Über die Zertifikate von Kaspersky Security Center

Um eine sichere Interaktion zwischen den Komponenten der Anwendung zu ermöglichen, verwendet Kaspersky Security Center die folgenden Arten von Zertifikaten:

Standardmäßig verwendet Kaspersky Security Center selbstsignierte Zertifikate (d.h., sie werden von Kaspersky Security Center selbst ausgestellt). Sie können diese jedoch durch benutzerdefinierte Zertifikate ersetzen, um den Sicherheitsanforderungen Ihres Unternehmensnetzwerks sowie Sicherheitsstandards besser zu entsprechen. Nachdem der Administrationsserver sichergestellt hat, dass das benutzerdefinierte Zertifikat alle notwendigen Anforderungen erfüllt, nimmt das Zertifikat den gleichen Funktionsumfang wie ein selbstsigniertes Zertifikat an. Der einzige Unterschied besteht darin, dass ein benutzerdefiniertes Zertifikat nach dessen Ablauf nicht automatisch neu ausgestellt wird. Zertifikate können durch benutzerdefinierte Zertifikate ersetzt werden, indem Sie entweder das Dienstprogramm klsetsrvcert verwenden oder je nach Zertifikattyp den Abschnitt "Eigenschaften des Administrationsservers" in Kaspersky Security Center Web Console verwenden. Wenn Sie das Tool "klsetsrvcert" verwenden, müssen Sie für das Zertifikat einen Typ angeben, indem Sie einen der folgenden Werte verwenden:

Die maximale Gültigkeitsdauer für jedes Zertifikat des Administrationsservers beträgt 397 Tage.

Zertifikate des Administrationsservers

Ein Zertifikat des Administrationsservers ist für folgende Zwecke erforderlich:

Das Zertifikat des Administrationsservers wird bei der Installation der Komponente "Administrationsserver" automatisch erstellt und im Ordner /var/opt/kaspersky/klnagent_srv/1093/cert/ gespeichert. Das Zertifikat des Administrationsservers geben Sie an, wenn Sie eine Antwortdatei erstellen, um Kaspersky Security Center Web Console zu installieren. Dieses Zertifikat wird als gewöhnliches Zertifikat (common - "C") bezeichnet.

Das Zertifikat des Administrationsservers ist für 397 Tage gültig. Kaspersky Security Center generiert CR-Zertifikat ("common reserve") automatisch 90 Tage vor Ablauf des gewöhnlichen Zertifikats. Das gewöhnliche Reservezertifikat wird daraufhin für das nahtlose Ersetzen des Zertifikats des Administrationsservers verwendet. Wenn das gemeinsame Zertifikat im Begriff ist abzulaufen, wird das gemeinsame Reservezertifikat verwendet, um die Verbindung mit den Instanzen der Administrationsagenten auf den verwalteten Geräten aufrecht zu erhalten. Aus diesem Grund wird 24 Stunden vor Ablauf des alten gewöhnlichen Zertifikates das gewöhnliche Reservezertifikat automatisch zum neuen gewöhnlichen Zertifikat.

Die maximale Gültigkeitsdauer für jedes Zertifikat des Administrationsservers beträgt 397 Tage.

Bei Bedarf können Sie dem Administrationsserver ein benutzerdefiniertes Zertifikat zuweisen. Dies kann beispielsweise für eine bessere Integration in die vorhandene PKI Ihres Unternehmens oder für die benutzerdefinierte Konfiguration der Zertifikatfelder erforderlich sein. Beim Ersetzen des Zertifikates stellen alle Administrationsagenten, die zuvor mittels SSL mit Administrationsserver verbunden waren, keine Verbindung mit dem Server mehr her und geben den Fehler "Fehler bei der Authentifizierung des Administrationsservers" zurück. Um diesen Fehler zu beheben, müssen Sie die Verbindung nach dem Ersetzen des Zertifikats wiederherstellen.

Sollte das Zertifikat des Administrationsservers verloren gehen, sind zu dessen Wiederherstellung eine Neuinstallation der Komponente "Administrationsserver" und eine anschließende Wiederherstellung der Daten erforderlich.

Außerdem können Sie für das Zertifikat des Administrationsservers eine Sicherungskopie, die von anderen Einstellungen des Administrationsservers separiert ist, erstellen, um so den Administrationsserver ohne Datenverlust von einem Gerät auf ein anderes verlegen zu können.

Mobilgerät-Zertifikate

Ein Mobilgerät-Zertifikat (mobile - "M") wird für die Authentifizierung des Administrationsservers auf mobilen Geräten verwendet. Das Mobilgerät-Zertifikat geben Sie in den Eigenschaften des Administrationsservers an.

