场景：指定自定义管理服务器证书

例如，您可以分配自定义管理服务器证书，以便更好地与贵司的现有公钥基础结构 (PKI) 集成，或自定义配置证书字段。最好在安装管理服务器后，快速启动向导完成之前立即替换证书。

管理服务器证书的最长有效期不得超过 397 天。

先决条件

以下条件必须得到满足：

• 新证书必须以 PKCS#12 格式创建（例如，通过组织的 PKI）。
• 对于新证书，必须满足下表中列出的要求。
• 在下表中，请注意要求“CA: true”，这意味着新证书必须由受信任的证书颁发机构（CA）颁发。具有要求"CA: true"的新证书必须包含整个信任链和私钥，该私钥必须存储在扩展名为 pfx 或 p12 的文件中。

  管理服务器证书的要求

  证书类别	要求
  普通证书，普通备用证书（“C”，“CR”）	最小密钥长度：2048 基本限制： 路径长度限制：无 路径长度约束值可以是不同于“无”的整数，但不能小于 1。 密钥用法： 数字签名 证书签名 密钥加密 CRL 签名 扩展密钥用法 (EKU)：服务器身份验证，客户端身份验证。EKU 可选，但如果您的证书包含它，则必须在 EKU 中指定服务器和客户端身份验证数据。
  移动证书，移动备用证书（“M”，“MR”）	最小密钥长度：2048 基本限制： CA：true 路径长度限制：无 如果普通证书的路径长度限制值不小于 1，则路径长度限制值可能是不同于“无”的整数。 密钥用法： 数字签名 证书签名 密钥加密 CRL 签名 扩展密钥用法 (EKU)：服务器身份验证。EKU 可选，但如果您的证书包含它，则必须在 EKU 中指定服务器身份验证数据。
  自动生成的用户证书的证书 CA（“MCA”）	最小密钥长度：2048 基本限制： CA：true 路径长度限制：无 如果普通证书的路径长度限制值不小于 1，则路径长度限制值可能是不同于“无”的整数。 密钥用法： 数字签名 证书签名 密钥加密 CRL 签名 扩展密钥用法 (EKU)：客户端身份验证。EKU 可选，但如果您的证书包含它，则必须在 EKU 中指定客户端身份验证数据。

公共 CA 颁发的证书没有证书签名权限。要使用此类证书，请确保您在网络中的分发点或连接网关上安装了网络代理版本 13 或更高版本。否则，您将无法在没有签名权限的情况下使用证书。

阶段

指定管理服务器证书分阶段进行：

1. 替换管理服务器证书

   为此目的使用命令行 klsetsrvcert utility。

2. 指定新证书并恢复网络代理与管理服务器的连接

   当证书被替换时，所有先前通过 SSL 连接到管理服务器的网络代理将丢失它们的连接，并返回“管理服务器身份验证错误。”要指定新证书和恢复连接，使用命令行 klmover utility。

3. 在 Kaspersky Security Center Web Console 的设置中指定新证书

   更换证书后，在 Kaspersky Security Center Web Console 的设置中指定证书。否则，Kaspersky Security Center Web Console 将无法连接到管理服务器。

结果

当您结束场景时，管理服务器证书被替换，且服务器得到受管理设备上的网络代理验证。

另请参阅： 关于 Kaspersky Security Center 证书 关于管理服务器证书 对 Kaspersky Security Center 中使用的自定义证书的要求 主要安装方案

页顶