Kaspersky Security Center używa następujących typów certyfikatów w celu włączenia interakcji między składnikami aplikacji:
Domyślnie, Kaspersky Security Center używa certyfikatów z podpisem własnym (czyli takich, które zostały opublikowane przez sam program Kaspersky Security Center), ale możesz zastąpić je z certyfikatami niestandardowymi, aby lepiej spełniały wymagania sieci w Twojej organizacji i były zgodne ze standardami bezpieczeństwa. Po zweryfikowaniu przez Serwer administracyjny, czy certyfikat niestandardowy spełnia wszystkie odpowiednie wymagania, ten certyfikat obejmuje ten sam obszar funkcyjny jak certyfikat z podpisem własnym. Jedyna różnica to taka, że certyfikat niestandardowy nie jest ponownie publikowany automatycznie po wygaśnięciu. Możesz zastąpić certyfikaty certyfikatami niestandardowymi przy użyciu narzędzia klsetsrvcert lub poprzez sekcję Właściwości Serwera administracyjnego w Kaspersky Security Center Web Console, w zależności od typu certyfikatu. Podczas korzystania z narzędzia klsetsrvcert należy określić typ certyfikatu przy użyciu jednej z następujących wartości:
Maksymalny okres ważności dowolnego certyfikatu Serwera administracyjnego nie może przekraczać 397 dni.
Certyfikaty Serwera administracyjnego
Certyfikat Serwera administracyjnego jest wymagany do następujących celów:
Certyfikat Serwera administracyjnego jest tworzony automatycznie w trakcie instalacji modułu Serwera administracyjnego i jest przechowywany w folderze /var/opt/kaspersky/klnagent_srv/1093/cert/. Certyfikat Serwera administracyjnego określasz podczas tworzenia pliku odpowiedzi w celu zainstalowania Kaspersky Security Center Web Console. Ten certyfikat jest nazywany standardowym („C”).
Certyfikat Serwera administracyjnego jest ważny przez 397 dni. Kaspersky Security Center automatycznie generuje wspólny certyfikat rezerwowy („CR”) 90 dni przed wygaśnięciem certyfikatu wspólnego. Wspólny certyfikat rezerwowy jest dalej używany dla bezproblemowego zastąpienia certyfikat Serwera administracyjnego. Jeśli certyfikat standardowy wkrótce wygaśnie, wspólny certyfikat rezerwowy jest używany do zachowania połączenia z instancjami Agenta sieciowego, zainstalowanymi na zarządzanych urządzeniach. Wspólny certyfikat rezerwowy automatycznie staje się nowym certyfikatem standardowym na 24 godziny przed wygaśnięciem starego certyfikatu standardowego.
Maksymalny okres ważności dowolnego certyfikatu Serwera administracyjnego nie może przekraczać 397 dni.
Jeśli to konieczne, możesz przypisać certyfikat innej firmy dla Serwera administracyjnego. Na przykład, to może być konieczne w celu zapewnienia lepszej integracji z istniejącą PKI Twojej firmy lub w celu przeprowadzenia konfiguracji niestandardowej pól certyfikatu. Podczas zamiany certyfikatu, wszystkie Agenty sieciowe, które wcześniej były połączone z Serwerem administracyjnym za pomocą protokołu SSL, utracą połączenie i zwrócą "Błąd autoryzacji Serwera administracyjnego". Aby wyeliminować ten błąd, będziesz musiał przywrócić połączenie po zastąpieniu certyfikatu.
Jeśli certyfikat Serwera administracyjnego zostanie utracony, aby go odzyskać, musisz ponownie zainstalować moduł Serwera administracyjnego, a następnie przywrócić dane.
Możesz utworzyć kopię zapasową certyfikatu Serwera administracyjnego oddzielnie od innych ustawień Serwera administracyjnego w celu usunięcia Serwera administracyjnego z jednego urządzenia na inne bez utraty danych.
Jeżeli otworzysz Kaspersky Security Center Web Console w różnych przeglądarkach i pobierzesz plik certyfikatu Serwera administracyjnego w oknie właściwości Serwera administracyjnego, pobrane pliki będą miały różne nazwy.
Certyfikaty mobilne
Certyfikat mobilny („M”) jest wymagany do autoryzacji Serwera administracyjnego na urządzeniu mobilnym. Certyfikat mobilny należy wskazać we właściwościach Serwera administracyjnego.
Poza tym, dostępny jest zapasowy certyfikat mobilny („MR”): jest on używany dla bezproblemowego zastąpienia certyfikatu mobilnego. Kaspersky Security Center automatycznie generuje ten certyfikat na 60 dni przed wygaśnięciem certyfikatu standardowego. Jeśli certyfikat mobilny wkrótce wygaśnie, zapasowy certyfikat mobilny jest używany do zachowania połączenia z instancjami Agenta sieciowego, zainstalowanymi na zarządzanych urządzeniach mobilnych. Zapasowy certyfikat mobilny automatycznie staje się nowym certyfikatem standardowym na 24 godziny przed wygaśnięciem starego certyfikatu mobilnego.
Jeśli scenariusz połączenia wymaga użycia certyfikatu klienckiego na urządzeniach mobilnych (połączenie obejmujące dwuetapową autoryzację SSL), możesz wygenerować te certyfikaty przy użyciu urzędu certyfikacji dla automatycznie wygenerowanych certyfikatów używanych („MCA”). Poza tym we właściwościach Serwera administracyjnego można wskazać niestandardowe certyfikaty klienckie opublikowane przez inny urząd certyfikacji, podczas gdy integracja z domeną infrastruktury kluczy publicznych (PKI) Twojej organizacji włącza publikację certyfikatów klienckich przy użyciu urzędu certyfikacji domeny.
Ponadto do uwierzytelnienia Serwera administracyjnego na urządzeniach mobilnych z systemem operacyjnym iOS wymagany jest certyfikat serwera iOS MDM. Więcej informacji znajdziesz w artykule Konfigurowanie certyfikatu serwera iOS MDM.
Certyfikat serwera sieciowego
Serwer sieciowy, składnik Serwera administracyjnego Kaspersky Security Center, używa specjalnego typu certyfikatu. Ten certyfikat jest wymagany do publikowania pakietów instalacyjnych Agenta sieciowego, które są następnie pobierane na zarządzane urządzenia, oraz do pakietów instalacyjnych Kaspersky Security for Mobile. W tym celu serwer sieciowy może użyć różnych certyfikatów.
Jeśli obsługa urządzenia mobilnego jest wyłączona, serwer sieciowy używa jednego z następujących certyfikatów w kolejności priorytetów:
Jeśli obsługa urządzenia mobilnego jest włączona, serwer sieciowy używa jednego z następujących certyfikatów w kolejności priorytetów:
Certyfikat Kaspersky Security Center Web Console
Serwer Kaspersky Security Center Web Console (zwany dalej Web Console) posiada własny certyfikat. Po otwarciu witryny przeglądarka sprawdza, czy połączenie jest zaufane. Certyfikat Web Console umożliwia uwierzytelnianie Web Console i jest używany do szyfrowania ruchu między przeglądarką a Web Console.
Po otworzeniu Web Console przeglądarka informuje użytkownika, że połączenie z Web Console nie jest prywatne oraz że certyfikat Web Console jest nieprawidłowy. Takie ostrzeżenie pojawia się, ponieważ certyfikat Web Console jest certyfikatem z podpisem własnym i jest automatycznie generowany przez Kaspersky Security Center. Aby usunąć to ostrzeżenie, możesz wykonać jedną z następujących czynności: