關於卡巴斯基安全管理中心憑證

卡巴斯基安全管理中心使用以下類型的憑證來啟用應用程式元件之間的安全互動：

• 管理伺服器憑證
• 行動憑證
• 網頁伺服器憑證
• 卡巴斯基安全管理中心網頁主控台憑證
• 身分和存取管理器憑證

預設情況下，卡巴斯基安全管理中心使用自我簽署憑證（即由卡巴斯基安全管理中心本身頒發的憑證），但是您可以用自訂憑證加以替換，以更好地滿足組織網路的要求並符合安全標準。在管理伺服器驗證自訂憑證是否滿足所有適用要求之後，該憑證將承擔與自我簽署憑證相同的功能範圍。唯一的區別是自訂憑證在到期後不會自動重新發行。您可以透過 klsetsrvcert 公用程式或透過卡巴斯基安全管理中心 網頁主控台中的「管理伺服器屬性」區段將憑證替換為自訂憑證，具體視憑證類型而定。使用 klsetsrvcert 實用程式時，您需要使用以下值之一指定憑證類型：

• C—適用於連接埠 13000 和 13291 的常見憑證。
• CR—適用於連接埠 13000 和 13291 的預留憑證。
• M—適用於連接埠 13292 的行動憑證。
• MR—適用於連接埠 13292 的行動預留憑證。
• MCA—適用於自動產生使用者憑證的行動憑證機構。

任何管理伺服器憑證的最長有效期不得超過 397 天。

管理伺服器憑證

管理伺服器憑證需要用於以下目的：

• 當卡巴斯基安全管理中心網頁主控台連線到管理伺服器時對其進行身分驗證。
• 受管理裝置上管理伺服器和網路代理之間的安全互動。
• 主管理伺服器連線到從屬管理伺服器時的身分驗證。

管理伺服器憑證是在安裝管理伺服器元件時自動產生的，並儲存在 /var/opt/kaspersky/klnagent_srv/1093/cert/ 資料夾中。您在建立回應檔案以安裝卡巴斯基安全管理中心 網頁主控台時指定管理伺服器憑證。該憑證稱為通用憑證 ("C")。

管理伺服器憑證 397 天有效。卡巴斯基安全管理中心會在通用憑證到期前 90 天自動產生一個一般儲備 ("CR") 憑證。公用預留憑證隨後會用來無縫替換管理伺服器憑證。當公用憑證即將到期時，公用預留憑證會用來維持與安裝在受管理裝置上網路代理實例的連線。為此，通用預留憑證會在舊的通用憑證到期前 24 小時自動變為新的通用憑證。

任何管理伺服器憑證的最長有效期不得超過 397 天。

如有必要，您可以為管理伺服器分配協力廠商憑證。例如，為了更好的整合您企業的現有 PKI 或為了憑證欄位的自訂設定，這可能是必要的。當取代憑證時，所有先前透過 SSL 連線到管理伺服器的網路代理將遺失它們的連線，並將返回「管理伺服器身分驗證錯誤」。要消除該錯誤，您將必須在憑證取代後還原連線。

在管理伺服器憑證被備用憑證或自訂憑證取代後，在回應檔案中指定新憑證，然後使用此檔案重新安裝卡巴斯基安全管理中心網頁主控台。否則，卡巴斯基安全管理中心網頁主控台將無法連線到管理伺服器。

如果遺失了管理伺服器憑證，要想還原憑證，就只能重新安裝管理伺服器元件，然後還原資料。

您也可以與其他管理伺服器設定獨立的備份管理伺服器憑證，以在將管理伺服器從一部裝置移至另一部裝置時不會遺失資料。

如果您在不同的瀏覽器中開啟卡巴斯基安全管理中心網頁主控台並在管理伺服器屬性視窗中下載管理伺服器憑證檔案，則下載的檔案具有不同名稱。

行動憑證

在行動裝置上對管理伺服器進行驗證需要行動憑證（「M」）。您可以在管理伺服器內容中指定行動憑證。

此外還有行動預留（「MR」）憑證：該憑證會用來無縫替換行動憑證。卡巴斯基安全管理中心會在通用憑證到期前 60 天自動產生此憑證。當行動憑證即將到期時，將使用行動備用憑證來維護與安裝在受管理行動裝置上的網路代理實例的連線。為此，行動備用憑證會在舊的行動憑證到期前 24 小時自動變為新的行動憑證。

如果連線情境要求在行動裝置上使用用戶端憑證（涉及雙向 SSL 驗證的連線），則您可以透過用於自動產生的使用者憑證（「MCA」）的憑證機構來產生那些憑證。此外，在管理伺服器內容中，您可以指定由其他憑證機構發行的自訂用戶端憑證，而與組織的網域公用金鑰基礎架構 (PKI) 整合，可讓您透過網域憑證機構發佈用戶端憑證。

