È possibile assegnare il certificato di Administration Server personalizzato, ad esempio per una migliore integrazione con l'infrastruttura a chiave pubblica (PKI) esistente dell'azienda o per la configurazione personalizzata dei campi del certificato. È consigliabile sostituire il certificato subito dopo l'installazione di Administration Server e prima del completamento dell'Avvio rapido guidato.
Il periodo di validità massimo di qualsiasi certificato di Administration Server non deve superare i 397 giorni.
Prerequisiti
Il nuovo certificato deve essere creato nel formato PKCS#12 (ad esempio tramite l'infrastruttura PKI dell'organizzazione) e deve essere rilasciato da un'autorità di certificazione (CA) attendibile. Inoltre, il nuovo certificato deve includere l'intera catena di attendibilità e una chiave privata, che deve essere archiviata nel file con estensione pfx o p12. Per il nuovo certificato devono essere soddisfatti i requisiti elencati nella tabella di seguito.
Requisiti per i certificati di Administration Server
Tipo di certificato |
Requisiti |
|---|---|
Certificato comune, certificato di riserva comune ("C", "CR") |
Lunghezza minima della chiave: 2048. Vincoli di base:
Utilizzo chiave:
EKU (Extended Key Usage): autenticazione del server e autenticazione del client. Il parametro EKU è facoltativo, ma se il certificato lo contiene, i dati di autenticazione del server e del client devono essere specificati nell'EKU. |
Certificato mobile, certificato di riserva mobile ("M", "MR") |
Lunghezza minima della chiave: 2048. Vincoli di base:
Utilizzo chiave:
EKU (Extended Key Usage): autenticazione del server. L'EKU è facoltativo, ma se il certificato lo contiene, i dati di autenticazione del server devono essere specificati nell'EKU. |
CA certificato per certificati utente generati automaticamente ("MCA") |
Lunghezza minima della chiave: 2048. Vincoli di base:
Utilizzo chiave:
EKU (Extended Key Usage): autenticazione del client. L'EKU è facoltativo, ma se il certificato lo contiene, i dati di autenticazione del client devono essere specificati nell'EKU. |
I certificati rilasciati da un'autorità di certificazione pubblica non dispongono dell'autorizzazione di firma del certificato. Per utilizzare tali certificati, assicurarsi di aver installato Network Agent versione 13 o successiva nei punti di distribuzione o nei gateway di connessione della rete. In caso contrario, non sarà possibile utilizzare i certificati senza l'autorizzazione di firma.
Passaggi
Sono necessari alcuni passaggi per specificare il certificato di Administration Server:
A tale scopo, utilizzare la riga di comando utilità klsetsrvcert.
Quando il certificato viene sostituito, tutti i Network Agent precedentemente connessi ad Administration Server tramite SSL perdono la connessione e restituiscono un errore di autenticazione di Administration Server. Per specificare il nuovo certificato e ripristinare la connessione, utilizzare l'utilità klmover della riga di comando.
Dopo aver sostituito il certificato, specificarlo nelle impostazioni di Kaspersky Security Center 13.2 Web Console. In caso contrario, Kaspersky Security Center 13.2 Web Console non sarà in grado di connettersi all'Administration Server.
Risultati
Al termine dello scenario, il certificato di Administration Server viene sostituito e il server viene autenticato dai Network Agent nei dispositivi gestiti.