替換 Integration Server 和 SVM 憑證
Kaspersky Security 分發套裝包含一個用於管理 Integration Server 憑證和 SVM 憑證的憑證管理實用程式。Integration Server SSL 憑證用於與 Integration Server 建立安全連線以及加密 Protection Server 和 Light Agent 之間的通訊通道。SVM 的 SSL 憑證用於加密 Light Agent 和 Protection Server 之間的通訊通道。
憑證管理工具可讓您:
以下情況可能需要取代憑證:
- 升級解決方案時,為了用更安全的憑證取代先前安裝的憑證。
- 如果使用的憑證已過期或外洩。
- 如果在其上安裝了 Integration Server 的裝置的 IP 位址或網域名稱已變更。
您可以使用使用該工具或協力廠商工具建立的新憑證取代 Integration Server 憑證。如果要使用透過協力廠商工具建立的 Integration Server 憑證,請確保新憑證符合該工具的憑證要求。
Integration Server 憑證必須符合下列要求:
- PFX 格式。
- 憑證包含私密金鑰。
- 憑證受密碼防護。
- “主旨備用名稱”欄位包含以下值:
- IP 位址- Integration Server 的外部和本機 IP 位址
- DNS 名稱 – Integration Server 的外部和本機 IP 位址以及網域名稱 (FQDN)
- 金鑰使用情況:
- KeyEncipherment
- DigitalSignature
- DataEncipherment
- KeyCertSign
- 增強金鑰使用情況:
- 伺服器身分驗證(1.3.6.1.5.5.7.3.1)
- 用戶端身分驗證(1.3.6.1.5.5.7.3.2)
- 憑證到期日晚於目前日期
- 金鑰演算法:RSA(1.2.840.113549.1.1.1)。
- 金鑰大小:4096 位元
- 允許的簽章演算法:
- Sha256WithRSA (1.2.840.113549.1.1.11);
- Sha384WithRSA (1.2.840.113549.1.1.12)
- Sha512WithRSA (1.2.840.113549.1.1.13)
憑證管理工具可以與基於 Linux 的 Integration Server 和基於 Windows 的 Integration Server 協同工作。工具位於安裝 Integration Server 的裝置上。根據裝置的作業系統,該實用程式位於以下路徑之一:
- /opt/kaspersky/viis/bin/certificate_manager.sh – 在裝有 Linux 作業系統的裝置上
- %ProgramFiles(x86)%\Kaspersky Lab\Kaspersky VIISLA\certificate_manager.exe – 在裝有 Windows 作業系統的裝置上
要在 Linux 作業系統中使用該實用程序,使用者帳戶必須位於 sudoers 群組中。要在 Windows 作業系統中使用該實用程序,需要作業系統的管理員權限。
如何使用該實用程式為基於 Linux 的 Integration Server 建立憑證
在安裝了 Integration Server 的裝置上,執行以下命令:
sudo /opt/kaspersky/viis/bin/certificate_manager.sh create-self-signed-certs --outputFolder <憑證所在目錄的路徑> [--keySize <2048 或 4096>] [--quiet]
其中:
<憑證所在目錄的路徑> – 放置所建立憑證的目錄的路徑。該目錄必須位於安裝 Integration Server 的裝置上。--keySize <2048 或 4096 >是憑證金鑰長度。選用參數。若該參數未指定,則預設使用 4096。--quiet是一個可選參數。如果指定了該參數,則實用程式將以靜默模式執行:不會向主控台輸出任何內容。
該命令將導致實用程式建立 Integration Server 憑證(viis.pfx 檔案)並將其放置在指定目錄中。
建議防護憑證免受未經授權的存取。例如,您可以將憑證放在安全目錄中。
如何使用該實用程式為基於 Windows 的 Integration Server 建立憑證
在安裝了 Integration Server 的裝置上,執行以下命令:
%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky VIISLA\certificate_manager.exe create-self-signed-certs --outputFolder <憑證所在資料夾的路徑> [--keySize <2048 或 4096>] [--quiet]
其中:
<憑證所在資料夾的路徑>是放置所建立憑證的資料夾的路徑。資料夾必須位於安裝 Integration Server 的裝置上。--keySize <2048 或 4096 >是憑證金鑰長度。選用參數。若該參數未指定,則預設使用 4096。--quiet是一個可選參數。如果指定了此參數,則執行命令後關閉輸入主控台視窗,否則主控台視窗保持開啟狀態。
該命令將導致實用程式建立 Integration Server 憑證(viis.pfx 檔案)並將其放置在指定資料夾中。
建議防護憑證免受未經授權的存取。例如,您可以將憑證放在安全的資料夾中。
如何取代基於 Linux 的 Integration Server 憑證和 SVM 憑證
在安裝了 Integration Server 的裝置上,執行以下命令:
sudo /opt/kaspersky/viis/bin/certificate_manager.sh replace --certificatePath <憑證路徑> [--quiet]
其中:
<憑證路徑>是 Integration Server 憑證 (viis.pfx 檔案) 的路徑。--quiet是一個可選參數。如果指定了該參數,則實用程式將以靜默模式執行:不會向主控台輸出任何內容。
執行命令後,工具將執行以下操作:
- 根據位於指定資料夾中的憑證建立 SVM 憑證。
- 用新的憑證和 SVM 憑證取代先前安裝的 Integration Server 憑證和 SVM 憑證。
- 重新啟動 Integration Server 服務。
如何取代基於 Windows 的 Integration Server 憑證和 SVM 憑證
在安裝了 Integration Server 的裝置上,執行以下命令:
% ProgramFiles (x86)%\Kaspersky Lab\Kaspersky VIISLA\certificate_manager.exe replace --certificatePath <憑證路徑>
其中<憑證路徑>是 Integration Server 憑證(viis.pfx 檔案)的路徑。
執行命令後,工具將執行以下操作:
- 根據位於指定資料夾中的憑證建立 SVM 憑證。
- 用新的憑證和 SVM 憑證取代先前安裝的 Integration Server 憑證和 SVM 憑證。
- 重新啟動 Integration Server 服務。
取代 Integration Server 憑證和 SVM 憑證後,您需要更新所有 Light Agent 政策和 Protection Server 政策,以將新憑證的公開金鑰傳送至政策。
偵錯檔案可在憑證管理工具執行時建立。
頁面頂部