Es existiert außerdem ein Mobilgerät-Reservezertifikat ("MR"): Dieses wird für das nahtlose Ersetzen des Mobilgerät-Zertifikats verwendet. Kaspersky Security Center generiert dieses Zertifikat 60 Tage vor Ablauf des gemeinsamen Zertifikats automatisch. Wenn das Mobilgerät-Zertifikat dabei ist abzulaufen, wird das Mobilgerät-Reservezertifikat verwendet, um die Verbindung mit den Instanzen der Administrationsagenten auf den verwalteten mobilen Geräten aufrecht zu erhalten. Aus diesem Grund wird 24 Stunden vor Ablauf des alten Mobilgerät-Zertifikats das Mobilgerät-Reservezertifikat automatisch zum neuen mobilen Zertifikat.

Wenn Sie für Ihr Verbindungsszenario Client-Zertifikate auf den mobilen Geräten benötigen (für Verbindungen unter Verwendung von Two-Way SSL), können Sie diese Zertifikate unter Verwendung der Zertifizierungsstelle für automatisch generierte Benutzerzertifikate (Mobile Certificate Authority -"MCA") erstellen. Außerdem können Sie in den Eigenschaften des Administrationsservers benutzerdefinierte Zertifikate angeben, die von einer anderen Zertifizierungsstelle ausgestellt wurden, während die Integration mit der Domain Public Key Infrastructure (PKI) Ihrer Organisation es Ihnen ermöglicht, Client-Zertifikate durch Ihre Domain-Zertifizierungsstelle auszustellen.

Um den Administrationsservers auf mobilen Geräten mit iOS-Betriebssystem authentifizieren zu können, ist zusätzlich ein iOS MDM-Server-Zertifikat erforderlich. Weitere Informationen finden Sie unter Zertifikat für den iOS MDM-Server konfigurieren

https://support.kaspersky.com/help/KSMM/5.0/en-US/287007.htm
.

Zertifikat des Webservers

Die Webserver-Komponente des Kaspersky Security Center Administrationsservers verwendet einen speziellen Zertifikatstyp. Dieses Zertifikat wird für die Veröffentlichung von Installationspaketen für den Administrationsagenten, die Sie anschließend auf Ihre verwalteten Geräte herunterladen, sowie für Kaspersky Security for Mobil benötigt. Aus diesem Grund kann der Webserver verschiedene Zertifikate verwenden.

Wenn die Unterstützung von mobilen Geräten deaktiviert ist, verwendet der Webserver eins der folgenden Zertifikate, gegliedert nach Priorität:

  1. Benutzerdefiniertes Zertifikat des Webservers, welches Sie manuell in der Verwaltungskonsole angegeben haben
  2. Gewöhnliches Zertifikate des Administrationsservers ("C")

Wenn die Unterstützung von mobilen Geräten aktiviert ist, verwendet der Webserver eins der folgenden Zertifikate, gegliedert nach Priorität:

  1. Benutzerdefiniertes Zertifikat des Webservers, welches Sie manuell in der Verwaltungskonsole angegeben haben
  2. Benutzerdefiniertes Mobilgerät-Zertifikat
  3. Selbstsigniertes Mobilgerät-Zertifikat ("M")
  4. Gewöhnliches Zertifikate des Administrationsservers ("C")

Zertifikat der Kaspersky Security Center Web Console

Der Server der Kaspersky Security Center Web Console (im Folgenden als Web Console bezeichnet) verfügt über ein eigenes Zertifikat. Wenn Sie eine Website öffnen, überprüft ein Browser, ob Ihre Verbindung vertrauenswürdig ist. Das Zertifikat der Web Console ermöglicht Ihnen die Authentifizierung der Web Console und wird verwendet, um den Datenverkehr zwischen einem Browser und der Web Console zu verschlüsseln.

Wenn Sie die Web Console öffnen, informiert Sie der Browser möglicherweise darüber, dass die Verbindung zur Web Console nicht privat und das Zertifikat der Web Console ungültig ist. Diese Warnung wird angezeigt, weil das Zertifikat der Web Console selbstsigniert ist und von Kaspersky Security Center automatisch generiert wird. Um diese Warnung zu vermeiden, können Sie Folgendes tun:

Siehe auch:

Anforderungen an benutzerdefinierte Zertifikate für deren Verwendung in Kaspersky Security Center Linux

Szenario: Angeben des benutzerdefinierten Zertifikats des Administrationsservers

Erste Schritte

Hierarchie der Administrationsserver: primärer Administrationsserver und sekundärer Administrationsserver

Webserver

Nach oben