Zertifikats des Administrationsservers mittels Dienstprogramm klsetsrvcert ersetzen
So ersetzen Sie das Zertifikat des Administrationsservers:
Führen Sie aus der Befehlszeile das folgenden Dienstprogramm aus:
klsetsrvcert [-t <Typ> {-i <Eingabedatei> [-p <Kennwort>] [-o <chkopt>] | -g <DNS-Name>}][-f <Zeit>][-r <calistfile>][-l <Protokolldatei>]
Sie müssen das Dienstprogramm klsetsrvcert nicht herunterladen. Dieses Tool gehört zum Programmpaket von Kaspersky Security Center. Es ist nicht mit früheren Versionen von Kaspersky Security Center kompatibel.
Die Beschreibung der Parameter des Dienstprogramms klsetsrvcert finden Sie in der folgenden Tabelle.
Parameterwerte des Dienstprogramms klsetsrvcert
Parameter | Wert |
---|---|
| Typ des Zertifikats, das ersetzt werden muss. Mögliche Einstellungswerte des Parameters
|
| Zeitplan für das Ersetzen der Zertifikate im Format "DD-MM-YYYY hh:mm" (für die Ports 13000 und 13291). Verwenden Sie diesen Parameter, wenn Sie das gewöhnliche Zertifikat oder das gewöhnliche Reservezertifikat ersetzen möchten, bevor es abläuft. Geben Sie die Zeit an, zu der verwaltete Geräte mit dem Administrationsserver mit einem neuen Zertifikat synchronisiert werden müssen. |
| Container mit dem Zertifikat und privatem Schlüssel im Format PKCS#12 (Datei mit der p12- oder pfx-Erweiterung). |
| Kennwort, mithilfe dessen der p12-Container geschützt ist. Da das Zertifikat und ein privater Schlüssel im Container gespeichert werden, wird das Kennwort benötigt, um die Datei mit dem Container zu entschlüsseln. |
| Parameter der Zertifikatsvalidierung (durch Strichpunkt getrennt). Um ein benutzerdefiniertes Zertifikat ohne Signaturberechtigung zu verwenden, geben Sie im Dienstprogramm klsetsrvcert Um für Zertifikate vom Typ C oder CR die Länge des Chiffrierschlüssels zu ändern, geben Sie in dem Tool "klsetsrvcert" die Option |
| Ein neues Zertifikat wird für den angegebenen DNS-Namen erstellt. |
| Liste mit vertrauenswürdigen Zertifizierungsstellen für Stammzertifikate im Format PEM. |
| Datei zur Ausgabe der Ergebnisse. Standardmäßig erfolgt die Ausgabe im Standardausgabestream. |
Um das benutzerdefinierte Zertifikat des Administrationsservers anzugeben, verwenden Sie beispielsweise den folgenden Befehl:
klsetsrvcert -t C -i <Eingabedatei> -p <Kennwort> -o NoCA
Nachdem das Zertifikat ersetzt wurde, verlieren alle Administrationsagenten, die über SSL mit dem Administrationsserver verbunden sind, ihre Verbindung. Verwenden Sie das Befehlszeilen-Dienstprogramm klmover, um es Wiederherstellen.
Das automatische Neuausstellen von Mobilgerät-Zertifikaten wird nicht unterstützt. Es wird empfohlen, ein neues Mobilgerät-Zertifikat anzugeben, wenn das vorhandene abläuft. Wenn das Mobilgerät-Zertifikat abläuft und kein Mobilgerät-Reservezertifikat angegeben ist, wird die Verbindung zwischen dem Administrationsserver und den Instanzen des Administrationsagenten, die auf den verwalteten mobilen Geräten installiert sind, unterbrochen. Um die verwalteten Mobilgeräte erneut zu verbinden, müssen Sie in diesem Fall ein neues Mobilgeräte-Zertifikat angeben und Kaspersky Security für mobile Endgeräte auf jedem verwalteten Mobilgerät erneut installieren.
Um zu vermeiden, dass die Verbindungen mit den Administrationsagenten verloren gehen, verwenden Sie die folgenden Befehle:
- Um ein neues Zertifikats zu installieren:
klsetsrvcert.exe -t CR -i <Eingabedatei> -p <Kennwort> -o NoCA
- Um ein Datum anzugeben, an dem das Zertifikat angewendet wird:
klsetsrvcert.exe -f "DD-MM-YYYY hh:mm"
Wobei TT-MM-JJJJ hh:mm
das Datum 3-4 Wochen nach dem aktuellen Datum darstellt. Der zeitliche Versatz ist zum Auswechseln des Zertifikats durch ein neues vorgesehen und ermöglicht die Verteilung dieses neuen Zertifikats an alle Administrationsagenten.