卡巴斯基安全管理中心使用以下類型的憑證來啟用應用程式元件之間的安全互動:
預設情況下,卡巴斯基安全管理中心使用自我簽署憑證(即由卡巴斯基安全管理中心本身頒發的憑證),但是您可以用自訂憑證加以替換,以更好地滿足組織網路的要求並符合安全標準。在管理伺服器驗證自訂憑證是否滿足所有適用要求之後,該憑證將承擔與自我簽署憑證相同的功能範圍。唯一的區別是自訂憑證在到期後不會自動重新發行。您可以透過 klsetsrvcert 公用程式或透過管理主控台中的「管理伺服器屬性」區段將憑證替換為自訂憑證,具體視憑證類型而定。下述憑證類型的索引會以 klsetsrvcert 公用程式中的 -t certtype
參數可能值為依據:
您無需下載 klsetsrvcert 公用程式。它包含在卡巴斯基安全管理中心分發套件中。它與以前的卡巴斯基安全管理中心版本不相容。
任何管理伺服器憑證的最長有效期不得超過 397 天。
管理伺服器憑證
管理伺服器的驗證以及管理伺服器和受管理裝置上的網路代理間的安全互動時,需要管理伺服器憑證。首次將管理主控台連線到管理伺服器時,系統將提示您確認當前使用的管理伺服器憑證。每次更換管理伺服器憑證時,每次重新安裝管理伺服器後,以及將從屬管理伺服器連線到主管理伺服器時,都需要進行此類確認。該憑證稱為通用憑證 ("C")。
此外,還存在一個通用預留 ("CR") 憑證。卡巴斯基安全管理中心會在通用憑證到期前 90 天自動產生此憑證。公用預留憑證隨後會用來無縫替換管理伺服器憑證。當公用憑證即將到期時,公用預留憑證會用來維持與安裝在受管理裝置上網路代理實例的連線。為此,通用預留憑證會在舊的通用憑證到期前 24 小時自動變為新的通用憑證。
您也可以與其他管理伺服器設置獨立的備份管理伺服器憑證,以在將管理伺服器從一部裝置移至另一部裝置時不會遺失資料。
行動憑證
在行動裝置上對管理伺服器進行驗證需要行動憑證 ("M")。您可以在「快速設定精靈」的專用步驟上配置使用行動憑證。
此外還有行動預留 ("MR") 憑證:該憑證會用來無縫替換行動裝置憑證。當行動裝置憑證即將到期時,將使用行動備用憑證來維護與安裝在受管理行動裝置上的網路代理實例的連線。為此,行動預留憑證會在舊的行動裝置憑證到期前 24 小時自動變為新的行動裝置憑證。
如果連線方案要求在行動裝置上使用用戶端憑證(涉及雙向 SSL 驗證的連線),則可以透過用於自動產生的使用者憑證 ("MCA") 的憑證機構來產生那些憑證。此外,快速設定精靈使您可以開始使用由其他憑證機構發行的自訂用戶端憑證,而與組織的網域公用金鑰基礎架構 (PKI) 整合,可讓您透過網域憑證機構發佈用戶端憑證。
iOS MDM 伺服器憑證
在執行 iOS 作業系統的行動裝置上對管理伺服器進行驗證時,需要 iOS MDM 伺服器憑證。透過不涉及網路代理的 Apple 行動裝置管理 (MDM) 通訊協定執行與這些裝置的互動。而是在每部裝置上安裝特殊的 iOS MDM 設定檔,其中包含用戶端憑證,以確保雙向 SSL 驗證。
此外,快速設定精靈使您可以開始使用由其他憑證機構發行的自訂用戶端憑證,而與組織的網域公用金鑰基礎架構 (PKI) 整合,可讓您透過網域憑證機構發佈用戶端憑證。
當您下載那些 iOS MDM 設定檔時,用戶端憑證會傳輸到 iOS 裝置。每個 iOS MDM 伺服器用戶端憑證都是唯一的憑證。您將透過自動產生的使用者憑證 ("MCA"). 的憑證機構產生所有 iOS MDM 伺服器用戶端憑證。
網頁伺服器憑證
網頁伺服器(卡巴斯基安全管理中心管理伺服器的元件)使用的一種特殊類型憑證。發佈此網路代理安裝套件(隨後將其下載到受管理裝置)以及發佈 iOS MDM 設定檔,iOS 應用程式和 Kaspersky Security for Mobile 安裝套件都需要此憑證。基於此用途,網頁伺服器可以使用各種憑證。
如果停用行動裝置支援,則網頁伺服器會按優先等級使用以下憑證之一:
如果啟用行動裝置支援,則網頁伺服器會按優先等級使用以下憑證之一:
卡巴斯基安全管理中心 13.2 網頁主控台憑證
卡巴斯基安全管理中心 13.2 網頁主控台(以下簡稱“網頁主控台”)的伺服器有自己的憑證。當您開啟網站時,瀏覽器會驗證您的連線是否可信。網頁主控台憑證允許您對網頁主控台進行身分驗證,並被用於加密瀏覽器和網頁主控台之間的流量。
當您開啟網頁主控台時,瀏覽器會通知您與網頁主控台的連線不是私有,並且網頁主控台憑證無效。出現此警告是因為網頁主控台憑證為自簽名並由卡巴斯基安全管理中心自動產生。要刪除此警告,您可以執行以下操作之一: