Vous pouvez attribuer le certificat personnalisé du Serveur d'administration, par exemple, pour une meilleure intégration avec l'infrastructure à clé publique (PKI) existante de votre entreprise ou pour une configuration personnalisée des champs du certificat. Il est conseillé de remplacer le certificat directement après l'installation du Serveur d'administration, avant la fin de l'Assistant de configuration initiale de l'application.
La période de validité maximale des certificats du Serveur d'administration ne doit pas dépasser 397 jours.
Prérequis
Le nouveau certificat doit être créé au format PKCS#12 (par exemple, au moyen de la PKI de l'organisation) et doit être émis par une autorité de certification (CA) de confiance. De plus, le nouveau certificat doit inclure toute la chaîne de confiance et une clé privée, qui doit être stockée dans le fichier avec l'extension pfx ou p12. Pour le nouveau certificat, les exigences énumérées dans le tableau ci-dessous doivent être remplies.
Conditions requises pour les certificats du Serveur d'administration
Type de certificat |
Conditions |
|---|---|
Certificat commun, certificat de réserve commun ("C", "CR") |
Longueur de clé minimale : 2 048. Contraintes de base :
Utilisation des clés :
Utilisation de clés étendues (EKU) : authentification du serveur, authentification du client. L'EKU est facultative, mais si votre certificat la contient, les données d'authentification du serveur et du client doivent être spécifiées dans l'EKU. |
Certificat mobile, certificat de réserve mobile ("M", "MR") |
Longueur de clé minimale : 2 048. Contraintes de base :
Utilisation des clés :
Utilisation de clés étendues (EKU) : authentification du serveur. L'EKU est facultative, mais si votre certificat la contient, les données d'authentification du serveur doivent être spécifiées dans l'EKU. |
Certificat d'autorité de certification pour les certificats utilisateur générés automatiquement ("MCA") |
Longueur de clé minimale : 2 048. Contraintes de base :
Utilisation des clés :
Utilisation de clés étendues (EKU) : authentification du serveur. L'EKU est facultative, mais si votre certificat la contient, les données d'authentification du client doivent être spécifiées dans l'EKU. |
Les certificats émis par une autorité de certification publique ne disposent pas de l'autorisation de signature de certificat. Pour utiliser ces certificats, assurez-vous d'avoir installé la version 13 ou supérieure de l'Agent d'administration sur les points de distribution ou les passerelles de connexion de votre réseau. Sinon, vous ne pourrez pas utiliser de certificats sans l'autorisation de signature.
Étapes
La spécification du certificat du Serveur d'administration se déroule par étapes :
Utiliser la ligne de commande utilitaire klsetsrvcert dans ce but.
Lors du remplacement du certificat, tous les Agents d'administration déjà connectés au Serveur d'administration via SSL se déconnectent du Serveur avec l'erreur « Erreur d'authentification du Serveur d'administration ». Pour désigner le nouveau certificat et rétablir la connexion, utilisez la ligne ce commande utilitaire klmover.
Après avoir remplacé le certificat, indiquez-le dans les paramètres de Kaspersky Security Center 13.2 Web Console. Sinon, Kaspersky Security Center 13.2 Web Console ne pourra pas se connecter au Serveur d'administration.
Résultats
Lorsque vous avez terminé le scénario, le certificat du Serveur d'administration est remplacé et le serveur est authentifié par les Agents d'administration sur les appareils administrés.