Kaspersky Security Center

Über die Zertifikate von Kaspersky Security Center

28. März 2024

ID 206479

Um eine sichere Interaktion zwischen den Komponenten des Programms zu ermöglichen, verwendet Kaspersky Security Center die folgenden Arten von Zertifikaten:

  • Zertifikat des Administrationsservers
  • Mobilgerät-Zertifikat
  • Zertifikat des iOS MDM-Servers
  • Zertifikat des Kaspersky Security Center Webservers
  • Zertifikat der Kaspersky Security Center Web Console

Standardmäßig verwendet Kaspersky Security Center selbstsignierte Zertifikate (d.h., sie werden von Kaspersky Security Center selbst ausgestellt). Sie können diese jedoch durch benutzerdefinierte Zertifikate ersetzen, um den Sicherheitsanforderungen Ihres Unternehmensnetzwerks sowie Sicherheitsstandards besser zu entsprechen. Nachdem der Administrationsserver sichergestellt hat, dass das benutzerdefinierte Zertifikat alle notwendigen Anforderungen erfüllt, nimmt das Zertifikat den gleichen Funktionsumfang wie ein selbstsigniertes Zertifikat an. Der einzige Unterschied besteht darin, dass ein benutzerdefiniertes Zertifikat nach dessen Ablauf nicht automatisch neu ausgestellt wird. Zertifikate können durch benutzerdefinierte Zertifikate ersetzt werden, indem Sie entweder das Dienstprogramm klsetsrvcert verwenden, oder in Abhängigkeit des Zertifikat-Typs den Abschnitt "Eigenschaften des Administrationsservers" in der Verwaltungskonsole verwenden. Wenn Sie das Tool "klsetsrvcert" verwenden, müssen Sie für das Zertifikat einen Typ angeben, indem Sie einen der folgenden Werte verwenden:

  • C – gewöhnliches Zertifikat für die Ports 13000 und 13291
  • CR – gewöhnliches Reservezertifikat für die Ports 13000 und 13291
  • M – Mobilgerät-Zertifikat für den Port 13292
  • MR – mobiles Reservezertifikat für den Port 13292
  • MCA – mobile Zertifizierungsstelle für automatisch generierte Benutzerzertifikate

Sie müssen das Dienstprogramm klsetsrvcert nicht herunterladen. Dieses Tool gehört zum Programmpaket von Kaspersky Security Center. Das Tool nicht mit früheren Versionen von Kaspersky Security Center kompatibel.

Die maximale Gültigkeitsdauer für jedes Zertifikat des Administrationsservers beträgt 397 Tage.

Zertifikate des Administrationsservers

Das Zertifikat des Administrationsservers wird zur Authentifizierung des Administrationsservers und zur sicheren Interaktion zwischen dem Administrationsserver und dem Administrationsagenten auf verwalteten Geräten oder zwischen dem primären Administrationsserver und den sekundären Administrationsservern verwendet. Wenn Sie die Verwaltungskonsole mit dem Administrationsserver verbinden, werden Sie dazu aufgefordert, die Verwendung des aktuellen Zertifikats des Administrationsservers zu bestätigen. Außerdem ist eine derartige Bestätigung jedes Mal notwendig, wenn das Zertifikat des Administrationsservers ersetzt wird, wenn der Administrationsserver neu installiert wurde und wenn ein sekundärer Administrationsserver mit dem primären Administrationsserver verbunden wird. Dieses Zertifikat wird als gemeinsames Zertifikat (common - "C") bezeichnet.

Das gemeinsame Zertifikat ("C") wird bei der Installation des Administrationsservers automatisch erstellt. Das Zertifikat besteht aus zwei Teilen:

  • Datei "klserver.cer" – befindet sich standardmäßig auf dem Gerät mit installiertem Administrationsserver im Ordner "C:\ProgramData\KasperskyLab\adminkit\1093\cert".
  • Geheimer Schlüssel –befindet sich im Windows Protected Storage.

Es existiert außerdem ein gemeinsames Reservezertifikat ("CR"). Kaspersky Security Center generiert dieses Zertifikat 90 Tage vor Ablauf des gemeinsamen Zertifikats automatisch. Das gemeinsame Reservezertifikat wird daraufhin für das nahtlose Ersetzen des Zertifikats des Administrationsservers verwendet. Wenn das gemeinsame Zertifikat im Begriff ist abzulaufen, wird das gemeinsame Reservezertifikat verwendet, um die Verbindung mit den Instanzen der Administrationsagenten auf den verwalteten Geräten aufrecht zu erhalten. Aus diesem Grund wird 24 Stunden vor Ablauf des alten gemeinsame Zertifikates das gemeinsame Reservezertifikat automatisch zum neuen gemeinsamen Zertifikat.

