حول شهادات Kaspersky Security Center

22 فبراير 2024

ID 206479

يستخدم Kaspersky Security Center الأنواع التالية من الشهادات لتمكين التفاعل الآمن بين مكونات التطبيق:

  • شهادة خادم الإدارة
  • شهادة المحمول
  • شهادة خادم الأجهزة التي تعمل بنظام iOS MDM
  • شهادة خادم الويب Kaspersky Security Center
  • شهادة Kaspersky Security Center Web Console

بشكل افتراضي، يستخدم Kaspersky Security Center الشهادات الموقعة ذاتيًا (أي الصادرة عن Kaspersky Security Center نفسه)، ولكن يمكنك استبدالها بشهادات مخصصة لتفي بمتطلبات شبكة مؤسستك بشكل أفضل والامتثال لمعايير الأمان. بعد أن يتحقق خادم الإدارة مما إذا كانت الشهادة المخصصة تفي بجميع المتطلبات المعمول بها، تفترض هذه الشهادة نفس النطاق الوظيفي للشهادة الموقعة ذاتيًا. الاختلاف الوحيد هو أن الشهادة المخصصة لا يتم إعادة إصدارها تلقائيًا عند انتهاء الصلاحية. يمكنك استبدال الشهادات بشهادات مخصصة عن طريق الأداة المساعدة klsetsrvcert أو من خلال قسم خصائص خادم الإدارة في وحدة تحكم الإدارة بناءً على نوع الشهادة. عند استخدام الأداة المساعدة klsetsrvcert، فعليك تحديد نوع الشهادة باستخدام إحدى القيم التالية:

  • C—الشهادة العامة للمنفذين 13000 و13291.
  • CR—شهادة الاحتياطي المشترك للمنفذين 13000 و13291.
  • M—شهادة الجوال للمنفذ 13292.
  • MR—شهادة حجز الهاتف المحمول للمنفذ 13292.
  • MCA—مرجع تصديق الجوال لشهادات المستخدم المُنشأة تلقائيًا.

لا تحتاج إلى تنزيل الأداة المساعدة klsetsrvcert. يتم تضمين الأداة المساعدة في مجموعة توزيع Kaspersky Security Center.‏ الأداة المساعدة غير متوافقة مع إصدارات Kaspersky Security Center السابقة.

يجب أن تكون فترة الصلاحية القصوى لأي من شهادات خادم الإدارة 397 يومًا أو أقل.

شهادات خادم الإدارة

مطلوب شهادة خادم الإدارة لمصادقة خادم الإدارة، وكذلك للتفاعل الآمن بين خادم الإدارة وعميل الشبكة على الأجهزة المُدارة أو بين خادم الإدارة الأساسي وخوادم الإدارة الثانوية. عند توصيل وحدة تحكم الإدارة بخادم الإدارة لأول مرة، تتم مطالبتك بتأكيد استخدام شهادة خادم الإدارة الحالية. هذا التأكيد مطلوب أيضًا في كل مرة يتم فيها استبدال شهادة خادم الإدارة، بعد كل مرة تعيد تثبيت خادم الإدارة، وعند توصيل خادم الإدارة الثانوي بخادم الإدارة الرئيسي. تسمى هذه الشهادة بالمشتركة ("C").

يتم إنشاء الشهادة العامة ("C") تلقائيًا عند تثبيت مكون خادم الإدارة. وتتكون الشهادة من جزأين:

  • ملف klserver.cer؛ ويوجد بشكل افتراضي على الجهاز حيث تم تثبيت مكون خادم الإدارة في المجلد ‎C:\ProgramData\KasperskyLab\adminkit\1093\cert.‏
  • المفتاح السري الموجود في وحدة التخزين المحمية لنظام Windows.‏

كما توجد شهادة احتياطية مشتركة ("CR"). يُنشئ Kaspersky Security Center هذه الشهادة تلقائيًا قبل 90 يومًا من انتهاء صلاحية الشهادة المشتركة. تُستخدم الشهادة الاحتياطية المشتركة لاحقًا في الاستبدال السلس لشهادة خادم الإدارة. عندما توشك الشهادة المشتركة على الانتهاء، يتم استخدام الشهادة الاحتياطية المشتركة للحفاظ على الاتصال مع مثيلات عميل الشبكة المثبتة على الأجهزة المدارة. بهذا الغرض، تصبح الشهادة الاحتياطية المشتركة تلقائيًا الشهادة المشتركة الجديدة قبل 24 ساعة من انتهاء صلاحية الشهادة المشتركة القديمة.

