Kaspersky Security Center 使用以下类型的证书来启用应用程序组件之间的安全交互:
默认情况下,Kaspersky Security Center 使用自签名证书(即,由 Kaspersky Security Center 自身颁发),但是您可以将其替换为自定义证书,以更好地满足组织网络的要求并符合安全标准。在管理服务器验证自定义证书是否满足所有适用要求之后,该证书将承担与自签名证书相同的功能范围。唯一的区别是自定义证书不会在到期后自动重新颁发。您可以通过 klsetsrvcert 实用程序或通过 Kaspersky Security Center Web Console 中的管理服务器属性区域将证书替换为自定义证书,具体取决于证书类型。使用 klsetsrvcert 实用程序时,需要使用以下值之一指定证书类型:
管理服务器证书的最长有效期不得超过 397 天。
管理服务器证书
出于以下目的需要管理服务器证书:
管理服务器证书是在安装管理服务器组件时自动生成的,并保存在 /var/opt/kaspersky/klnagent_srv/1093/cert/ 文件夹下。在创建响应文件以安装 Kaspersky Security Center Web Console 时,指定管理服务器证书。此证书称为通用(“C”)证书。
管理服务器证书的有效期为 397 天。Kaspersky Security Center 会在普通证书到期前 90 天自动生成普通备用 ("CR") 证书。通用备用证书随后用于无缝替换管理服务器证书。当通用证书即将到期时,通用备用证书用于保持与受管理设备上安装的网络代理实例的连接。为此,通用备用证书会在旧的通用证书到期前 24 小时自动成为新的通用证书。
管理服务器证书的最长有效期不得超过 397 天。
如果必要,您可以为管理服务器分配自定义证书。例如,为了更好的整合您企业的现有 PKI 或为了证书字段的自定义配置,这可能是必要的。当替换证书时,所有先前通过 SSL 连接到管理服务器的网络代理将丢失它们的连接,并将返回“管理服务器身份验证错误“。要消除该错误,您将必须在证书替换后恢复连接。
如果丢失了管理服务器证书,要想恢复该证书,必须重新安装管理服务器组件,然后还原数据。
您还可以将管理服务器证书与其他管理服务器设置分开备份,以将管理服务器从一台设备移动到另一台设备而不丢失数据。
移动证书
在移动设备上对管理服务器进行身份验证需要移动证书(“M”)。您可以在管理服务器属性中指定移动证书。
此外,还存在移动备用(“MR”)证书:它用于无缝替换移动证书。Kaspersky Security Center 会在通用证书到期前 60 天自动生成此证书。当移动证书即将到期时,移动备用证书用于保持与受管理移动设备上安装的网络代理实例的连接。为此,移动备用证书会在旧的移动证书到期前 24 小时自动成为新的移动证书。
如果连接方案要求在移动设备上使用客户端证书(涉及双向 SSL 身份验证的连接),您可以通过自动生成的用户证书(“MCA”)的证书颁发机构来生成那些证书。此外,您可以在管理服务器属性中指定由其他证书颁发机构颁发的自定义客户端证书,而与组织的域公钥基础结构 (PKI) 的集成允许您通过域证书颁发机构颁发客户端证书。
Web 服务器证书
Web 服务器是 Kaspersky Security Center 管理服务器的一个组件,使用一种特殊类型的证书。发布您后续下载到受管理设备的网络代理安装包需要此证书。为此,Web 服务器可以使用各种证书。
Web Server 按优先顺序使用以下证书之一:
Kaspersky Security Center Web Console 证书
Kaspersky Security Center Web Console(以下简称 Web Console)的服务器有自己的证书。当您打开网站时,浏览器会验证您的连接是否可信。Web Console 证书允许您对 Web Console 进行身份验证,并用于加密浏览器和 Web Console 之间的流量。
当您打开 Web Console 时,浏览器可能会通知您与 Web Console 的连接不是私有连接,并且 Web Console 证书无效。出现此警告是因为 Web Console 证书是自签名的,并且由 Kaspersky Security Center 自动生成。要移除此警告,可以执行以下操作之一: