Acerca de los certificados de Kaspersky Security Center

21 de marzo de 2024

ID 206479

Los siguientes tipos de certificados permiten que los componentes de Kaspersky Security Center interactúen en forma segura:

  • Certificado del Servidor de administración
  • Certificado para dispositivos móviles
  • Certificado del Servidor de MDM para iOS
  • Certificado del Servidor web de Kaspersky Security Center
  • Certificado de Kaspersky Security Center Web Console

Los certificados que se utilizan por defecto son autofirmados, es decir, son certificados emitidos por el propio Kaspersky Security Center. Si así lo exigen los requisitos de su red o los estándares de seguridad de su organización, puede reemplazarlos por certificados personalizados. Los certificados personalizados asumen el mismo alcance funcional que los autofirmados una vez que el Servidor de administración ha verificado que cumplen con todos los requisitos. La única diferencia entre las dos clases de certificados es que los personalizados no se renuevan automáticamente al caducar. Puede reemplazar los certificados autofirmados por personalizados mediante la utilidad klsetsrvcert o mediante la sección de propiedades del Servidor de administración en la Consola de administración, según el tipo de certificado. Si decide usar la utilidad klsetsrvcert, utilice uno de los siguientes valores para indicar el tipo de certificado:

  • C (certificado común para los puertos 13000 y 13291)
  • CR (certificado común de reserva para los puertos 13000 y 13291)
  • M (certificado para dispositivos móviles, para el puerto 13292)
  • MR (certificado de reserva para dispositivos móviles, para el puerto 13292)
  • MCA (entidad de certificación móvil para certificados de usuario autogenerados)

No necesita descargar la utilidad klsetsrvcert. Esta utilidad se incluye en el kit de distribución de Kaspersky Security Center. No es compatible con versiones más antiguas de Kaspersky Security Center.

El período máximo de validez para cualquiera de los certificados del Servidor de administración debe ser de 397 días o menos.

Certificados del Servidor de administración

Se requiere un certificado del Servidor de administración para autenticar el Servidor de administración, así como para la interacción segura entre el Servidor de administración y el Agente de red en los dispositivos administrados o entre el Servidor de administración principal y los Servidores de administración secundarios. La primera vez que se conecte al Servidor de administración con la Consola de administración, se le pedirá que confirme el uso del certificado del Servidor de administración vigente. Volverá a ver esta solicitud cuando el certificado se reemplace, si reinstala el Servidor de administración o si conecta un Servidor de administración secundario al Servidor de administración principal. El certificado del Servidor de administración se denomina certificado común ("C").

El certificado común ("C") se crea automáticamente cuando se instala el componente del Servidor de administración. El certificado consta de dos partes:

  • Archivo klserver.cer; de forma predeterminada, se encuentra en el dispositivo donde está instalado el componente del Servidor de administración en la carpeta C:\ProgramData\KasperskyLab\adminkit\1093\cert.
  • Clave secreta ubicada en el Almacenamiento protegido de Windows.

También existe un certificado común de reserva ("CR"). Kaspersky Security Center lo genera en forma automática 90 días antes de que caduque el certificado común. El certificado común de reserva se instala luego, de manera transparente, como nuevo certificado del Servidor de administración. Cuando el certificado común está próximo a caducar, el certificado de reserva se utiliza para mantener la conexión con las copias del Agente de red instaladas en los dispositivos administrados. Para tal fin, el certificado común de reserva se convierte en el nuevo certificado común 24 horas antes de que caduque el original.

Cabe destacar que el certificado del Servidor de administración se puede guardar en una copia de seguridad que no incluya ningún otro ajuste del Servidor. Esta facilidad permite mudar el Servidor de administración de un dispositivo a otro sin perder información.

Certificados para dispositivos móviles

El certificado para dispositivos móviles ("M") permite autenticar el Servidor de administración en los dispositivos móviles. El uso del certificado móvil se configura en el paso dedicado del Asistente de inicio rápido.

También existe un certificado de reserva para dispositivos móviles ("MR"). Se lo utiliza para reemplazar, de manera simple, el certificado para dispositivos móviles. Cuando el certificado para dispositivos móviles está próximo a caducar, el certificado MR se utiliza para mantener la conexión con las instancias del Agente de red instaladas en los dispositivos administrados. Para tal fin, el certificado de reserva para dispositivos móviles se convierte en el nuevo certificado para dispositivos móviles 24 horas antes de que caduque el original.

No se admite la reemisión automática de certificados móviles. Le recomendamos que especifique un nuevo certificado móvil cuando el existente esté a punto de caducar. Si el certificado móvil caduca y no se especifica el certificado de reserva móvil, se perderá la conexión entre el Servidor de administración y las instancias del Agente de red instaladas en los dispositivos móviles administrados. En este caso, para volver a conectar los dispositivos móviles administrados, debe especificar un nuevo certificado móvil y reinstalar Kaspersky Security for Mobile en cada dispositivo móvil administrado.

