Scenario: Specificazione del certificato di Administration Server personalizzato

È possibile assegnare il certificato di Administration Server personalizzato, ad esempio per una migliore integrazione con l'infrastruttura a chiave pubblica (PKI) esistente dell'azienda o per la configurazione personalizzata dei campi del certificato. È consigliabile sostituire il certificato subito dopo l'installazione di Administration Server e prima del completamento dell'Avvio rapido guidato.

Il periodo di validità massimo di qualsiasi certificato di Administration Server non deve superare i 397 giorni.

Prerequisiti

Devono essere soddisfatte le seguenti condizioni:

Il nuovo certificato deve essere creato nel formato PKCS#12 (ad esempio tramite il PKI dell'organizzazione).
Per il nuovo certificato devono essere soddisfatti i requisiti elencati nella tabella di seguito.

Nella tabella seguente, prestare attenzione al requisito "CA: true", che significa che il nuovo certificato deve essere emesso da un'autorità di certificazione (CA) attendibile. Il nuovo certificato con il requisito "CA: true" deve includere l'intera catena di attendibilità e una chiave privata, che deve essere archiviata nel file con estensione pfx o p12.

Requisiti per i certificati di Administration Server

Tipo di certificato	Requisiti
Certificato comune, certificato di riserva comune ("C", "CR")	Lunghezza minima della chiave: 2048. Vincoli di base: Vincolo lunghezza percorso: nessuno Il valore Vincolo lunghezza percorso può essere un valore intero diverso da "Nessuno", ma non inferiore a 1. Utilizzo chiave: Firma digitale Firma del certificato Criptaggio chiavi Firma CRL EKU (Extended Key Usage): autenticazione del server e autenticazione del client. Il parametro EKU è facoltativo, ma se il certificato lo contiene, i dati di autenticazione del server e del client devono essere specificati nell'EKU.
Certificato mobile, certificato di riserva mobile ("M", "MR")	Lunghezza minima della chiave: 2048. Vincoli di base: CA: true Vincolo lunghezza percorso: nessuno Il valore Vincolo lunghezza percorso può essere un valore intero diverso da "Nessuno" se il certificato comune ha un valore Vincolo lunghezza percorso non inferiore a 1. Utilizzo chiave: Firma digitale Firma del certificato Criptaggio chiavi Firma CRL EKU (Extended Key Usage): autenticazione del server. L'EKU è facoltativo, ma se il certificato lo contiene, i dati di autenticazione del server devono essere specificati nell'EKU.
CA certificato per certificati utente generati automaticamente ("MCA")	Lunghezza minima della chiave: 2048. Vincoli di base: CA: true Vincolo lunghezza percorso: nessuno Il valore Vincolo lunghezza percorso può essere un valore intero diverso da "Nessuno" se il certificato comune ha un valore Vincolo lunghezza percorso non inferiore a 1. Utilizzo chiave: Firma digitale Firma del certificato Criptaggio chiavi Firma CRL EKU (Extended Key Usage): autenticazione del client. L'EKU è facoltativo, ma se il certificato lo contiene, i dati di autenticazione del client devono essere specificati nell'EKU.

Tipo di certificato

Requisiti

Certificato comune, certificato di riserva comune ("C", "CR")

Lunghezza minima della chiave: 2048.

Vincoli di base:

Vincolo lunghezza percorso: nessuno
Il valore Vincolo lunghezza percorso può essere un valore intero diverso da "Nessuno", ma non inferiore a 1.

Utilizzo chiave:

Firma digitale
Firma del certificato
Criptaggio chiavi
Firma CRL

EKU (Extended Key Usage): autenticazione del server e autenticazione del client. Il parametro EKU è facoltativo, ma se il certificato lo contiene, i dati di autenticazione del server e del client devono essere specificati nell'EKU.

Certificato mobile, certificato di riserva mobile ("M", "MR")

Lunghezza minima della chiave: 2048.

Vincoli di base:

CA: true
Vincolo lunghezza percorso: nessuno
Il valore Vincolo lunghezza percorso può essere un valore intero diverso da "Nessuno" se il certificato comune ha un valore Vincolo lunghezza percorso non inferiore a 1.

Utilizzo chiave:

Firma digitale
Firma del certificato
Criptaggio chiavi
Firma CRL

EKU (Extended Key Usage): autenticazione del server. L'EKU è facoltativo, ma se il certificato lo contiene, i dati di autenticazione del server devono essere specificati nell'EKU.

CA certificato per certificati utente generati automaticamente ("MCA")

Lunghezza minima della chiave: 2048.

Vincoli di base:

CA: true
Vincolo lunghezza percorso: nessuno
Il valore Vincolo lunghezza percorso può essere un valore intero diverso da "Nessuno" se il certificato comune ha un valore Vincolo lunghezza percorso non inferiore a 1.

Utilizzo chiave:

Firma digitale
Firma del certificato
Criptaggio chiavi
Firma CRL

EKU (Extended Key Usage): autenticazione del client. L'EKU è facoltativo, ma se il certificato lo contiene, i dati di autenticazione del client devono essere specificati nell'EKU.

I certificati rilasciati da un'autorità di certificazione pubblica non dispongono dell'autorizzazione di firma del certificato. Per utilizzare tali certificati, assicurarsi di aver installato Network Agent versione 13 o successiva nei punti di distribuzione o nei gateway di connessione della rete. In caso contrario, non sarà possibile utilizzare i certificati senza l'autorizzazione di firma.

Passaggi

Sono necessari alcuni passaggi per specificare il certificato di Administration Server:

Sostituzione del certificato di Administration Server
A tale scopo, utilizzare la riga di comando utilità klsetsrvcert.
Specificazione di un nuovo certificato e ripristino della connessione dei Network Agent ad Administration Server
Quando il certificato viene sostituito, tutti i Network Agent precedentemente connessi ad Administration Server tramite SSL perdono la connessione e restituiscono un errore di autenticazione di Administration Server. Per specificare il nuovo certificato e ripristinare la connessione, utilizzare l'utilità klmover della riga di comando.
Specifica di un nuovo certificato nelle impostazioni di Kaspersky Security Center Web Console
Dopo aver sostituito il certificato, specificarlo nelle impostazioni di Kaspersky Security Center Web Console. In caso contrario, Kaspersky Security Center 13.2 Web Console non sarà in grado di connettersi all'Administration Server.

Risultati

Al termine dello scenario, il certificato di Administration Server viene sostituito e il server viene autenticato dai Network Agent nei dispositivi gestiti.

Vedere anche:

Informazioni sui certificati di Kaspersky Security Center

Informazioni sul certificato di Administration Server

Requisiti per i certificati personalizzati utilizzati in Kaspersky Security Center

Scenario di installazione principale

Inizio pagina