Sostituzione del certificato di Administration Server con l'utilità klsetsrvcert

Per sostituire il certificato di Administration Server:

Dalla riga di comando eseguire la seguente utilità:

klsetsrvcert [-t <type> {-i <inputfile> [-p <password>] [-o <chkopt>] | -g <dnsname>}][-f <time>][-r <calistfile>][-l <logfile>]

Non è necessario scaricare l'utilità klsetsrvcert. È inclusa nel kit di distribuzione di Kaspersky Security Center Linux. Non è compatibile con le versioni precedenti di Kaspersky Security Center Linux.

La descrizione dei parametri dell'utilità klsetsrvcert è contenuta nella seguente tabella.

Valori dei parametri dell'utilità klsetsrvcert

Parametro

Valore

-t <type>

Tipo del certificato da sostituire. Possibili valori del parametro <type>:

  • C– Sostituire il certificato comune per le porte 13000 e 13291.
  • CR– Sostituire il certificato di riserva comune per le porte 13000 e 13291.

-f <time>

Pianificazione per la modifica del certificato, utilizzando il formato "GG-MM-AAAA hh:mm" (per le porte 13000 e 13291).

Utilizzare questo parametro se si desidera sostituire il certificato comune o il certificato di riserva comune prima della scadenza.

Specificare l'ora in cui i dispositivi gestiti devono sincronizzarsi con Administration Server in un nuovo certificato.

-i <inputfile>

Contenitore con il certificato e una chiave privata nel formato PKCS#12 (file con estensione p12 o pfx).

-p <password>

Password utilizzata per la protezione del contenitore p12.

Il certificato e una chiave privata vengono archiviati nel contenitore, pertanto è necessaria la password per decriptare il file con il contenitore.

-o <chkopt>

Parametri di convalida del certificato (separati da punto e virgola).

Per utilizzare un certificato personalizzato senza l'autorizzazione di firma, specificare -o NoCA nell'utilità klsetsrvcert. Questo è utile per i certificati rilasciati da un'autorità di certificazione pubblica.

Per modificare la lunghezza della chiave di crittografia per i tipi di certificato C o CR, specificare -o RsaKeyLen:<lunghezza della chiave> nell'utilità klsetsrvcert, dove il parametro <lunghezza della chiave> è il valore della lunghezza della chiave richiesto. In caso contrario, viene utilizzata la lunghezza della chiave del certificato corrente.

-g <dnsname>

Verrà creato un nuovo certificato per il nome DNS specificato.

-r <calistfile>

Elenco delle autorità di certificazione radice attendibili, formato PEM.

-l <logfile>

File di output dei risultati. Per impostazione predefinita, l'output viene reindirizzato nel flusso di output standard.

Per specificare il certificato personalizzato di Administration Server, utilizzare ad esempio il seguente comando:

klsetsrvcert -t C -i <inputfile> -p <password> -o NoCA

Dopo la sostituzione del certificato, tutti i Network Agent connessi ad Administration Server tramite SSL perdono la connessione. Per ripristinarla, utilizzare l'utilità klmover della riga di comando.

Per evitare di perdere le connessioni di Network Agent, utilizzare i seguenti comandi:

  1. Per installare il nuovo certificato,

    klsetsrvcert -t CR -i <inputfile> -p <password> -o NoCA

  2. Per specificare la data in cui verrà applicato il nuovo certificato,

    klsetsrvcert -f "DD-MM-YYYY hh:mm"

dove "DD-MM-YYYY hh:mm" è la data di 3-4 settimane successive alla data attuale. Lo slittamento temporale per la modifica del certificato in uno nuovo consentirà la distribuzione del nuovo certificato a tutti i Network Agent.

Vedere anche:

Scenario: Specificazione del certificato di Administration Server personalizzato

Inizio pagina