Zastępowanie certyfikatu Serwera administracyjnego za pomocą narzędzia klsetsrvcert

W celu zastąpienia certyfikatu Serwera administracyjnego:

W wierszu polecenia uruchom następujące narzędzie:

klsetsrvcert [-t <typ> {-i <plikwejściowy> [-p <hasło>] [-o <chkopt>] | -g <nazwadns>}][-f <czas>][-r <calistfile>][-l <plikraportu>]

Nie ma konieczności pobierania narzędzia klsetsrvcert. To narzędzie znajduje się w pakiecie dystrybucyjnym Kaspersky Security Center Linux. Nie jest kompatybilne z poprzednimi wersjami Kaspersky Security Center Linux.

Opis parametrów narzędzia klsetsrvcert przedstawia poniższa tabela.

Wartości parametrów narzędzia klsetsrvcert

Parametr

Wartość

-t <type>

Typ zastępowanego certyfikatu. Możliwe wartości parametru <type> to:

  • C – zastępuje certyfikat standardowy dla portów 13000 i 13291.
  • CR – zastępuje zapasowy certyfikat standardowy dla portów 13000 i 13291.

-f <time>

Terminarz zmiany certyfikatu w formacie „DD-MM-RRRR gg:mm” (dla portów: 13000 i 13291).

Użyj tego parametru, jeśli chcesz zastąpić standardowy lub standardowy certyfikat zapasowy przed jego wygaśnięciem.

Określ czas, w którym zarządzane urządzenia muszą synchronizować się z Serwerem administracyjnym na nowym certyfikacie.

-i <inputfile>

Kontener z certyfikatem i kluczem prywatnym w formacie PKCS#12 (plik z rozszerzeniem .p12 lub .pfx).

-p <password>

Hasło używane do ochrony kontenera p12.

Certyfikat i klucz prywatny są przechowywane w kontenerze, dlatego do odszyfrowania pliku z kontenerem wymagane jest hasło.

-o <chkopt>

Parametry legalizacji certyfikatu (oddzielone średnikiem).

Aby użyć certyfikatu niestandardowego bez uprawnień do podpisywania, określ -o NoCA w narzędziu klsetsrvcert. Jest to przydatne w przypadku certyfikatów wydanych przez publiczny urząd certyfikacji.

Aby zmienić długość klucza szyfrowania dla certyfikatów typu C lub CR, w narzędziu klsetsrvcert określ parametr -o RsaKeyLen:<długość klucza>, gdzie parametr <długość klucza> jest wymaganą wartością długości klucza. W przeciwnym razie używana jest bieżąca długość klucza certyfikatu.

-g <dnsname>

Nowy certyfikat zostanie utworzony dla określonej nazwy DNS.

-r <calistfile>

Lista zaufanych urzędów certyfikacji w formacie PEM.

-l <logfile>

Zapisuje dane wynikowe. Domyślnie dane wynikowe są przekierowywane do standardowego strumienia wyjściowego.

Na przykład, aby określić niestandardowy certyfikat Serwera administracyjnego, użyj następującego polecenia:

klsetsrvcert -t C -i <plikwejściowy> -p <hasło> -o NoCA

Po zastąpieniu certyfikatu wszystkie Agenty sieciowe połączone z Serwerem administracyjnym przez SSL tracą połączenie. Aby je przywrócić, użyj polecenia narzędzia klmover.

Aby uniknąć utraty połączeń z Agentami sieciowymi, użyj następującego polecenia:

  1. Aby zainstalować nowy certyfikat,

    klsetsrvcert -t CR -i <inputfile> -p <password> -o NoCA

  2. Aby określić datę stosowania nowego certyfikatu,

    klsetsrvcert -f "DD-MM-YYYY hh:mm"

gdzie „DD-MM-RRRR gg:mm” to data 3–4 tygodnie po dacie bieżącej. Przesunięcie czasowe zmiany certyfikatu na nowy pozwoli na rozesłanie nowego certyfikatu do wszystkich Agentów sieciowych.

Zobacz również:

Scenariusz: Określanie niestandardowego certyfikatu Serwera administracyjnego

Przejdź do góry