Außerdem können Sie für das Zertifikat des Administrationsservers eine Sicherungskopie, die von anderen Einstellungen des Administrationsservers separiert ist, erstellen, um so den Administrationsserver ohne Datenverlust von einem Gerät auf ein anderes verlegen zu können.

Mobilgerät-Zertifikate

Ein Mobilgerät-Zertifikat (mobile - "M") wird für die Authentifizierung des Administrationsservers auf mobilen Geräten verwendet. Sie können die Verwendung des Mobilgerät-Zertifikat in einem dafür vorgesehenen Schritt des Schnellstartassistenten konfigurieren.

Es existiert außerdem ein Mobilgerät-Reservezertifikat ("MR"): Dieses wird für das nahtlose Ersetzen des mobilen Zertifikats verwendet. Wenn das Mobilgerät-Zertifikat dabei ist abzulaufen, wird das Mobilgerät-Reservezertifikat verwendet, um die Verbindung mit den Instanzen der Administrationsagenten auf den verwalteten mobilen Geräten aufrecht zu erhalten. Aus diesem Grund wird 24 Stunden vor Ablauf des alten Mobilgerät-Zertifikats das Mobilgerät-Reservezertifikat automatisch zum neuen mobilen Zertifikat.

Das automatische Neuausstellen von Mobilgerät-Zertifikaten wird nicht unterstützt. Es wird empfohlen, ein neues Mobilgerät-Zertifikat anzugeben, wenn das vorhandene abläuft. Wenn das Mobilgerät-Zertifikat abläuft und kein Mobilgerät-Reservezertifikat angegeben ist, wird die Verbindung zwischen dem Administrationsserver und den Instanzen des Administrationsagenten, die auf den verwalteten mobilen Geräten installiert sind, unterbrochen. Um die verwalteten Mobilgeräte erneut zu verbinden, müssen Sie in diesem Fall ein neues Mobilgeräte-Zertifikat angeben und Kaspersky Security für mobile Endgeräte auf jedem verwalteten Mobilgerät erneut installieren.

Wenn Sie für Ihr Verbindungsszenario Client-Zertifikate auf den mobilen Geräten benötigen (für Verbindungen unter Verwendung von Two-Way SSL), können Sie diese Zertifikate unter Verwendung der Zertifizierungsstelle für automatisch generierte Benutzerzertifikate (Mobile Certificate Authority -"MCA") erstellen. Außerdem ermöglicht Ihnen der Schnellstartassistent die umgehende Verwendung von benutzerdefinierten Zertifikaten, die von einer anderen Zertifizierungsstelle ausgestellt wurden, während die Integration mit der Domain Public Key Infrastructure (PKI) Ihrer Organisation es Ihnen ermöglicht, Client-Zertifikate durch Ihre Domain-Zertifizierungsstelle auszustellen.

Zertifikat des iOS MDM-Servers

Das Zertifikat des iOS MDM-Servers wird für die Authentifizierung des Administrationsservers auf mobilen Geräten mit iOS-Betriebssystem benötigt. Die Interaktion mit diesen Geräten wird mittels Apple's Mobile Device Management (MDM)-Protokoll ausgeführt, welches keine Administrationsagenten einbezieht. Stattdessen installieren Sie auf jedem Gerät ein spezielles iOS MDM-Profil, welches ein Client-Zertifikat enthält, um eine Two-Way SSL-Authentifizierung sicherzustellen.

Außerdem ermöglicht Ihnen der Schnellstartassistent die umgehende Verwendung von benutzerdefinierten Zertifikaten, die von einer anderen Zertifizierungsstelle ausgestellt wurden, während die Integration mit der Domain Public Key Infrastructure (PKI) Ihrer Organisation es Ihnen ermöglicht, Client-Zertifikate durch Ihre Domain-Zertifizierungsstelle auszustellen.

