado común tiene un valor de Restricción de longitud de ruta no inferior a 1. Uso de claves: Firma digital Firma de certificados Cifrado de claves Firma de CRL Uso extendido de claves (EKU): autenticación del servidor. El EKU es opcional, pero si su certificado lo contiene, los datos de autenticación del servidor se deben especificar en el EKU.
CA de certificado para certificados de usuario generados automáticamente ("MCA")	Longitud mínima de la clave: 2048. Restricciones básicas: CA: cierto Restricción de longitud de ruta: ninguna El valor de la Restricción de longitud de ruta puede ser un número entero distinto de "Ninguna" si el certificado Común tiene un valor de Restricción de longitud de ruta no inferior a 1. Uso de claves: Firma digital Firma de certificados Cifrado de claves Firma de CRL Uso extendido de claves (EKU): autenticación del cliente. El EKU es opcional, pero si su certificado lo contiene, los datos de autenticación del cliente se deben especificar en el EKU.

Tipo de certificado

Requisitos

Certificado común, certificado de reserva común ("C", "CR")

Longitud mínima de la clave: 2048.

Restricciones básicas:

Restricción de longitud de ruta: ninguna
El valor de la Restricción de longitud de ruta puede ser un número entero distinto de "Ninguna", pero no inferior a 1.

Uso de claves:

Firma digital
Firma de certificados
Cifrado de claves
Firma de CRL

Uso extendido de claves (EKU): autenticación del servidor y autenticación del cliente. El EKU es opcional, pero si su certificado lo contiene, los datos de autenticación del servidor y del cliente se deben especificar en el EKU.

Certificado móvil, Certificado de reserva móvil ("M", "MR")

Longitud mínima de la clave: 2048.

Restricciones básicas:

CA: cierto
Restricción de longitud de ruta: ninguna
El valor de la Restricción de longitud de ruta puede ser un número entero distinto de "Ninguna" si el certificado común tiene un valor de Restricción de longitud de ruta no inferior a 1.

Uso de claves:

Firma digital
Firma de certificados
Cifrado de claves
Firma de CRL

Uso extendido de claves (EKU): autenticación del servidor. El EKU es opcional, pero si su certificado lo contiene, los datos de autenticación del servidor se deben especificar en el EKU.

CA de certificado para certificados de usuario generados automáticamente ("MCA")

Longitud mínima de la clave: 2048.

Restricciones básicas:

CA: cierto
Restricción de longitud de ruta: ninguna
El valor de la Restricción de longitud de ruta puede ser un número entero distinto de "Ninguna" si el certificado Común tiene un valor de Restricción de longitud de ruta no inferior a 1.

Uso de claves:

Firma digital
Firma de certificados
Cifrado de claves
Firma de CRL

Uso extendido de claves (EKU): autenticación del cliente. El EKU es opcional, pero si su certificado lo contiene, los datos de autenticación del cliente se deben especificar en el EKU.

Los certificados emitidos por una CA pública no tienen el permiso de firma de certificado. Para utilizar dichos certificados, asegúrese de haber instalado la versión 13 o superior del Agente de red en los puntos de distribución o puertas de enlace de conexión de su red. De lo contrario, no podrá utilizar certificados sin el permiso de firma.

Etapas

La especificación del certificado del Servidor de administración se realiza por etapas:

Reemplazo del certificado del Servidor de administración
Use la línea de comandos utilidad klsetsrvcert para este fin.
Especificación de un nuevo certificado y restauración de la conexión de los Agentes de red al Servidor de administración
Al reemplazar el certificado, todos los Agentes de red que estaban conectados anteriormente al Servidor de administración a través de SSL pierden su conexión y devuelven "Error de autenticación del Servidor de administración". Para especificar el nuevo certificado y restaurar la conexión, use la línea de comandos utilidad klmover.
Especificar un nuevo certificado en la configuración de Kaspersky Security Center Web Console
Después de reemplazar el certificado, especifíquelo en la configuración de Kaspersky Security Center Web Console. De lo contrario, Kaspersky Security Center Web Console no podrá conectarse con el Servidor de administración.

Resultados

Al concluir el escenario, los Agentes de red reemplazan el certificado del Servidor de administración y autentican el servidor en los dispositivos administrados.

Consulte también:

Acerca de los certificados de Kaspersky Security Center

Acerca del certificado del Servidor de administración

Requisitos para los certificados personalizados que se utilizan en Kaspersky Security Center

Escenario de instalación principal

Principio de página