使用 klsetsrvcert 公用程式替換管理伺服器憑證

要取代管理伺服器憑證:

在命令列下,執行以下公用程式:

klsetsrvcert [-t <type> {-i <inputfile> [-p <password>] [-o <chkopt>] | -g <dnsname>}][-f <time>][-r <calistfile>][-l <logfile>]

您無需下載 klsetsrvcert 公用程式。它包含在卡巴斯基安全管理中心分發套件中。它與以前的卡巴斯基安全管理中心版本不相容。

下表列出了 klsetsrvcert 公用程式參數的說明。

klsetsrvcert 實用工具參數值

參數

參數值

-t <type>

要取代的憑證類型。<type> 參數的可能值:

  • C – 取代連接埠 13000 和 13291 的普通憑證。
  • CR – 取代連接埠 13000 和 13291 的普通預留憑證。

-f <time>

變更憑證的時間排程,使用格式「DD-MM-YYYY hh:mm」(適用於連接埠 13000 和 13291)。

如果要在到期前取代普通或普通儲備憑證,請使用此參數。

指定受管理裝置必須與新憑證上的管理伺服器同步的時間。

-i <輸入檔案>

帶有 PKCS#12 格式憑證和私密金鑰的容器(帶有副檔名 .p12 或 .pfx 的檔案)。

-p <密碼>

用於防護 p12 容器的密碼。

憑證和私密金鑰儲存在容器中,因此需要密碼才能使用容器解密檔案。

-o <chkopt>

憑證驗證參數(以冒號區隔)。

要在沒有簽名權限的情況下使用自訂憑證,請在 klsetsrvcert 公用程式中指定 -o NoCA。這對於公共 CA 頒發的憑證很有用。

若要變更憑證類型 C 或 CR 的加密金鑰長度,請在 klsetsrvcert 公用程式中指定-o RsaKeyLen:<金鑰長度> ,其中<金鑰長度>參數是所需的金鑰長度值。否則,將使用目前的憑證金鑰長度。

-g <DNS 名稱>

新憑證將為指定 DNS 名稱建立。

-r <calistfile>

信任的根憑證授權機構清單,格式 PEM。

-l <記錄檔案>

結果輸入檔案。預設下,輸出被重新定向到標準輸出流。

例如,要指定自訂管理伺服器憑證,使用以下指令:

klsetsrvcert -t C -i <inputfile> -p <password> -o NoCA

憑證被取代後,所有透過 SSL 連線到管理伺服器的網路代理都會失去連線。要還原它,請使用指令行 klmover utility

為避免丟失網路代理連線,請使用以下指令:

  1. 安裝新憑證:

    klsetsrvcert -t CR -i <inputfile> -p <password> -o NoCA

  2. 指定套用新憑證的日期:

    klsetsrvcert -f "DD-MM-YYYY hh:mm"

其中,“DD-MM-YYYY hh:mm” 是比目前日期晚 3-4 週的日期。將憑證變更為備份憑證的時間偏移將允許將新憑證分發給所有網路代理。

另請參閱:

情境:指定自訂管理伺服器憑證

頁頂