Zertifikats des Administrationsservers mittels Dienstprogramm klsetsrvcert ersetzen

So ersetzen Sie das Zertifikat des Administrationsservers:

Führen Sie aus der Befehlszeile das folgenden Dienstprogramm aus:

klsetsrvcert [-t <Typ> {-i <Eingabedatei> [-p <Kennwort>] [-o <chkopt>] | -g <DNS-Name>}][-f <Zeit>][-r <calistfile>][-l <Protokolldatei>]

Sie müssen das Dienstprogramm klsetsrvcert nicht herunterladen. Dieses Tool gehört zum Programmpaket von Kaspersky Security Center Linux. Es ist nicht mit früheren Versionen von Kaspersky Security Center Linux kompatibel.

Die Beschreibung der Parameter des Dienstprogramms klsetsrvcert finden Sie in der folgenden Tabelle.

Parameterwerte des Dienstprogramms klsetsrvcert

Parameter

Wert

-t <Typ>

Typ des Zertifikats, das ersetzt werden muss. Mögliche Einstellungswerte des Parameters <Typ>:

  • C – gewöhnliches Zertifikat für die Ports 13000 und 13291 ersetzen.
  • CR – gewöhnliches Reservezertifikat für die Ports 13000 und 13291 ersetzen.

-f <Zeit>

Zeitplan für das Ersetzen der Zertifikate im Format "DD-MM-YYYY hh:mm" (für die Ports 13000 und 13291).

Verwenden Sie diesen Parameter, wenn Sie das gewöhnliche Zertifikat oder das gewöhnliche Reservezertifikat ersetzen möchten, bevor es abläuft.

Geben Sie die Zeit an, zu der verwaltete Geräte mit dem Administrationsserver mit einem neuen Zertifikat synchronisiert werden müssen.

-I <Eingabedatei>

Container mit dem Zertifikat und privatem Schlüssel im Format PKCS#12 (Datei mit der p12- oder pfx-Erweiterung).

-p <Kennwort>

Kennwort, mithilfe dessen der p12-Container geschützt ist.

Da das Zertifikat und ein privater Schlüssel im Container gespeichert werden, wird das Kennwort benötigt, um die Datei mit dem Container zu entschlüsseln.

-o <chkopt>

Parameter der Zertifikatsvalidierung (durch Strichpunkt getrennt).

Um ein benutzerdefiniertes Zertifikat ohne Signaturberechtigung zu verwenden, geben Sie im Dienstprogramm klsetsrvcert -o NoCA an. Dies ist nützlich für Zertifikate, die von einer öffentlichen Zertifizierungsstelle ausgestellt wurden.

Um für Zertifikate vom Typ C oder CR die Länge des Chiffrierschlüssels zu ändern, geben Sie in dem Tool "klsetsrvcert" die Option -o RsaKeyLen:<Schlüssellänge> an, wobei der Parameter <Schlüssellänge> der erforderlichen Länge des Schlüssels entspricht. Andernfalls wird die aktuelle Länge des Zertifikatsschlüssels verwendet.

-g <DNS-Name>

Ein neues Zertifikat wird für den angegebenen DNS-Namen erstellt.

-r <calistfile>

Liste mit vertrauenswürdigen Zertifizierungsstellen für Stammzertifikate im Format PEM.

-l <Protokolldatei>

Datei zur Ausgabe der Ergebnisse. Standardmäßig erfolgt die Ausgabe im Standardausgabestream.

Um das benutzerdefinierte Zertifikat des Administrationsservers anzugeben, verwenden Sie beispielsweise den folgenden Befehl:

klsetsrvcert -t C -i <Eingabedatei> -p <Kennwort> -o NoCA

Nachdem das Zertifikat ersetzt wurde, verlieren alle Administrationsagenten, die über SSL mit dem Administrationsserver verbunden sind, ihre Verbindung. Verwenden Sie das Befehlszeilen-Dienstprogramm klmover, um es Wiederherstellen.

Um zu vermeiden, dass die Verbindungen mit den Administrationsagenten verloren gehen, verwenden Sie die folgenden Befehle:

  1. Um ein neues Zertifikats zu installieren:

    klsetsrvcert -t CR -i <Eingabedatei> -p <Kennwort> -o NoCA

  2. Um ein Datum anzugeben, an dem das Zertifikat angewendet wird:

    klsetsrvcert -f "DD-MM-YYYY hh:mm"

Wobei TT-MM-JJJJ hh:mm das Datum 3-4 Wochen nach dem aktuellen Datum darstellt. Der zeitliche Versatz ist zum Austauschen des Zertifikats durch ein neues vorgesehen und ermöglicht die Verteilung dieses neuen Zertifikats an alle Administrationsagenten.

Siehe auch:

Szenario: Angeben des benutzerdefinierten Zertifikats des Administrationsservers

Nach oben