此外，為了在執行 iOS 作業系統的行動裝置上對管理伺服器進行身分驗證，需要 iOS MDM 伺服器憑證。有關詳細資訊，請參閱配置 iOS MDM 伺服器憑證。

網頁伺服器憑證

Web 伺服器是卡巴斯基安全管理中心管理伺服器的一個元件，使用特殊類型的憑證。發佈網路代理安裝套件（隨後將其下載到受管理裝置）以及發佈 Kaspersky Security for Mobile 安裝套件都需要此憑證。基於此用途，網頁伺服器可以使用各種憑證。

如果停用行動裝置支援，則網頁伺服器會按優先等級使用以下憑證之一：

1. 您透過管理主控台手動指定的自訂網頁伺服器憑證
2. 通用管理伺服器憑證 ("C")

如果啟用行動裝置支援，則網頁伺服器會按優先等級使用以下憑證之一：

1. 您透過管理主控台手動指定的自訂網頁伺服器憑證
2. 自訂行動憑證
3. 自我簽署行動憑證（「M」）
4. 通用管理伺服器憑證 ("C")

卡巴斯基安全管理中心網頁主控台憑證

卡巴斯基安全管理中心網頁主控台（以下簡稱「網頁主控台」）的伺服器有自己的憑證。當您開啟網站時，瀏覽器會驗證您的連線是否可信。網頁主控台憑證允許您對網頁主控台進行身分驗證，並被用於加密瀏覽器和網頁主控台之間的流量。

當您開啟網頁主控台時，瀏覽器會通知您與網頁主控台的連線不是私有，並且網頁主控台憑證無效。出現此警告是因為網頁主控台憑證為自簽名並由卡巴斯基安全管理中心自動產生。要刪除此警告，您可以執行以下操作之一：

• 用自訂憑證替代網頁主控台憑證（建議選項）。建立一個在您的基礎架構中受信任且滿足自訂憑證的要求的憑證。
• 將網頁主控台憑證新增到受信任的瀏覽器憑證清單中。我們建議您僅在無法建立自訂憑證時使用此選項。

身分和存取管理器憑證

身分和存取管理器憑證（IAM 憑證）需要用於以下目的：

• 當使用者的瀏覽器透過 OAuth 協定連線到管理伺服器時，對管理伺服器進行身分驗證。
• 當卡巴斯基安全管理中心網頁主控台連線到管理伺服器時對其進行身分驗證。

IAM 憑證會在首次執行管理伺服器時自動建立。憑證儲存在管理伺服器裝置的以下目錄中：var/opt/kaspersky/klnagent_srv/iam/main_certificate.pem（對於卡巴斯基安全管理中心容錯移轉叢集，路徑為：<shared data folder>/iam/main_certificate.pem）。在建立用於安裝卡巴斯基安全管理中心網頁主控台的回應檔案時，必須使用 iamCertPath 參數指定 IAM 憑證的路徑。

IAM 憑證的有效期為 365 天。卡巴斯基安全管理中心會在目前憑證到期前 48 小時自動產生一個一般備用 IAM 憑證。備用憑證隨後會被用來無縫替換過期的 IAM 憑證。

任何 IAM 憑證的最長有效期不得超過 397 天。

如有必要，您可以指派自訂 IAM 憑證。例如，為了更好的整合您企業的現有 PKI 或為了憑證欄位的自訂設定，這可能是必要的。

在 IAM 憑證被備用憑證或自訂憑證取代後，在回應檔案中指定新憑證，然後使用此檔案重新安裝卡巴斯基安全管理中心網頁主控台。否則，卡巴斯基安全管理中心網頁主控台將無法連線到管理伺服器。

當您登入卡巴斯基安全管理中心網頁主控台時，瀏覽器會重新導向至管理伺服器登入頁面（https://<管理伺服器位址>:4444）進行身分驗證。瀏覽器和管理伺服器之間的流量使用 TLS 協定和 IAM 憑證加密。

瀏覽器可能會告知您與管理伺服器的連線非私密，且 IAM 憑證無效。出現此警告是因為 IAM 憑證為自簽名並由卡巴斯基安全管理中心自動產生。要刪除此警告，您可以執行以下操作之一：

• 用自訂憑證替代 IAM 憑證（建議選項）。建立一個在您的基礎架構中受信任且滿足自訂憑證的要求的憑證。
• 將 IAM 憑證新增到受信任的瀏覽器憑證清單中。我們建議您僅在無法建立自訂憑證時使用此選項。

另請參閱 卡巴斯基安全管理中心 Linux 中使用的自訂憑證要求 情境：指定自訂管理伺服器憑證 正在啟動 管理伺服器階層：主管理伺服器和從屬管理伺服器 網頁伺服器

頁頂