Die Client-Zertifikate werden auf iOS-Geräte übertragen, wenn Sie diese iOS MDM-Profile herunterladen. Ein Client-Zertifikat eines iOS MDM-Servers ist für jedes verwaltete iOS-Gerät eindeutig. Sie erstellen alle Client-Zertifikate eines iOS MDM-Servers unter Verwendung der Zertifizierungsstelle für automatisch generierte Benutzerzertifikate (Mobile Certificate Authority -"MCA").

Zertifikat des Kaspersky Security Center Webservers

Einen besonderen Zertifikatstyp verwendet der Kaspersky Security Center Webserver (im Folgenden als Webserver bezeichnet), eine Komponente des Administrationsservers von Kaspersky Security Center. Dieses Zertifikat wird für die Veröffentlichung von Installationspaketen des Administrationsagenten benötigt, die Sie anschließend auf Ihre verwalteten Geräte herunterladen, sowie für die Veröffentlichung von iOS MDM-Profilen, iOS-Apps und Kaspersky Security for Mobile-Installationspakete. Aus diesem Grund kann der Webserver verschiedene Zertifikate verwenden.

Wenn die Unterstützung von mobilen Geräten deaktiviert ist, verwendet der Webserver eins der folgenden Zertifikate, gegliedert nach Priorität:

  1. Benutzerdefiniertes Zertifikat des Webservers, welches Sie manuell in der Verwaltungskonsole angegeben haben
  2. Gewöhnliches Zertifikate des Administrationsservers ("C")

Wenn die Unterstützung von mobilen Geräten aktiviert ist, verwendet der Webserver eins der folgenden Zertifikate, gegliedert nach Priorität:

  1. Benutzerdefiniertes Zertifikat des Webservers, welches Sie manuell in der Verwaltungskonsole angegeben haben
  2. Benutzerdefiniertes Mobilgerät-Zertifikat
  3. Selbstsigniertes Mobilgerät-Zertifikat ("M")
  4. Gewöhnliches Zertifikate des Administrationsservers ("C")

Zertifikat der Kaspersky Security Center Web Console

Der Server der Kaspersky Security Center Web Console (im Folgenden als Web Console bezeichnet) verfügt über ein eigenes Zertifikat. Wenn Sie eine Website öffnen, überprüft ein Browser, ob Ihre Verbindung vertrauenswürdig ist. Das Zertifikat der Web Console ermöglicht Ihnen die Authentifizierung der Web Console und wird verwendet, um den Datenverkehr zwischen einem Browser und der Web Console zu verschlüsseln.

Wenn Sie die Web Console öffnen, informiert Sie der Browser möglicherweise darüber, dass die Verbindung zur Web Console nicht privat und das Zertifikat der Web Console ungültig ist. Diese Warnung wird angezeigt, weil das Zertifikat der Web Console selbstsigniert ist und von Kaspersky Security Center automatisch generiert wird. Um diese Warnung zu vermeiden, können Sie Folgendes tun:

  • Ersetzen Sie das Zertifikat der Web Console mit einem benutzerdefinierten (empfohlene Option). Erstellen Sie ein Zertifikat, das in Ihrer Infrastruktur vertrauenswürdig ist und das die Anforderungen an benutzerdefinierte Zertifikate erfüllt.
  • Fügen Sie das Zertifikat der Web Console zur Liste der vertrauenswürdigen Zertifikate des Browsers hinzu. Es wird empfohlen, dass Sie diese Option nur verwenden, wenn Sie kein benutzerdefiniertes Zertifikat erstellen können.

Siehe auch:

Anforderungen an benutzerdefinierte Zertifikate für deren Verwendung in Kaspersky Security Center

Szenario: Angeben des benutzerdefinierten Zertifikats des Administrationsservers

Hauptinstallationsszenario

Authentifizierung des Administrationsservers beim Verbindungsaufbau mit der Verwaltungskonsole

Hierarchie der Administrationsserver: primärer Administrationsserver und sekundärer Administrationsserver

Daten im interaktiven Modus sichern, kopieren und wiederherstellen

Zertifikate für mobile Geräte verwenden

Der Schnellstartassistent für den Administrationsserver

Mobiles iOS-Gerät zur Liste der verwalteten Geräte hinzufügen

Ein iOS MDM-Profil mittels Zertifikat signieren

Webserver

War dieser Artikel hilfreich?
Helfen Sie uns, diesen Artikel zu verbessern. Wählen Sie den Grund für Ihre Bewertung:
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.