Kaspersky Security Center 14

Zertifikats des Administrationsservers mittels Dienstprogramm klsetsrvcert ersetzen

27. Februar 2024

ID 227838

So ersetzen Sie das Zertifikat des Administrationsservers:

Führen Sie aus der Befehlszeile das folgenden Dienstprogramm aus:

klsetsrvcert [-t <Typ> {-i <Eingabedatei> [-p <Kennwort>] [-o <chkopt>] | -g <DNS-Name>}][-f <Zeit>][-r <calistfile>][-l <Protokolldatei>]

Sie müssen das Dienstprogramm klsetsrvcert nicht herunterladen. Dieses Tool gehört zum Programmpaket von Kaspersky Security Center. Es ist nicht mit früheren Versionen von Kaspersky Security Center kompatibel.

Die Beschreibung der Parameter des Dienstprogramms klsetsrvcert finden Sie in der folgenden Tabelle.

Parameterwerte des Dienstprogramms klsetsrvcert

Parameter

Wert

-t <Typ>

Typ des Zertifikats, das ersetzt werden muss. Mögliche Einstellungswerte des Parameters <Typ>:

  • C – gewöhnliches Zertifikat für die Ports 13000 und 13291 ersetzen.
  • CR – gewöhnliches Reservezertifikat für die Ports 13000 und 13291 ersetzen.
  • M – Zertifikat für mobile Geräte für den Port 13292 ersetzen.
  • MR – mobiles Reservezertifikat für den Port 13292 ersetzen.
  • MCA – mobile Client-Zertifizierungsstelle für automatisch generierte Benutzerzertifikate.

-f <Zeit>

Zeitplan für das Ersetzen der Zertifikate im Format "DD-MM-YYYY hh:mm" (für die Ports 13000 und 13291).

Verwenden Sie diesen Parameter, wenn Sie das gewöhnliche Zertifikat oder das gewöhnliche Reservezertifikat ersetzen möchten, bevor es abläuft.

Geben Sie die Zeit an, zu der verwaltete Geräte mit dem Administrationsserver mit einem neuen Zertifikat synchronisiert werden müssen.

-I <Eingabedatei>

Container mit dem Zertifikat und privatem Schlüssel im Format PKCS#12 (Datei mit der p12- oder pfx-Erweiterung).

-p <Kennwort>

Kennwort, mithilfe dessen der p12-Container geschützt ist.

Da das Zertifikat und ein privater Schlüssel im Container gespeichert werden, wird das Kennwort benötigt, um die Datei mit dem Container zu entschlüsseln.

-o <chkopt>

Parameter der Zertifikatsvalidierung (durch Strichpunkt getrennt).

Um ein benutzerdefiniertes Zertifikat ohne Signaturberechtigung zu verwenden, geben Sie im Dienstprogramm klsetsrvcert -o NoCA an. Dies ist nützlich für Zertifikate, die von einer öffentlichen Zertifizierungsstelle ausgestellt wurden.

-g <DNS-Name>

Ein neues Zertifikat wird für den angegebenen DNS-Namen erstellt.

-r <calistfile>

Liste mit vertrauenswürdigen Zertifizierungsstellen für Stammzertifikate im Format PEM.

-l <Protokolldatei>

Datei zur Ausgabe der Ergebnisse. Standardmäßig erfolgt die Ausgabe im Standardausgabestream.

Um das benutzerdefinierte Zertifikat des Administrationsservers anzugeben, verwenden Sie beispielsweise den folgenden Befehl:

klsetsrvcert -t C -i <Eingabedatei> -p <Kennwort> -o NoCA

Nachdem das Zertifikat ersetzt wurde, verlieren alle Administrationsagenten, die über SSL mit dem Administrationsserver verbunden sind, ihre Verbindung. Verwenden Sie das Befehlszeilen-Dienstprogramm klmover, um es Wiederherstellen.

Das automatische Neuausstellen von Mobilgerät-Zertifikaten wird nicht unterstützt. Es wird empfohlen, ein neues Mobilgerät-Zertifikat anzugeben, wenn das vorhandene abläuft. Wenn das Mobilgerät-Zertifikat abläuft und kein Mobilgerät-Reservezertifikat angegeben ist, wird die Verbindung zwischen dem Administrationsserver und den Instanzen des Administrationsagenten, die auf den verwalteten mobilen Geräten installiert sind, unterbrochen. Um die verwalteten Mobilgeräte erneut zu verbinden, müssen Sie in diesem Fall ein neues Mobilgeräte-Zertifikat angeben und Kaspersky Security für mobile Endgeräte auf jedem verwalteten Mobilgerät erneut installieren.

Um zu vermeiden, dass die Verbindungen mit den Administrationsagenten verloren gehen, verwenden Sie den folgenden Befehl:

  1. klsetsrvcert.exe -t CR -i <Eingabedatei> -p <Kennwort> -o NoCA , um das neue Zertifikat zu installieren.
  2. klsetsrvcert.exe -f "TT-MM-JJJJ hh:mm" , um das Datum anzugeben, an dem das neue Zertifikat angewendet wird.

Wobei "TT-MM-JJJJ hh:mm" das Datum 3-4 Wochen vor dem aktuellen Datum darstellt. Die Zeitverschiebung ist zum Auswechseln des Zertifikats gegen ein Backup-Zertifikat vorgesehen und ermöglicht die Verteilung eines neuen Zertifikats an alle Administrationsagenten.

Siehe auch:

Szenario: Angeben des benutzerdefinierten Zertifikats des Administrationsservers

War dieser Artikel hilfreich?
Helfen Sie uns, diesen Artikel zu verbessern. Wählen Sie den Grund für Ihre Bewertung:
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.