يمكنك أيضًا إجراء نسخ احتياطي لشهادة خادم الإدارة بشكل منفصل عن إعدادات خادم الإدارة الأخرى من أجل نقل خادم الإدارة من جهاز إلى آخر دون فقدان البيانات.

شهادات المحمول

مطلوب شهادة المحمول ("M") لمصادقة خادم الإدارة على الأجهزة المحمولة. يمكنك تكوين استخدام شهادة المحمول في الخطوة المخصصة لمعالج البدء السريع.

كما توجد شهادة احتياطية للمحمول ("MR"): يتم استخدامها لاستبدال شهادة خادم الإدارة بسهولة. عندما توشك شهادة المحمول أن تنتهي صلاحيتها، يتم استخدام الشهادة الاحتياطية للمحمول من أجل الحفاظ على الاتصال مع مثيلات عميل الشبكة المثبتة على الأجهزة المحمولة المدارة. بهذا الغرض، تصبح الشهادة الاحتياطية للمحمول بشكلٍ تلقائي الشهادة المشتركة الجديدة قبل 24 ساعة من انتهاء صلاحية الشهادة المشتركة القديمة.

لا يتم دعم إعادة إصدار شهادات الهاتف المحمول تلقائيًا. ونوصي بتحديد شهادة هاتف محمول جديدة عندما توشك صلاحية الشهادة الحالية على الانتهاء. وإذا انتهت صلاحية شهادة الهاتف المحمول ولم يتم تحديد شهادة احتياطية للهاتف المحمول، فسيتم فقدان الاتصال بين خادم الإدارة ومثيلات عميل الشبكة المُثبتة على الأجهزة المحمولة المدارة. وفي هذه الحالة، لإعادة توصيل الأجهزة المحمولة المُدارة، يجب عليك تحديد شهادة هاتف محمول جديدة وإعادة تثبيت Kaspersky Security for Mobile على كل جهاز محمول مُدار.

إذا كان سيناريو الاتصال يتطلب استخدام شهادة العميل على الأجهزة المحمولة (اتصال يتضمن مصادقة ثنائي الاتجاه SSL)، فيمكنك إنشاء هذه الشهادات عن طريق الجهة المعتمدة لشهادات المستخدم التي يتم إنشاؤها تلقائيًا ("MCA"). يمكّنك أيضًا معالج البدء السريع من بدء استخدام شهادات العميل المخصصة الصادرة عن جهة معتمدة مختلفة، بينما يتيح لك التكامل مع مجال البنية التحتية للمفتاح العام (PKI) لمؤسستك إصدار شهادات العميل عن طريق جهة معتمدة للمجال الخاص بك.

شهادة خادم الأجهزة التي تعمل بنظام iOS MDM

مطلوب شهادة خادم الأجهزة المحمولة التي تعمل بنظام iOS MDM لمصادقة خادم الإدارة على الأجهزة المحمولة التي تعمل بنظام التشغيل iOS.‏ يتم إجراء التفاعل مع هذه الأجهزة عبر بروتوكول إدارة الأجهزة المحمولة من Apple (MDM) الذي لا يتضمن أي عميل شبكة. بدلاً من ذلك، تقوم بتثبيت ملف تعريف iOS MDM خاص يحتوي على شهادة العميل على كل جهاز لضمان مصادقة SSL ثنائي الاتجاه.

يمكّنك أيضًا معالج البدء السريع من بدء استخدام شهادات العميل المخصصة الصادرة عن جهة معتمدة مختلفة، بينما يتيح لك التكامل مع مجال البنية التحتية للمفتاح العام (PKI) لمؤسستك إصدار شهادات العميل عن طريق جهة معتمدة للمجال الخاص بك.

