情境:指定自訂管理伺服器憑證

例如,您可以分配自訂管理伺服器憑證以便更好地與企業的現有公鑰基礎結構 (PKI) 進行整合,或自訂配置憑證欄位。最好在安裝管理伺服器後,快速啟動精靈完成之前立即取代憑證。

任何管理伺服器憑證的最長有效期不得超過 397 天。

先決條件

新憑證必須以 PKCS#12 格式(例如,透過組織的 PKI)建立,並且必須由受信任的憑證頒發機構 (CA) 頒發。此外,新憑證必須包含整個信任鍊和私密金鑰,該私密金鑰必須儲存在副檔名為 pfx 或 p12 的檔案中。對於新憑證,必須滿足下表中列出的要求。

管理伺服器憑證的要求

憑證類型

要求

一般憑證,一般備用憑證(「C」、「CR」)

最小金鑰長度:2048。

基本限制:

  • CA:真
  • 路徑長度限制:無

    路徑長度限制值可以有別於「無」,但不能小於「1」。

金鑰使用情況:

  • 電子簽名
  • 憑證籤名
  • 金鑰加密
  • CRL 簽署

延伸金鑰使用 (EKU):伺服器身分驗證和用戶端身分驗證。EKU 可選,但如果您的憑證包含它,則必須在 EKU 中指定伺服器和用戶端身分驗證資料。

移動憑證、移動備用憑證(「M」、「MR」)

最小金鑰長度:2048。

基本限制:

  • CA:真
  • 路徑長度限制:無

    如果一般憑證的「路徑長度限制值不小於 1」,則「路徑長度限制值」可以是與「無」不同的整數。

金鑰使用情況:

  • 電子簽名
  • 憑證籤名
  • 金鑰加密
  • CRL 簽署

延伸金鑰使用 (EKU):伺服器身分驗證。EKU 可選,但如果您的憑證包含它,則必須在 EKU 中指定伺服器身分驗證資料。

自動產生之使用者憑證(「MCA」)的憑證 CA

最小金鑰長度:2048。

基本限制:

  • CA:真
  • 路徑長度限制:無

    如果一般憑證的「路徑長度限制值不小於 1」,則「路徑長度限制值」可以是與「無」不同的整數。

金鑰使用情況:

  • 電子簽名
  • 憑證籤名
  • 金鑰加密
  • CRL 簽署

延伸金鑰使用 (EKU):用戶端身分驗證。EKU 可選,但如果您的憑證包含它,則必須在 EKU 中指定用戶端身分驗證資料。

公共 CA 頒發的憑證沒有憑證簽名權限。要使用此類憑證,請確保您在網路中的發佈點或連線閘道上安裝了網路代理版本 13 或更高版本。否則,您將無法在沒有簽名權限的情況下使用憑證。

階段

指定管理伺服器憑證分階段進行:

  1. 替換管理伺服器憑證

    為此使用指令行 klsetsrvcert utility

  2. 指定新憑證和還原網路代理與管理伺服器的連線

    當憑證被取代時,所有先前透過 SSL 連線到管理伺服器的網路代理會遺失它們的連線,並返回「管理伺服器身分驗證錯誤」。要指定新憑證和還原連線,使用 klmover 公用程式

  3. 在卡巴斯基安全管理中心網頁主控台的設定中指定新憑證

    更換憑證後,請在卡巴斯基安全管理中心網頁主控台的設定中指定憑證。否則,卡巴斯基安全管理中心網頁主控台將無法連線到管理伺服器。

結果

當您結束情境時,管理伺服器憑證被取代,且伺服器得到受管理裝置上的網路代理的身分驗證。

另請參閱:

關於卡巴斯基安全管理中心憑證

關於管理伺服器憑證

卡巴斯基安全管理中心中使用的自訂憑證要求

主要安裝情境

頁頂