使用 klsetsrvcert 实用程序替换管理服务器证书

要替换管理服务器证书:

从命令提示符运行以下实用程序:

klsetsrvcert [-t <类型> {-i <输入文件> [-p <密码>] [-o <证书验证参数>] | -g <DNS 名称>}][-f <时间>][-r <证书颁发机构列表文件>][-l <日志文件>]

您无需下载 klsetsrvcert 实用程序。它包含在 Kaspersky Security Center Linux 分发包中。它与以前的 Kaspersky Security Center Linux 版本不兼容。

下表列出了 klsetsrvcert 实用程序参数的说明。

klsetsrvcert 实用工具参数值

参数

参数值

-t <类型>

要替换的证书类型。<类型> 参数的可能值:

  • C – 为端口 13000 和 13291 替换普通证书。
  • CR – 为端口 13000 和 13291 替换普通预留证书。

-f <时间>

更改证书的计划,使用格式“DD-MM-YYYY hh:mm”(对于端口 13000 和 13291)。

如果要在到期前更换普通或普通备用证书,请使用此参数。

指定受管理设备必须与新证书上的管理服务器同步的时间。

-i <输入文件>

带有 PKCS#12 格式证书的容器(带有扩展名 .p12 或 .pfx 扩展名的文件)。

-p <密码>

用于保护 p12 容器的密码。

证书和私钥存储在容器中,因此需要密码才能解密带有容器的文件。

-o <证书验证参数>

证书验证参数(以分号分隔)。

要在没有签名权限的情况下使用自定义证书,请在 klsetsrvcert 实用程序中指定 -o NoCA。这对于公共 CA 颁发的证书很有用。

要更改证书类型 C 或 CR 的加密密钥长度,请在 klsetsrvcert 实用程序中指定-o RsaKeyLen:<密钥长度>,其中<密钥长度>参数是所需的密钥长度值。否则,使用当前证书密钥长度。

-g <DNS 名称>

新证书将为指定 DNS 名称创建。

-r <证书颁发机构列表文件>

受信任的根证书颁发机构列表,格式 PEM。

-l <日志文件>

结果输出文件。默认下,输出被重定向到标准输出流。

例如,要指定“自定义管理服务器证书”,使用以下命令:

klsetsrvcert -t C -i <inputfile> -p <密码> -o NoCA

证书替换后,所有通过 SSL 连接到管理服务器的网络代理都会失去连接。要恢复它,请使用命令行klmover utility

为避免丢失网络代理连接,请使用以下命令:

  1. 要安装新证书,请执行以下命令:

    klsetsrvcert -t CR -i <inputfile> -p <password> -o NoCA

  2. 要指定新证书的应用日期,请执行以下命令:

    klsetsrvcert -f "DD-MM-YYYY hh:mm"

其中 "DD-MM-YYYY hh:mm" 是比当前日期晚 3-4 周的日期。将证书更改为新证书的时间偏移将允许将新证书被分发给所有网络代理。

另请参阅:

场景:指定自定义管理服务器证书

页顶