يتم إرسال شهادات العميل إلى أجهزة iOS عند تنزيل ملفات تعريف iOS MDM هذه. شهادة عميل خادم iOS MDM فريدة لكل جهاز iOS مُدار. يمكنك إنشاء جميع شهادات العميل لخادم الأجهزة المحمولة التي تعمل بنظام iOS MDM عن طريق الجهة المعتمدة لشهادات المستخدم المُنشأة تلقائيًا ("MCA").

شهادة خادم الويب Kaspersky Security Center

يتم استخدام نوع خاص من الشهادات بواسطة خادم ويب Kaspersky Security Center (المشار إليه فيما يلي باسم خادم الويب) ، وهو أحد مكونات خادم إدارة Kaspersky Security Center.‏ هذه الشهادة مطلوبة لنشر حزم تثبيت عميل الشبكة التي تقوم بتنزيلها بشكل متتابع على الأجهزة المُدارة، وهي مطلوبة كذلك لنشر ملفات تعريف iOS MDM وتطبيقات iOS وحزم تثبيت Kaspersky Security للهاتف. بالنسبة لهذا الغرض، يمكن لخادم الويب استخدام شهادات مختلفة.

إذا تم تعطيل دعم الجهاز المحمول، فسيستخدم خادم الويب إحدى الشهادات التالية حسب ترتيب الأولوية:

  1. شهادة خادم الويب المخصصة التي حددتها يدويًا عن طريق وحدة تحكم الإدارة
  2. شهادة خادم الإدارة المشتركة ("C")

إذا تم تمكين دعم الجهاز المحمول، فسيستخدم خادم الويب إحدى الشهادات التالية حسب ترتيب الأولوية:

  1. شهادة خادم الويب المخصصة التي حددتها يدويًا عن طريق وحدة تحكم الإدارة
  2. شهادة المحمول المخصصة
  3. شهادة المحمول الموقعة ذاتيًا ("M")
  4. شهادة خادم الإدارة المشتركة ("C")

شهادة Kaspersky Security Center Web Console

يمتلك خادم Kaspersky Security Center Web Console (المشار إليه فيما يلي باسم Web Console) شهادته الخاصة. عند فتح موقع ويب، يتحقق المستعرض مما إذا كان اتصالك موثوقًا به أم لا. تسمح لك شهادة Web Console بمصادقة Web Console وتُستخدم لتشفير حركة المرور بين المستعرض ووحدة تحكم الويب.

عند فتح وحدة تحكم الويب، قد يخبرك المستعرض أن الاتصال بوحدة تحكم الويب ليس خاصًا وأن شهادة وحدة تحكم الويب غير صالحة. يظهر هذا التحذير لأن شهادة Web Console موقعة ذاتيًا ويتم إنشاؤها تلقائيًا بواسطة Kaspersky Security Center.‏ لإزالة هذا التحذير، يمكنك القيام بأحد الإجراءات التالية:

انظر أيضًا:

متطلبات الشهادات المخصصة المستخدمة في Kaspersky Security Center

السيناريو: تحديد شهادة خادم الإدارة المخصصة

سيناريو التثبيت الرئيسي

مصادقة خادم الإدارة أثناء توصيل وحدة تحكم الإدارة

التسلسل الهرمي لخوادم الإدارة: خادم الإدارة الرئيسي وخادم الإدارة الثانوي

النسخ الاحتياطي للبيانات واستعادتها في الوضع التفاعلي

جارٍ العمل بشهادات الأجهزة المحمولة

معالج البدء السريع لخادم الإدارة

إضافة أجهزة محمولة iOS إلى قائمة الأجهزة المُدارة

توقيع ملف تعريف iOS MDM بشهادة

خادم الويب

هل وجدت هذه المقالة مفيدة؟
ما الذي يمكننا تحسينه؟
شكرًا لك على ملاحظاتك! تساعدُنا على التحسن.
شكرًا لك على ملاحظاتك! تساعدُنا على التحسن.