Si su esquema de conexión exige usar certificados cliente en los dispositivos móviles (para realizar una autenticación SSL bidireccional), debe generarlos utilizando la MCA (la entidad de certificación para certificados de usuario autogenerados). Además, el Asistente de inicio rápido le permite comenzar a utilizar certificados de cliente personalizados emitidos por una autoridad de certificación diferente, mientras que la integración con la Infraestructura de clave pública (PKI) del dominio de su organización le permite emitir certificados de cliente por medio de la autoridad de certificación de su dominio.

Certificado del Servidor de MDM para iOS

El certificado del Servidor de MDM para iOS se utiliza para realizar la autenticación del Servidor de administración en los dispositivos móviles que utilizan el sistema operativo iOS. La interacción con estos equipos se lleva a cabo mediante el protocolo de administración de dispositivos móviles (MDM) definido por Apple. El mecanismo no requiere utilizar un Agente de red. Lo que se hace, en cambio, es instalar un perfil de MDM para iOS en cada dispositivo; el perfil contiene un certificado cliente, que permite realizar una autenticación SSL bidireccional.

Además, el Asistente de inicio rápido le permite comenzar a utilizar certificados de cliente personalizados emitidos por una autoridad de certificación diferente, mientras que la integración con la Infraestructura de clave pública (PKI) del dominio de su organización le permite emitir certificados de cliente por medio de la autoridad de certificación de su dominio.

El dispositivo iOS obtiene su certificado cliente al descargar el perfil de MDM para iOS. Un certificado de cliente del servidor iOS MDM es único para cada dispositivo iOS administrado. Usted genera todos los certificados de cliente del Servidor de MDM para iOS mediante la autoridad de certificación para certificados de usuario generados automáticamente ("MCA").

Certificado del Servidor web de Kaspersky Security Center

El Servidor web de Kaspersky Security Center (un componente del Servidor de administración de Kaspersky Security Center que, en lo sucesivo, se denominará simplemente "Servidor web") utiliza un tipo especial de certificado. Este certificado es necesario para publicar paquetes de instalación del Agente de red que posteriormente descargará en dispositivos administrados, así como para publicar perfiles de MDM para iOS, aplicaciones de iOS y paquetes de instalación de Kaspersky Security para dispositivos móviles. El Servidor web puede usar distintos certificados para tal fin.

Si la compatibilidad con dispositivos móviles no está habilitada, el Servidor web usará uno de los siguientes certificados (en orden de prioridad):

  1. certificado personalizado, elegido manualmente para el Servidor web a través de la Consola de administración
  2. certificado común del Servidor de administración ("C")

Si la compatibilidad con dispositivos móviles está habilitada, el Servidor web usará uno de los siguientes certificados (en orden de prioridad):

  1. certificado personalizado, elegido manualmente para el Servidor web a través de la Consola de administración
  2. Certificado para dispositivos móviles personalizado
  3. certificado para dispositivos móviles autofirmado ("M")
  4. certificado común del Servidor de administración ("C")

Certificado de Kaspersky Security Center Web Console

El Servidor de Kaspersky Security Center Web Console (o también, en lo sucesivo, "Web Console") tiene su propio certificado. Cuando abre un sitio web, el navegador verifica si su conexión es fiable. El certificado de la consola web le permite autenticar la consola web y se utiliza para cifrar el tráfico entre el navegador y la consola web.

Cuando abre Web Console, el navegador le informa que la conexión a Web Console no es privada y que el certificado de Web Console no es válido. La advertencia se muestra porque Web Console utiliza un certificado autofirmado, generado automáticamente por Kaspersky Security Center. Para deshacerse de esta advertencia, realice una de las siguientes acciones:

Consulte también:

Requisitos para los certificados personalizados que se utilizan en Kaspersky Security Center

Escenario: Especificación del certificado del Servidor de administración personalizado

Escenario de instalación principal

Autenticación del Servidor de administración durante la conexión de la Consola de administración

Jerarquía de Servidores de administración: Servidor de administración principal y Servidor de administración secundario

Copia de seguridad y recuperación de datos en modo interactivo

Trabajar con certificados de dispositivos móviles

Asistente de inicio rápido del Servidor de administración

Adición de dispositivos móviles iOS a la lista de dispositivos administrados

Firmar un perfil de MDM para iOS mediante un certificado

Servidor web

¿Le ha resultado útil este artículo?
¿Qué podemos mejorar?
¡Gracias por darnos su opinión! Nos está ayudando a mejorar.
¡Gracias por darnos su opinión! Nos está ayudando a mejorar.