Scenariusz: Określanie niestandardowego certyfikatu Serwera administracyjnego

Możesz przypisać niestandardowy certyfikat Serwera administracyjnego, na przykład, w celu lepszej integracji z istniejącą infrastrukturą kluczy publicznych (PKI) przedsiębiorstwa lub w celu niestandardowej konfiguracji pól certyfikatu. Dobrym rozwiązaniem jest zastąpienie certyfikatu natychmiast po zainstalowaniu Serwera administracyjnego, a przed zakończeniem działania kreatora wstępnej konfiguracji.

Maksymalny okres ważności dowolnego certyfikatu Serwera administracyjnego nie może przekraczać 397 dni.

Wymagania wstępne

Muszą być spełnione następujące warunki:

Nowy certyfikat musi zostać utworzony w formacie PKCS#12 (na przykład za pomocą infrastruktury klucza publicznego (PKI) organizacji).
W przypadku nowego certyfikatu należy spełnić wymagania wymienione w poniższej tabeli.

W poniższej tabeli zwróć uwagę na wymaganie „CA: true”, które oznacza, że nowy certyfikat musi zostać wydany przez zaufany urząd certyfikacji (CA). Nowy certyfikat z wymaganiem „CA: true”, musi zawierać cały łańcuch zaufania oraz klucz prywatny, który musi być przechowywany w pliku z rozszerzeniem pfx lub p12.

Wymagania dotyczące certyfikatów Serwera administracyjnego

Typ certyfikatu	Wymagania
Certyfikat standardowy, standardowy certyfikat zapasowy („C”, „CR”)	Minimalna długość klucza: 2048. Podstawowe ograniczenia: Ograniczenie długości ścieżki: brak Wartość ograniczenia długości ścieżki może być całkowicie inna niż „Brak”, ale nie mniejsza niż „1”. Użycie klucza: Podpis cyfrowy Podpisywanie certyfikatów Szyfrowanie klucza Podpisywanie CRL Rozszerzone użycie klucza (EKU): uwierzytelnianie serwera i uwierzytelnianie klienta. Jednostka EKU jest opcjonalna, ale jeśli zawiera ją certyfikat, dane uwierzytelniania serwera i klienta muszą być określone w jednostce EKU.
Certyfikat mobilny, zapasowy certyfikat mobilny („M”, „MR”)	Minimalna długość klucza: 2048. Podstawowe ograniczenia: Urząd certyfikacji (CA): prawda Ograniczenie długości ścieżki: brak Wartość ograniczenia długości ścieżki może być całkowicie inna niż „Brak”, jeśli standardowy certyfikat ma wartość ograniczenia długości ścieżki nie mniejszą niż 1. Użycie klucza: Podpis cyfrowy Podpisywanie certyfikatów Szyfrowanie klucza Podpisywanie CRL Rozszerzone użycie klucza (EKU): uwierzytelnianie serwera. Jednostka EKU jest opcjonalna, ale jeśli zawiera ją certyfikat, dane uwierzytelniania serwera muszą być określone w jednostce EKU.
Certyfikat Urzędu certyfikacji (CA) dla automatycznie generowanych certyfikatów użytkowników („MCA”)	Minimalna długość klucza: 2048. Podstawowe ograniczenia: Urząd certyfikacji (CA): prawda Ograniczenie długości ścieżki: brak Wartość ograniczenia długości ścieżki może być całkowicie inna niż „Brak”, jeśli Standardowy certyfikat ma wartość ograniczenia długości ścieżki nie mniejszą niż 1. Użycie klucza: Podpis cyfrowy Podpisywanie certyfikatów Szyfrowanie klucza Podpisywanie CRL Rozszerzone użycie klucza (EKU): uwierzytelnianie klienta. Jednostka EKU jest opcjonalna, ale jeśli zawiera ją certyfikat, dane uwierzytelniania klienta muszą być określone w jednostce EKU.

Typ certyfikatu

Wymagania

Certyfikat standardowy, standardowy certyfikat zapasowy („C”, „CR”)

Minimalna długość klucza: 2048.

Podstawowe ograniczenia:

Ograniczenie długości ścieżki: brak
Wartość ograniczenia długości ścieżki może być całkowicie inna niż „Brak”, ale nie mniejsza niż „1”.

