Substituição do certificado do Servidor de Administração usando o utilitário klsetsrvcert

Para substituir o certificado do Servidor de Administração:

Na linha de comando, execute o seguinte utilitário:

klsetsrvcert [-t <type> {-i <inputfile> [-p <password>] [-o <chkopt>] | -g <dnsname>}][-f <time>][-r <calistfile>][-l <logfile>]

Não é preciso baixar o utilitário klsetsrvcert. Ele está incluído no kit de distribuição do Kaspersky Security Center Linux. Não é compatível com versões anteriores do Kaspersky Security Center Linux.

A descrição dos parâmetros do utilitário klsetsrvcert é apresentada na tabela abaixo.

Valores dos parâmetros do utilitário klsetsrvcert

Parâmetro

Valor

-t <type>

Tipo de certificado a ser substituído. Valores possíveis do parâmetro <type>:

  • C – substitui o certificado para as portas 13000 e 13291.
  • CR – substitui o certificado reserva comum para as portas 13000 e 13291.

-f <time>

Cronograma de alteração do certificado, usando o formato "DD-MM-AAA hh:mm" (para portas 13000 e 13291).

Use o parâmetro se quiser substituir o certificado reserva comum ou o certificado comum antes que ele expire.

Especifique a hora em que os dispositivos gerenciados devem ser sincronizados com o Servidor de Administração em um novo certificado.

-i <inputfile>

Contêiner com o certificado e chave privada no formato PKCS#12 (arquivo com a extensão .p12 ou .pfx).

-p <password>

Senha usada para a proteção o contêiner p12.

O certificado e uma chave privada são armazenados no contêiner, portanto, a senha é necessária para descriptografar o arquivo com o contêiner.

-o <chkopt>

Parâmetros de validação de certificado (separados por ponto e vírgula).

Para usar um certificado personalizado sem a permissão de assinatura, especifique -o NoCA no utilitário klsetsrvcert. Isso é útil para certificados emitidos por uma CA pública.

Para alterar o comprimento da chave de criptografia para os tipos de certificado C ou CR, especifique -o RsaKeyLen:<comprimento da chave> no utilitário klsetsrvcert, em que o parâmetro <comprimento da chave> é o valor do comprimento da chave necessário. Caso contrário, o comprimento da chave do certificado atual será usado.

-g <dnsname>

Um novo certificado será criado para o nome DNS especificado.

-r <calistfile>

Lista de autoridades de certificado raiz confiáveis, formato PEM.

-l <logfile>

Arquivo de saída dos resultados. Por padrão, a saída é redirecionada no fluxo de saída padrão.

Por exemplo, para especificar o certificado personalizado do Servidor de Administração, use o seguinte comando:

klsetsrvcert -t C -i <inputfile> -p <password> -o NoCA

Após a substituição do certificado, todos os Agentes de Rede conectados com Servidor de Administração por meio de SSL perdem a conexão. Para restaurá-la, use a linha de comando do utilitário klmover.

Para evitar a perda das conexões dos Agentes de Rede, use os seguintes comandos:

  1. Para instalar o novo certificado,

    klsetsrvcert -t CR -i <inputfile> -p <password> -o NoCA

  2. Para especificar a data em que o novo certificado será aplicado,

    klsetsrvcert -f "DD-MM-YYYY hh:mm"

em que "DD-MM-AAAA hh:mm" é a data 3 a 4 semanas antes da data atual. A mudança de horário para alterar o certificado para um novo permitirá que um novo certificado seja distribuído a todos os Agentes de Rede.

Consulte também:

Cenário: especificação do certificado personalizado do Servidor de Administração

Topo da página