klsetsrvcert утилитасын пайдаланып, Басқару сервері сертификатын ауыстыру

Басқару сервері сертификатын ауыстыру үшін:

Пәрмен жолында келесі пәрменді орындаңыз:

klsetsrvcert [-t <сертификат түрі> {-i <жаңа сертификатқа жол> [-p <құпиясөз>] [-o <параметрлер>] | -g <dns атауы>}][-f <ауыстыру уақыты>][-r <түбірлік сертификаттар>][-l <журнал файлының жолы>]

klsetsrvcert утилитасын жүктеудің қажеті жоқ. Утилита Kaspersky Security Center жеткізу жиынтығының құрамына кіреді. Ол Kaspersky Security Center алдыңғы нұсқаларымен үйлеспейді.

klsetsrvcert утилитасының параметрлерінің сипаттамасы төмендегі кестеде келтірілген.

klsetsrvcert утилитасының параметрлерінің мәндері

Параметр

Мән

-t <сертификат түрі>

Ауыстырылатын сертификат түрі. <сертификат түрі> параметрінің ықтимал мәндері:

  • C – 13000 және 13291 порттары үшін жалпы сертификатты ауыстыру.
  • CR – 13000 және 13291 порттары үшін жалпы резервтік сертификатты ауыстыру.
  • M – 13292 портының ұялы құрылғыларына арналған сертификатты ауыстырыңыз.
  • MR – 13292-порт үшін резервтік ұялы құрылғы сертификатын ауыстыру.
  • MCA – пайдаланушы сертификаттарын автоматты түрде жасау үшін сенімді сертификаттау орталығынан алынған мобильдік құрылғы сертификаты.

-f <ауыстыру уақыты>

Сертификатты ауыстыру кестесі "КК-АА-ЖЖЖЖ СС:ММ" пішімін қолданады (13000 және 13291 порттары үшін).

Жалпы сертификат мерзімі аяқталмай тұрып, оны жалпы резервтік сертификатпен ауыстырғыңыз келсе, осы параметрді қолданыңыз.

Басқарылатын құрылғылардың жаңа сертификатты пайдаланып Басқару серверімен синхрондау уақытын көрсетіңіз.

-i <жаңа сертификатқа жол>

Сертификаты бар контейнер және PKCS#12 пішіміндегі жеке кілт (p12 немесе pfx кеңейтімі бар файл).

-p <құпиясөз>

p12 контейнерін қорғайтын құпиясөз.

Сертификат пен жеке кілт контейнерде сақталады, сондықтан контейнер файлын шифрсыздау үшін құпиясөз қажет.

-o <тексеру параметрлері>

Сертификатты тексеру параметрлері (нүктелі үтірмен бөлінген).

Қол қоюға рұқсатсыз пайдаланушы сертификатын пайдалану үшін klsetsrvcert утилитасында -o NoCA көрсетіңіз. Бұл сенімді сертификаттау орталығы шығарған сертификаттар үшін пайдалы (ағылшынша certificate authority, CA).

C немесе CR түріндегі сертификаттар үшін шифрлау кілтінің ұзындығын өзгерту үшін klsetsrvcert утилитасында -o RsaKeyLen:<кілт ұзындығы> деп көрсетіңіз, мұндағы <кілт ұзындығы> параметрі – қажетті кілт ұзындығы. Әйтпесе, ағымдағы сертификат кілтінің ұзындығы пайдаланылады.

-g <dns атауы>

Сертификат көрсетілген DNS атауымен жасалады.

-r <түбірлік сертификаттар>

Сенімді сертификаттау орталығы қол қойған PEM пішіміндегі сенімді түбірлік сертификаттардың тізімі.

-l <журнал файлының жолы>

Нәтижелерді шығару файлы. Әдепкі бойынша, шығару стандартты шығару ағынында жүзеге асырылады.

Мысалы, Басқару серверінің пайдаланушы сертификатын көрсету үшін келесі пәрменді пайдаланыңыз:

klsetsrvcert -t C -i <жаңа сертификатқа жол> -p <құпиясөз> -o NoCA

Сертификатты ауыстырғаннан кейін, SSL протоколы арқылы Басқару серверіне қосылған барлық Желілік агенттер байланысын жоғалтады. Байланысты қалпына келтіру үшін, klmover утилитасы пәрмен жолағын қолданыңыз.

Желілік агенттердің қосылымдарын жоғалтпау үшін келесі пәрмендерді пайдаланыңыз:

  1. Жаңа сертификатты орнату үшін,

    klsetsrvcert.exe -t CR -i <жаңа сертификатқа жол> -p <құпиясөз> -o NoCA

  2. Жаңа сертификатқа өтінім беру күнін көрсету үшін,

    klsetsrvcert.exe -f "DD-MM-YYYY hh:mm"

мұндағы "DD-MM-YYYY hh:mm" күні ағымдағы күннен 3-4 аптаға көбірек. Сертификатты жаңа сертификатқа ауыстыру уақытын ауыстыру жаңа сертификатты барлық Желілік агенттерге таратуға мүмкіндік береді.

Сондай-ақ, қараңыз:

Сценарий: Басқару серверінің пайдаланушы сертификатын белгілеу
Басына оралу