Сценарий: Задание пользовательского сертификата Сервера администрирования

Вы можете назначить пользовательский сертификат Сервера администрирования, например, для лучшей интеграции с существующей инфраструктурой открытых ключей (PKI) вашей организации или для пользовательской конфигурации параметров сертификата. Целесообразно заменять сертификат сразу после инсталляции Сервера администрирования, до завершения работы мастера первоначальной настройки.

Максимальный срок действия любого сертификата Сервера администрирования не должен превышать 397 дней.

Предварительные требования

Должны быть соблюдены следующие условия:

Сертификат должен быть создан в формате PKCS#12 (например, с помощью PKI организации).
Для нового сертификата должны быть соблюдены требования, перечисленные в таблице ниже.

В таблице ниже обратите внимание на требование "CA: true". Оно означает, что новый сертификат должен быть выдан доверенным центром сертификации (CA). Новый сертификат с требованием "CA: true" должен включать в себя всю цепочку доверия и закрытый ключ, который должен храниться в файле с расширением pfx или p12.

Требования к сертификатам Сервера администрирования

Тип сертификата	Требования
Общий сертификат, общий резервный сертификат ("С", "CR")	Минимальная длина ключа: 2048. Основные ограничения: Ограничение длины пути: Отсутствует. Значение ограничения длины пути может быть целым числом отличным от "None", но не меньше 1. Использование ключа: Цифровая подпись. Подпись сертификата. Шифрование ключей. Подписывание списка отзыва (CRL). Расширенное использование ключа (Extended Key Usage, EKU) (необязательно): аутентификация Сервера и аутентификация клиента. EKU необязательно, но если оно содержится в вашем сертификате, данные аутентификации Сервера и клиента должны быть указаны в EKU.
Мобильный сертификат, мобильный резервный сертификат ("M", "MR")	Минимальная длина ключа: 2048. Основные ограничения: CA: Да. Ограничение длины пути: Отсутствует. Значение ограничения длины пути может быть целым числом, отличным от "None", если общий сертификат имеет значение ограничения длины пути не менее 1. Используемые ключи: Цифровая подпись. Подпись сертификата. Шифрование ключей. Подписывание списка отзыва (CRL). Расширенное использование ключа (EKU): аутентификация Сервера. EKU необязательно, но если оно содержится в вашем сертификате, данные аутентификации Сервера должны быть указаны в EKU.
Сертификат, выпущенный доверенным центром сертификации (CA), для автоматически генерируемых пользовательских сертификатов (MCA)	Минимальная длина ключа: 2048. Основные ограничения: CA: Да. Ограничение длины пути: Отсутствует. Значение ограничения длины пути может быть целым числом, отличным от "None", если Общий сертификат имеет значение ограничения длины пути не менее 1. Использование ключа: Цифровая подпись. Подпись сертификата. Шифрование ключей. Подписывание списка отзыва (CRL). Расширенное использование ключа (англ. Extended Key Usage, EKU): аутентификация клиента. EKU необязателен, но если он содержится в вашем сертификате, данные аутентификации клиента должны быть указаны в EKU.

Тип сертификата

Требования

Общий сертификат, общий резервный сертификат ("С", "CR")

Минимальная длина ключа: 2048.

Основные ограничения:

Ограничение длины пути: Отсутствует.
Значение ограничения длины пути может быть целым числом отличным от "None", но не меньше 1.

Использование ключа:

Цифровая подпись.
Подпись сертификата.
Шифрование ключей.
Подписывание списка отзыва (CRL).

Расширенное использование ключа (Extended Key Usage, EKU) (необязательно): аутентификация Сервера и аутентификация клиента. EKU необязательно, но если оно содержится в вашем сертификате, данные аутентификации Сервера и клиента должны быть указаны в EKU.

Мобильный сертификат, мобильный резервный сертификат ("M", "MR")

Минимальная длина ключа: 2048.

Основные ограничения:

CA: Да.
Ограничение длины пути: Отсутствует.
Значение ограничения длины пути может быть целым числом, отличным от "None", если общий сертификат имеет значение ограничения длины пути не менее 1.

Используемые ключи:

Цифровая подпись.
Подпись сертификата.
Шифрование ключей.
Подписывание списка отзыва (CRL).

Расширенное использование ключа (EKU): аутентификация Сервера. EKU необязательно, но если оно содержится в вашем сертификате, данные аутентификации Сервера должны быть указаны в EKU.

Сертификат, выпущенный доверенным центром сертификации (CA), для автоматически генерируемых пользовательских сертификатов (MCA)

Минимальная длина ключа: 2048.

Основные ограничения:

CA: Да.
Ограничение длины пути: Отсутствует.
Значение ограничения длины пути может быть целым числом, отличным от "None", если Общий сертификат имеет значение ограничения длины пути не менее 1.

Использование ключа:

Цифровая подпись.
Подпись сертификата.
Шифрование ключей.
Подписывание списка отзыва (CRL).

Расширенное использование ключа (англ. Extended Key Usage, EKU): аутентификация клиента. EKU необязателен, но если он содержится в вашем сертификате, данные аутентификации клиента должны быть указаны в EKU.

Сертификаты, выпущенные доверенным центром сертификации (англ. certificate authority, CA), не имеют разрешения на подписывание сертификатов. Чтобы использовать такие сертификаты, убедитесь, что на точках распространения или шлюзах соединения в вашей сети установлен Агент администрирования версии 13 или выше. В противном случае вы не сможете использовать сертификаты без разрешения на подпись.

Этапы

Указание сертификата Сервера администрирования состоит из следующих этапов:

Замена сертификата Сервера администрирования
Используйте для этой цели утилиту командной строки klsetsrvcert.
Указание нового сертификата и восстановление связи Агентов администрирования с Сервером администрирования
При замене сертификата все Агенты администрирования, ранее подключенные к Серверу администрирования по SSL, перестанут подключаться к Серверу с ошибкой "Ошибка аутентификации Сервера администрирования". Чтобы указать новый сертификат и восстановить соединение, используйте командную строку утилиты klmover.
Указание нового сертификата в параметрах Kaspersky Security Center Web Console
После замены сертификата укажите это в параметрах Kaspersky Security Center Web Console. Иначе Kaspersky Security Center Web Console не сможет подключиться к Серверу администрирования.

Результаты

После завершения сценария сертификат Сервера администрирования будет заменен, Сервер Агент администрирования на управляемых устройствах аутентифицирует Сервер с использованием нового сертификата.

См. также:

О сертификатах Kaspersky Security Center

О сертификате Сервера администрирования

Требования к пользовательским сертификатам, используемым в Kaspersky Security Center

Основной сценарий установки

В начало