Remplacement du certificat du Serveur d'administration à l'aide de l'utilitaire klsetsrvcert

Pour remplacer le certificat du Serveur d'administration, procédez comme suit :

Dans la ligne de commande, exécutez l'utilitaire suivant :

klsetsrvcert [-t <type> {-i <inputfile> [-p <password>] [-o <chkopt>] | -g <dnsname>}][-f <time>][-r <calistfile>][-l <logfile>]

Vous n'avez pas besoin de télécharger l'utilitaire klsetsrvcert. Il figure dans le kit de distribution de Kaspersky Security Center. Il n'est pas compatible avec les versions précédentes de Kaspersky Security Center.

La description des paramètres de l'utilitaire klsetsrvcert est présentée dans le tableau ci-dessous.

Valeurs des paramètres de l'utilitaire klsetsrvcert

Paramètre

Valeur

-t <type>

Le type de certificat à remplacer. Valeurs possibles du paramètre <type> :

  • C — remplacer le certificat commun pour les ports 13000 et 13291.
  • CR — remplacer certificat commun de réserve pour les ports 13000 et 13291.
  • M — remplacer le certificat pour les appareils mobiles du port 13292.
  • MR — remplacer le certificat mobile de réserve pour le port 13292.
  • MCA : autorité de certification de client mobile pour les certificats utilisateur générés automatiquement.

-f <time>

Calendrier de changement de certificat, format "JJ-MM-AAAA hh:mm" (pour les ports 13000 et 13291).

Utilisez ce paramètre si vous souhaitez remplacer le certificat commun ou le certificat commun de réserve avant son expiration.

Spécifiez l'heure à laquelle les appareils administrés doivent se synchroniser avec le Serveur d'administration sur un nouveau certificat.

-i <inputfile>

Le conteneur où se trouve le certificat et une clé privée au format PKCS#12 (fichier avec extension .p12 ou .pfx).

-p <password>

Le mot de passe qui protège le conteneur p12.

Le certificat et une clé privée sont stockés dans le conteneur, par conséquent, le mot de passe est requis pour déchiffrer le fichier avec le conteneur.

-o <chkopt>

Paramètres de validation du certificat (séparés par des points-virgules).

Pour utiliser un certificat personnalisé sans autorisation de signature, spécifiez -o NoCA dans l'utilitaire klsetsrvcert. Ceci est utile pour les certificats émis par une autorité de certification publique.

Pour modifier la longueur de la clé de chiffrement pour les certificats de type C ou CR, spécifiez -o RsaKeyLen:<key length> dans l'utilitaire klsetsrvcert, où le paramètre <key length> correspond à la valeur de la longueur de clé requise. Sinon, la longueur de clé actuelle du certificat est utilisée.

-g <dnsname>

Un certificat est créé pour le nom DNS indiqué.

-r <calistfile>

Liste des autorités de certification racine de confiance, format PEM.

-l <logfile>

Le fichier contenant les résultats. Par défaut l'affichage se réalise dans le flux standard d'affichage.

Par exemple, pour spécifier le certificat personnalisé du Serveur d'administration, utilisez la commande suivante :

klsetsrvcert -t C -i <inputfile> -p <password> -o NoCA

Une fois le certificat remplacé, tous les Agents d'administration connectés au Serveur d'administration via SSL perdent leur connexion. Pour la restaurer, utilisez la ligne de commande utilitaire klmover.

Pour éviter de perdre les connexions des Agents d'administration, utilisez la commande suivante :

  1. Pour installer le nouveau certificat,

    klsetsrvcert.exe -t CR -i <inputfile> -p <password> -o NoCA

  2. Pour préciser la date d'application du nouveau certificat,

    klsetsrvcert.exe -f "JJ-MM-AAAA hh:mm"

où "DD-MM-YYYY hh:mm" est la date 3 à 4 semaines plus tard que la date actuelle. Le décalage horaire nécessaire au remplacement du certificat par le nouveau permettra au nouveau certificat d'être distribué à tous les Agents d'administration.

Voir également :

Scénario : Spécifier le certificat personnalisé du Serveur d'administration

Haut de page