Użycie klucza:

Podpis cyfrowy
Podpisywanie certyfikatów
Szyfrowanie klucza
Podpisywanie CRL

Rozszerzone użycie klucza (EKU): uwierzytelnianie serwera i uwierzytelnianie klienta. Jednostka EKU jest opcjonalna, ale jeśli zawiera ją certyfikat, dane uwierzytelniania serwera i klienta muszą być określone w jednostce EKU.

Certyfikat mobilny, zapasowy certyfikat mobilny („M”, „MR”)

Minimalna długość klucza: 2048.

Podstawowe ograniczenia:

Urząd certyfikacji (CA): prawda
Ograniczenie długości ścieżki: brak
Wartość ograniczenia długości ścieżki może być całkowicie inna niż „Brak”, jeśli standardowy certyfikat ma wartość ograniczenia długości ścieżki nie mniejszą niż 1.

Użycie klucza:

Podpis cyfrowy
Podpisywanie certyfikatów
Szyfrowanie klucza
Podpisywanie CRL

Rozszerzone użycie klucza (EKU): uwierzytelnianie serwera. Jednostka EKU jest opcjonalna, ale jeśli zawiera ją certyfikat, dane uwierzytelniania serwera muszą być określone w jednostce EKU.

Certyfikat Urzędu certyfikacji (CA) dla automatycznie generowanych certyfikatów użytkowników („MCA”)

Minimalna długość klucza: 2048.

Podstawowe ograniczenia:

Urząd certyfikacji (CA): prawda
Ograniczenie długości ścieżki: brak
Wartość ograniczenia długości ścieżki może być całkowicie inna niż „Brak”, jeśli Standardowy certyfikat ma wartość ograniczenia długości ścieżki nie mniejszą niż 1.

Użycie klucza:

Podpis cyfrowy
Podpisywanie certyfikatów
Szyfrowanie klucza
Podpisywanie CRL

Rozszerzone użycie klucza (EKU): uwierzytelnianie klienta. Jednostka EKU jest opcjonalna, ale jeśli zawiera ją certyfikat, dane uwierzytelniania klienta muszą być określone w jednostce EKU.

Certyfikaty wystawione przez publiczny urząd certyfikacji nie mają uprawnień do podpisywania certyfikatów. Aby korzystać z takich certyfikatów, upewnij się, że zainstalowałeś Agenta sieciowego w wersji 13 lub nowszej w punktach dystrybucji lub bramach połączeń w swojej sieci. W przeciwnym razie nie będziesz mógł korzystać z certyfikatów bez pozwolenia na podpisywanie.

Etapy

Określanie certyfikatu Serwera administracyjnego odbywa się w etapach:

Zastępowanie certyfikatu Serwera administracyjnego
W tym celu użyj polecenia narzędzie klsetsrvcert.
Określanie nowego certyfikatu i przywracanie połączenia Agentów sieciowych z Serwerem administracyjnym
Podczas zamiany certyfikatu, wszystkie Agenty sieciowe, które wcześniej były połączone z Serwerem administracyjnym za pomocą protokołu SSL, utracą połączenie i zwrócą „Błąd autoryzacji Serwera administracyjnego”. Aby określić nowy certyfikat i przywrócić połączenie, użyj polecenia narzędzia klmover.
Określenie nowego certyfikatu w ustawieniach Kaspersky Security Center Web Console
Po wymianie certyfikatu określ go w ustawieniach Kaspersky Security Center Web Console. W przeciwnym razie Kaspersky Security Center Web Console nie będzie mógł nawiązać połączenia z Serwerem administracyjnym.

Wyniki

Po zakończeniu scenariusza, certyfikat Serwera administracyjnego jest zastępowany i serwer zostaje uwierzytelniony przez Agentów sieciowych na zarządzanych urządzeniach.

Zobacz również:

Informacje o certyfikatach Kaspersky Security Center

Informacje o certyfikacie Serwera administracyjnego

Wymagania dotyczące niestandardowych certyfikatów stosowanych w Kaspersky Security Center

Główny scenariusz instalacji

Przejdź do góry