Zertifikats des Administrationsservers mittels Dienstprogramm klsetsrvcert ersetzen

So ersetzen Sie das Zertifikat des Administrationsservers:

Führen Sie aus der Befehlszeile das folgenden Dienstprogramm aus:

klsetsrvcert [-t <Typ> {-i <Eingabedatei> [-p <Kennwort>] [-o <chkopt>] | -g <DNS-Name>}][-f <Zeit>][-r <calistfile>][-l <Protokolldatei>]

Sie müssen das Dienstprogramm klsetsrvcert nicht herunterladen. Dieses Tool gehört zum Programmpaket von Kaspersky Security Center. Es ist nicht mit früheren Versionen von Kaspersky Security Center kompatibel.

Die Beschreibung der Parameter des Dienstprogramms klsetsrvcert finden Sie in der folgenden Tabelle.

Parameterwerte des Dienstprogramms klsetsrvcert

Parameter

Wert

-t <Typ>

Typ des Zertifikats, das ersetzt werden muss. Mögliche Einstellungswerte des Parameters <Typ>:

  • C – gewöhnliches Zertifikat für die Ports 13000 und 13291 ersetzen.
  • CR – gewöhnliches Reservezertifikat für die Ports 13000 und 13291 ersetzen.
  • M – Zertifikat für mobile Geräte für den Port 13292 ersetzen.
  • MR – mobiles Reservezertifikat für den Port 13292 ersetzen.
  • MCA – mobile Client-Zertifizierungsstelle für automatisch generierte Benutzerzertifikate.

-f <Zeit>

Zeitplan für das Ersetzen der Zertifikate im Format "DD-MM-YYYY hh:mm" (für die Ports 13000 und 13291).

Verwenden Sie diesen Parameter, wenn Sie das gewöhnliche Zertifikat oder das gewöhnliche Reservezertifikat ersetzen möchten, bevor es abläuft.

Geben Sie die Zeit an, zu der verwaltete Geräte mit dem Administrationsserver mit einem neuen Zertifikat synchronisiert werden müssen.

-I <Eingabedatei>

Container mit dem Zertifikat und privatem Schlüssel im Format PKCS#12 (Datei mit der p12- oder pfx-Erweiterung).

-p <Kennwort>

Kennwort, mithilfe dessen der p12-Container geschützt ist.

Da das Zertifikat und ein privater Schlüssel im Container gespeichert werden, wird das Kennwort benötigt, um die Datei mit dem Container zu entschlüsseln.

-o <chkopt>

Parameter der Zertifikatsvalidierung (durch Strichpunkt getrennt).

Um ein benutzerdefiniertes Zertifikat ohne Signaturberechtigung zu verwenden, geben Sie im Dienstprogramm klsetsrvcert -o NoCA an. Dies ist nützlich für Zertifikate, die von einer öffentlichen Zertifizierungsstelle ausgestellt wurden.

-g <DNS-Name>

Ein neues Zertifikat wird für den angegebenen DNS-Namen erstellt.

-r <calistfile>

Liste mit vertrauenswürdigen Zertifizierungsstellen für Stammzertifikate im Format PEM.

-l <Protokolldatei>

Datei zur Ausgabe der Ergebnisse. Standardmäßig erfolgt die Ausgabe im Standardausgabestream.

Um das benutzerdefinierte Zertifikat des Administrationsservers anzugeben, verwenden Sie beispielsweise den folgenden Befehl:

klsetsrvcert -t C -i <Eingabedatei> -p <Kennwort> -o NoCA

Nachdem das Zertifikat ersetzt wurde, verlieren alle Administrationsagenten, die über SSL mit dem Administrationsserver verbunden sind, ihre Verbindung. Verwenden Sie das Befehlszeilen-Dienstprogramm klmover, um es Wiederherstellen.

Um ein Verlieren von Verbindungen der Administrationsagenten zu vermeiden, verwenden Sie den folgenden Befehl:

klsetsrvcert.exe -f "TT-MM-JJJJ hh:mm" -t CR -i <inputfile> -p <password> -o NoCA

Wobei TT-MM-JJJJ hh:mm das Datum 3-4 Wochen vor dem aktuellen Datum darstellt. Die Zeitverschiebung beim Ändern des Zertifikats in ein Backup-Zertifikat ermöglicht die Verteilung eines neuen Zertifikats an alle Administrationsagenten.

Siehe auch:

Szenario: Angeben des benutzerdefinierten Zertifikats des Administrationsservers
Nach oben