Substituição do certificado do Servidor de Administração usando o utilitário klsetsrvcert

Para substituir o certificado do Servidor de Administração:

Na linha de comando, execute o seguinte utilitário:

klsetsrvcert [-t <tipo de certificado> {-i <caminho para o novo certificado> [-p <senha>] [-o <parâmetros>] | -g <nome dns>}][-f <horário da substituição>][-r <certificados raiz>][-l <caminho do arquivo de registro>]

Não é preciso baixar o utilitário klsetsrvcert. Ele está incluído no kit de distribuição do Kaspersky Security Center. Não é compatível com versões anteriores do Kaspersky Security Center.

A descrição dos parâmetros do utilitário klsetsrvcert é apresentada na tabela abaixo.

Valores dos parâmetros do utilitário klsetsrvcert

Parâmetro

Valor

-t <tipo de certificado>

Tipo de certificado a ser substituído. Valores possíveis do parâmetro <tipo de certificado>:

  • C – substitui o certificado para as portas 13000 e 13291.
  • CR – substitui o certificado reserva comum para as portas 13000 e 13291.
  • M – substitui o certificado para dispositivos móveis na porta 13292.
  • MR – substitui o certificado de reserva móvel para a porta 13292.
  • MCA – CA do cliente móvel para certificados de usuário gerados automaticamente.

-f <horário da substituição>

Cronograma de alteração do certificado, usando o formato "DD-MM-AAA hh:mm" (para portas 13000 e 13291).

Utilize esse parâmetro se quiser substituir o certificado comum pelo certificado de reserva comum antes que o certificado comum expire.

Especifique a hora em que os dispositivos gerenciados devem ser sincronizados com o Servidor de Administração em um novo certificado.

-i <caminho para o novo certificado>

Contêiner com o certificado e chave privada no formato PKCS#12 (arquivo com a extensão .p12 ou .pfx).

-p <senha>

Senha usada para a proteção o contêiner p12.

O certificado e uma chave privada são armazenados no contêiner, portanto, a senha é necessária para descriptografar o arquivo com o contêiner.

-o <parâmetros de validação>

Parâmetros de validação de certificado (separados por ponto e vírgula).

Para usar um certificado personalizado sem a permissão de assinatura, especifique -o NoCA no utilitário klsetsrvcert. Isso é útil para certificados emitidos por uma CA pública.

Para alterar o comprimento da chave de criptografia para os tipos de certificado C ou CR, especifique -o RsaKeyLen:<comprimento da chave> no utilitário klsetsrvcert, em que o parâmetro <comprimento da chave> é o valor do comprimento da chave necessário. Caso contrário, o comprimento da chave do certificado atual será usado.

-g <nome dns>

Um novo certificado será criado para o nome DNS especificado.

-r <certificados raiz>

Lista de autoridades de certificado raiz confiáveis, formato PEM.

-l <caminho do arquivo de registro>

Arquivo de saída dos resultados. Por padrão, a saída é redirecionada no fluxo de saída padrão.

Por exemplo, para especificar o certificado personalizado do Servidor de Administração, use o seguinte comando:

klsetsrvcert -t C -i <caminho para o novo certificado> -p <senha> -o NoCA

Após a substituição do certificado, todos os Agentes de Rede conectados com Servidor de Administração por meio de SSL perdem a conexão. Para restaurá-la, use a linha de comando do utilitário klmover.

Para evitar a perda das conexões dos Agentes de Rede, use os seguintes comandos:

  1. Para instalar o novo certificado,

    klsetsrvcert.exe -t CR -i <caminho para o novo certificado> -p <senha> -o NoCA

  2. Para especificar a data em que o novo certificado será aplicado,

    klsetsrvcert.exe -f "DD-MM-AAAA hh:mm"

em que "DD-MM-AAAA hh:mm" é a data 3 a 4 semanas antes da data atual. A mudança de horário para alterar o certificado para um novo permitirá que um novo certificado seja distribuído a todos os Agentes de Rede.

Consulte também:

Cenário: especificação do certificado personalizado do Servidor de Administração
Topo da página