So ersetzen Sie das Zertifikat des Administrationsservers:
Führen Sie aus der Befehlszeile das folgenden Dienstprogramm aus:
klsetsrvcert [-t <Typ> {-i <Eingabedatei> [-p <Kennwort>] [-o <chkopt>] | -g <DNS-Name>}][-f <Zeit>][-r <calistfile>][-l <Protokolldatei>]
Sie müssen das Dienstprogramm klsetsrvcert nicht herunterladen. Dieses Tool gehört zum Programmpaket von Kaspersky Security Center. Es ist nicht mit früheren Versionen von Kaspersky Security Center kompatibel.
Die Beschreibung der Parameter des Dienstprogramms klsetsrvcert finden Sie in der folgenden Tabelle.
Parameterwerte des Dienstprogramms klsetsrvcert
Parameter |
Wert |
---|---|
|
Typ des Zertifikats, das ersetzt werden muss. Mögliche Einstellungswerte des Parameters
|
|
Zeitplan für das Ersetzen der Zertifikate im Format "DD-MM-YYYY hh:mm" (für die Ports 13000 und 13291). Verwenden Sie diesen Parameter, wenn Sie das gewöhnliche Zertifikat oder das gewöhnliche Reservezertifikat ersetzen möchten, bevor es abläuft. Geben Sie die Zeit an, zu der verwaltete Geräte mit dem Administrationsserver mit einem neuen Zertifikat synchronisiert werden müssen. |
|
Container mit dem Zertifikat und privatem Schlüssel im Format PKCS#12 (Datei mit der p12- oder pfx-Erweiterung). |
|
Kennwort, mithilfe dessen der p12-Container geschützt ist. Da das Zertifikat und ein privater Schlüssel im Container gespeichert werden, wird das Kennwort benötigt, um die Datei mit dem Container zu entschlüsseln. |
|
Parameter der Zertifikatsvalidierung (durch Strichpunkt getrennt). Um ein benutzerdefiniertes Zertifikat ohne Signaturberechtigung zu verwenden, geben Sie im Dienstprogramm klsetsrvcert Um für Zertifikate vom Typ C oder CR die Länge des Chiffrierschlüssels zu ändern, geben Sie in dem Tool "klsetsrvcert" die Option |
|
Ein neues Zertifikat wird für den angegebenen DNS-Namen erstellt. |
|
Liste mit vertrauenswürdigen Zertifizierungsstellen für Stammzertifikate im Format PEM. |
|
Datei zur Ausgabe der Ergebnisse. Standardmäßig erfolgt die Ausgabe im Standardausgabestream. |
Um das benutzerdefinierte Zertifikat des Administrationsservers anzugeben, verwenden Sie beispielsweise den folgenden Befehl:
klsetsrvcert -t C -i <Eingabedatei> -p <Kennwort> -o NoCA
Nachdem das Zertifikat ersetzt wurde, verlieren alle Administrationsagenten, die über SSL mit dem Administrationsserver verbunden sind, ihre Verbindung. Verwenden Sie das Befehlszeilen-Dienstprogramm klmover, um es Wiederherstellen.
Um zu vermeiden, dass die Verbindungen mit den Administrationsagenten verloren gehen, verwenden Sie die folgenden Befehle:
klsetsrvcert.exe -t CR -i <Eingabedatei> -p <Kennwort> -o NoCA
klsetsrvcert.exe -f "DD-MM-YYYY hh:mm"
Wobei TT-MM-JJJJ hh:mm
das Datum 3-4 Wochen nach dem aktuellen Datum darstellt. Der zeitliche Versatz ist zum Austauschen des Zertifikats durch ein neues vorgesehen und ermöglicht die Verteilung dieses neuen Zertifikats an alle Administrationsagenten.