Verwaltung von Cluster-Knoten durch ein SSL-Zertifikat

Standardmäßig verwendet Kaspersky Secure Mail Gateway 2.0 MR1 als SSL-Zertifikat des Cluster-Knotens ein selbstsigniertes Zertifikat, das bei der Softwareverteilung des Cluster-Knotens automatisch generiert wird. Bei der Anmeldung der App in der Webschnittstelle mit diesem Zertifikat wird im Browser eine Warnung angezeigt, dass die Verbindung nicht sicher ist. Zur Erhöhung des Komfort und der Sicherheit bei der Arbeit mit der Webschnittstelle der App können Sie das Zertifikat des Knotens, das standardmäßig verwendet wird, in ein Zertifikat ändern, das von einem vertrauenswürdigen Zertifizierungszentrum herausgegeben wurde.

Für den Austausch des SSL-Zertifikats des Cluster-Knotens benötigen Sie folgende Dateien:

• Zertifikatsdatei im Format X.509 mit der Erweiterung PEM oder Containerdatei mit Zertifikatskette im Format X.509 mit der Erweiterung PEM.
• Datei des privaten RSA-Schlüssels mit der Erweiterung PEM (ohne Kennwortphrase).

Sie können eine private Schlüsseldatei und ein Zertifikat für die Signatur selbst erstellen oder Sie können fertige Dateien von einer Zertifizierungsstelle erhalten.

Phasen des Austauschs des SSL-Zertifikats des Cluster-Knotens bei selbstständiger Erstellung der Dateien für privaten Schlüssel und Zertifikat

1. Datei des privaten Schlüssels und Anfrage zur Signierung des Zertifikats erzeugen (Certificate Signing Request)

   Sie erhalten von der Zertifizierungsstelle eine der folgenden Dateien:

   • Datei des signierten Zertifikats im Format X.509 mit der Erweiterung CER oder CRT
   • Datei der Zertifikatskette im Format PKCS#7 mit der Erweiterung P7B. Die Datei enthält das auf Ihren Wunsch signierte Zertifikat der Seite und die Zertifikate der zwischenliegenden Zertifizierungszentren.
2. Konvertierung der erhaltenen Dateien in PEM-Codierung

   Je nach Typ der Datei, die im vorigen Schritt erhalten wurde, müssen Sie eine der folgenden Aktionen ausführen:

   • Zertifikat aus DER-Codierung in PEM-Codierung konvertieren.
   • Zertifikatskette aus PKCS#7-Container exportieren.
3. SSL-Zertifikat des Cluster-Knotens austauschen

Phasen des Austauschs des SSL-Zertifikats des Cluster-Knotens bei Bereitstellung der Dateien für privaten Schlüssel und Zertifikat durch eine Zertifizierungsstelle

1. Erhalten der Dateien für privaten Schlüssel und Zertifikat von einer Zertifizierungsstelle

   Der private Schlüssel und das Zertifikat wird in Form eines PFX-Containers (im Format PKCS#12, Datei mit Erweiterung PFX oder P12) bereitgestellt.

   Wenn in Ihrer Organisation als Zertifizierungsstelle der Standarddienst Active Directory Certification Services verwendet wird, muss für die Erstellung des Zertifikats die Vorlage Web Server verwendet werden. Sie müssen das Ergebnis in Form einer Zertifikatskette (certificate chain) in DER-Codierung speichern.

2. Zertifikatsdatei und privaten Schlüssel aus PFX-Container exportieren
3. SSL-Zertifikat des Cluster-Knotens austauschen