Kaspersky Security Center

Remplacement du certificat du Serveur d'administration à l'aide de l'utilitaire klsetsrvcert

19 juin 2024

ID 227838

Pour remplacer le certificat du Serveur d'administration, procédez comme suit :

Dans la ligne de commande, exécutez l'utilitaire suivant :

klsetsrvcert [-t <type> {-i <inputfile> [-p <password>] [-o <chkopt>] | -g <dnsname>}][-f <time>][-r <calistfile>][-l <logfile>]

Vous n'avez pas besoin de télécharger l'utilitaire klsetsrvcert. Il figure dans le kit de distribution de Kaspersky Security Center. Il n'est pas compatible avec les versions précédentes de Kaspersky Security Center.

La description des paramètres de l'utilitaire klsetsrvcert est présentée dans le tableau ci-dessous.

Valeurs des paramètres de l'utilitaire klsetsrvcert

Paramètre

Valeur

-t <type>

Le type de certificat à remplacer. Valeurs possibles du paramètre <type> :

  • C — remplacer le certificat commun pour les ports 13000 et 13291.
  • CR — remplacer certificat commun de réserve pour les ports 13000 et 13291.
  • M — remplacer le certificat pour les appareils mobiles du port 13292.
  • MR — remplacer le certificat mobile de réserve pour le port 13292.
  • MCA : autorité de certification de client mobile pour les certificats utilisateur générés automatiquement.

-f <time>

Calendrier de changement de certificat, format "JJ-MM-AAAA hh:mm" (pour les ports 13000 et 13291).

Utilisez ce paramètre si vous souhaitez remplacer le certificat commun ou le certificat commun de réserve avant son expiration.

Spécifiez l'heure à laquelle les appareils administrés doivent se synchroniser avec le Serveur d'administration sur un nouveau certificat.

-i <inputfile>

Le conteneur où se trouve le certificat et une clé privée au format PKCS#12 (fichier avec extension .p12 ou .pfx).

-p <password>

Le mot de passe qui protège le conteneur p12.

Le certificat et une clé privée sont stockés dans le conteneur, par conséquent, le mot de passe est requis pour déchiffrer le fichier avec le conteneur.

-o <chkopt>

Paramètres de validation du certificat (séparés par des points-virgules).

Pour utiliser un certificat personnalisé sans autorisation de signature, spécifiez -o NoCA dans l'utilitaire klsetsrvcert. Ceci est utile pour les certificats émis par une autorité de certification publique.

Pour modifier la longueur de la clé de chiffrement pour les certificats de type C ou CR, spécifiez -o RsaKeyLen:<key length> dans l'utilitaire klsetsrvcert, où le paramètre <key length> correspond à la valeur de la longueur de clé requise. Sinon, la longueur de clé actuelle du certificat est utilisée.

-g <dnsname>

Un certificat est créé pour le nom DNS indiqué.

-r <calistfile>

Liste des autorités de certification racine de confiance, format PEM.

-l <logfile>

Le fichier contenant les résultats. Par défaut l'affichage se réalise dans le flux standard d'affichage.

Par exemple, pour spécifier le certificat personnalisé du Serveur d'administration, utilisez la commande suivante :

klsetsrvcert -t C -i <inputfile> -p <password> -o NoCA

Une fois le certificat remplacé, tous les Agents d'administration connectés au Serveur d'administration via SSL perdent leur connexion. Pour la restaurer, utilisez la ligne de commande utilitaire klmover.

La réémission automatique de certificats mobiles n'est pas prise en charge. Nous vous recommandons de spécifier un nouveau certificat mobile lorsque le certificat existant est sur le point d'expirer. Si le certificat mobile expire et que le certificat de réserve mobile n'est pas spécifié, la connexion entre les instances du Serveur d'administration et de l'Agent d'administration installées sur les appareils mobiles administrés sera perdue. Dans ce cas, pour reconnecter les appareils mobiles administrés, vous devez définir un nouveau certificat mobile et réinstaller Kaspersky Security for Mobile sur chaque appareil mobile administré.

Pour éviter de perdre les connexions des Agents d'administration, utilisez la commande suivante :

  1. Pour installer le nouveau certificat,

    klsetsrvcert.exe -t CR -i <inputfile> -p <password> -o NoCA

  2. Pour préciser la date d'application du nouveau certificat,

    klsetsrvcert.exe -f "JJ-MM-AAAA hh:mm"

où "JJ-MM-AAAA hh:mm" est la date 3 à 4 semaines plus tard que la date actuelle. Le décalage horaire nécessaire au remplacement du certificat par le nouveau permettra au nouveau certificat d'être distribué à tous les Agents d'administration.

Voir également :

Scénario : Spécifier le certificat personnalisé du Serveur d'administration

Cet article vous a-t-il été utile ?
Que pouvons-nous améliorer ?
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.