Remplacement des certificats du Serveur d'intégration et des SVM
14 décembre 2023
ID 97888
Le kit de distribution de la solution Kaspersky Security comprend l'utilitaire d'administration des certificats du Serveur d'intégration et de la SVM certificate_manager. Le certificat SSL du Serveur d'intégration permet d'établir une connexion sécurisée avec le Serveur d'intégration et de chiffrer le canal de communication entre le Serveur de protection et le Light Agent.
L'utilitaire d'administration des certificats vous permet de :
- Сréer le certificat du Serveur d'intégration utilisé pour l'établissement d'une connexion protégée avec le Serveur d'intégration.
- Remplacer le certificat auto-signé du Serveur d'intégration installé lors du déploiement de la solution.
Lors du remplacement du Certificat du Serveur d'intégration, le certificat de la SVM utilisé pour chiffrer le canal de communication entre le Light Agent et le Serveur de protection est remplacé automatiquement. Un nouveau certificat de SVM est créé sur la base du certificat du Serveur d'intégration.
Le remplacement des certificats peut être requis dans les cas suivants :
- Lors de la mise à jour de la solution pour remplacer le certificat précédemment installé par un autre plus sécurisé.
- Si le certificat que vous utilisez a expiré ou si le certificat a été compromis.
- Si l'adresse IP ou le nom de domaine de l'appareil sur lequel le Serveur d'intégration est installé a changé.
Vous pouvez remplacer le certificat du Serveur d'intégration par un nouveau certificat créé à l'aide de l'utilitaire ou d'outils tiers. Si vous souhaitez utiliser le certificat du Serveur d'intégration créé à l'aide d'outils tiers, assurez-vous que le nouveau certificat répond aux exigences de l'utilitaire en matière de certificat.
L'utilitaire certificate_manager se trouve dans le dossier d'installation du Serveur d'intégration %ProgramFiles(x86)%\Kaspersky Lab\Kaspersky VIISLA\.
L'utilisation de l'utilitaire requiert des privilèges d'administrateur dans le système d'exploitation.
Pour créer un certificat du Serveur d'intégration à l'aide de l'utilitaire :
Sur l'appareil doté du Serveur d'intégration, exécutez la commande :
%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky VIISLA\certificate_manager.exe create-self-signed-certs --outputFolder <chemin d'accès au dossier contenant le certificat>
où <chemin d'accès au dossier contenant le certificat> désigne le chemin d'accès au dossier dans lequel le certificat créé va être placé. Le dossier doit se trouver sur l'appareil doté du Serveur d'intégration.
Il est conseillé de protéger le certificat contre tout accès non autorisé. Par exemple, vous pouvez placer le certificat dans un dossier sécurisé.
À l'issue de l'exécution de la commande, l'utilitaire crée un certificat pour le Serveur d'intégration (au format PFX) et le place dans le dossier spécifié.
Pour remplacer les certificats du Serveur d'intégration et de la SVM :
Sur l'appareil doté du Serveur d'intégration, exécutez la commande :
%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky VIISLA\certificate_manager.exe replace --certificatePath <chemin d'accès au certificat>
où <chemin d'accès au certificat> est le chemin d'accès au certificat du Serveur d'intégration (fichier au format PFX).
À l'issue de la procédure, l'utilitaire exécuter les actions suivantes :
- Il crée un certificat pour la SVM sur la base du certificat qui se trouve dans le dossier indiqué.
- Il remplace le certificat du Serveur d'intégration et le certificat de la SVM précédemment installés par de nouveaux.
- Il redémarre le service du Serveur d'intégration.
Une fois les certificats pour le Serveur d'intégration et la SVM remplacés, vous devez mettre à jour toutes les stratégies pour le Light Agent et les stratégies pour les SVM afin qu'elles reçoivent la clé publique du nouveau certificat.
Des fichiers de trace peuvent être générés pendant l'exécution de l'utilitaire d'administration des certificats.