情境：指定自訂管理伺服器憑證

例如，您可以分配自訂管理伺服器憑證以便更好地與企業的現有公鑰基礎結構 (PKI) 進行整合，或自訂配置憑證欄位。最好在安裝管理伺服器後，快速啟動精靈完成之前立即取代憑證。

任何管理伺服器憑證的最長有效期不得超過 397 天。

先決條件

新憑證必須以 PKCS#12 格式（例如，透過組織的 PKI）建立，並且必須由受信任的憑證頒發機構 (CA) 頒發。此外，新憑證必須包含整個信任鍊和私密金鑰，該私密金鑰必須儲存在副檔名為 pfx 或 p12 的檔案中。對於新憑證，必須滿足以下列出的要求。

憑證類型：一般憑證，一般備用憑證（「C」、「CR」）

要求：

• 最小金鑰長度：2048
• 基本限制：
  • CA：真
  • 路徑長度限制：無

    路徑長度限制值可以有別於「無」，但不能小於「1」。

• 金鑰使用情況：
  • 電子簽名
  • 憑證籤名
  • 金鑰加密
  • CRL 簽署
• 延伸金鑰使用 (EKU)：伺服器身分驗證和用戶端身分驗證。EKU 可選，但如果您的憑證包含它，則必須在 EKU 中指定伺服器和用戶端身分驗證資料。

公共 CA 頒發的憑證沒有憑證簽名權限。要使用此類憑證，請確保您在網路中的發佈點或連線閘道上安裝了網路代理版本 13 或更高版本。否則，您將無法在沒有簽名權限的情況下使用憑證。

階段

指定管理伺服器憑證分階段進行：

1. 替換管理伺服器憑證

   為此使用指令行 klsetsrvcert utility。

2. 指定新憑證和還原網路代理與管理伺服器的連線

   當憑證被取代時，所有先前透過 SSL 連線到管理伺服器的網路代理會遺失它們的連線，並返回「管理伺服器身分驗證錯誤」。要指定新憑證和還原連線，使用 klmover 公用程式。

結果

當您結束情境時，管理伺服器憑證被取代，且伺服器得到受管理裝置上的網路代理的身分驗證。

另請參閱： 關於卡巴斯基安全管理中心憑證 卡巴斯基安全管理中心 Linux 中使用的自訂憑證要求 正在啟動

頁頂