Scénario : Spécifier le certificat personnalisé du Serveur d'administration

Vous pouvez attribuer le certificat personnalisé du Serveur d'administration, par exemple, pour une meilleure intégration avec l'infrastructure à clé publique (PKI) existante de votre entreprise ou pour une configuration personnalisée des champs du certificat. Il est conseillé de remplacer le certificat directement après l'installation du Serveur d'administration, avant la fin de l'Assistant de configuration initiale de l'application.

La période de validité maximale des certificats du Serveur d'administration ne doit pas dépasser 397 jours.

Prérequis

Le nouveau certificat doit être créé au format PKCS#12 (par exemple, au moyen de la PKI de l'organisation) et doit être émis par une autorité de certification (CA) de confiance. De plus, le nouveau certificat doit inclure toute la chaîne de confiance et une clé privée, qui doit être stockée dans le fichier avec l'extension pfx ou p12. Pour le nouveau certificat, les exigences énumérées ci-dessous doivent être remplies.

Conditions requises pour les certificats du Serveur d'administration

Type de certificat

Conditions

Certificat commun, certificat de réserve commun ("C", "CR")

Longueur de clé minimale : 2 048.

Contraintes de base :

  • Contrainte de longueur de chemin : aucune

    La valeur Contrainte de longueur de chemin peut varier d'un nombre entier de "Aucune", mais ne peut pas être inférieure à 1.

Utilisation des clés :

  • Signature numérique
  • Signature du certificat
  • Chiffrement de clé
  • Signature CRL

Utilisation de clés étendues (EKU) : authentification du serveur, authentification du client. L'EKU est facultative, mais si votre certificat la contient, les données d'authentification du serveur et du client doivent être spécifiées dans l'EKU.

Certificat mobile, certificat de réserve mobile ("M", "MR")

Longueur de clé minimale : 2 048.

Contraintes de base :

  • Autorité de certification : vrai
  • Contrainte de longueur de chemin : aucune

    La valeur Contrainte de longueur de chemin peut varier d'un nombre entier de "Aucune" si le certificat commun a une valeur Contrainte de longueur de chemin non inférieure à 1.

Utilisation des clés :

  • Signature numérique
  • Signature du certificat
  • Chiffrement de clé
  • Signature CRL

Utilisation de clés étendues (EKU) : authentification du serveur. L'EKU est facultative, mais si votre certificat la contient, les données d'authentification du serveur doivent être spécifiées dans l'EKU.

Certificat d'autorité de certification pour les certificats utilisateur générés automatiquement ("MCA")

Longueur de clé minimale : 2 048.

Contraintes de base :

  • Autorité de certification : vrai
  • Contrainte de longueur de chemin : aucune

    La valeur Contrainte de longueur de chemin peut varier d'un nombre entier de "Aucune" si le certificat commun a une valeur Contrainte de longueur de chemin non inférieure à 1.

Utilisation des clés :

  • Signature numérique
  • Signature du certificat
  • Chiffrement de clé
  • Signature CRL

Utilisation de clés étendues (EKU) : authentification du serveur. L'EKU est facultative, mais si votre certificat la contient, les données d'authentification du client doivent être spécifiées dans l'EKU.

Les certificats émis par une autorité de certification publique ne disposent pas de l'autorisation de signature de certificat. Pour utiliser ces certificats, assurez-vous d'avoir installé la version 13 ou supérieure de l'Agent d'administration sur les points de distribution ou les passerelles de connexion de votre réseau. Sinon, vous ne pourrez pas utiliser de certificats sans l'autorisation de signature.

Étapes

La spécification du certificat du Serveur d'administration se déroule par étapes :

  1. Remplacement du certificat du Serveur d'administration

    Utiliser la ligne de commande utilitaire klsetsrvcert dans ce but.

  2. Spécification d'un nouveau certificat et rétablissement de la connexion des Agents d'administration au Serveur d'administration

    Lors du remplacement du certificat, tous les Agents d'administration déjà connectés au Serveur d'administration via SSL se déconnectent du Serveur avec l'erreur "Erreur d'authentification du Serveur d'administration". Pour désigner le nouveau certificat et rétablir la connexion, utilisez la ligne ce commande utilitaire klmover.

  3. Spécification d'un nouveau certificat dans les paramètres de Kaspersky Security Center Web Console

    Après avoir remplacé le certificat, indiquez-le dans le fichier de réponses, puis mettez à jour Kaspersky Security Center Web Console à l'aide de ce fichier. Sinon, Kaspersky Security Center Web Console ne pourra pas se connecter au serveur d'administration.

Résultats

Lorsque vous avez terminé le scénario, le certificat du Serveur d'administration est remplacé et le serveur est authentifié par les Agents d'administration sur les appareils administrés.

Voir également :

À propos des certificats de Kaspersky Security Center

Conditions requises pour les certificats personnalisés utilisés dans Kaspersky Security Center Linux

Guide de démarrage

Haut de page