Scenariusz: Określanie niestandardowego certyfikatu Serwera administracyjnego

Możesz przypisać niestandardowy certyfikat Serwera administracyjnego, na przykład, w celu lepszej integracji z istniejącą infrastrukturą kluczy publicznych (PKI) przedsiębiorstwa lub w celu niestandardowej konfiguracji pól certyfikatu. Dobrym rozwiązaniem jest zastąpienie certyfikatu natychmiast po zainstalowaniu Serwera administracyjnego, a przed zakończeniem działania Kreatora wstępnej konfiguracji.

Maksymalny okres ważności dowolnego certyfikatu Serwera administracyjnego nie może przekraczać 397 dni.

Wymagania wstępne

Nowy certyfikat musi być utworzony w formacie PKCS#12 (na przykład, za pomocą PKI organizacji) i musi być wystawiony przez zaufany urząd certyfikacji (CA). Ponadto nowy certyfikat musi zawierać cały łańcuch zaufania oraz klucz prywatny, który musi być przechowywany w pliku z rozszerzeniem pfx lub p12. W przypadku nowego certyfikatu należy spełnić wymagania wymienione w poniższej tabeli.

Wymagania dotyczące certyfikatów Serwera administracyjnego

Typ certyfikatu

Wymagania

Certyfikat standardowy, standardowy certyfikat zapasowy („C”, „CR”)

Minimalna długość klucza: 2048.

Podstawowe ograniczenia:

  • Urząd certyfikacji (CA): prawda
  • Ograniczenie długości ścieżki: brak

    Wartość ograniczenia długości ścieżki może być całkowicie inna niż „Brak”, ale nie mniejsza niż „1”.

Użycie klucza:

  • Podpis cyfrowy
  • Podpisywanie certyfikatów
  • Szyfrowanie klucza
  • Podpisywanie CRL

Rozszerzone użycie klucza (EKU): uwierzytelnianie serwera i uwierzytelnianie klienta. Jednostka EKU jest opcjonalna, ale jeśli zawiera ją certyfikat, dane uwierzytelniania serwera i klienta muszą być określone w jednostce EKU.

Certyfikat mobilny, zapasowy certyfikat mobilny („M”, „MR”)

Minimalna długość klucza: 2048.

Podstawowe ograniczenia:

  • Urząd certyfikacji (CA): prawda
  • Ograniczenie długości ścieżki: brak

    Wartość ograniczenia długości ścieżki może być całkowicie inna niż „Brak”, jeśli standardowy certyfikat ma wartość ograniczenia długości ścieżki nie mniejszą niż 1.

Użycie klucza:

  • Podpis cyfrowy
  • Podpisywanie certyfikatów
  • Szyfrowanie klucza
  • Podpisywanie CRL

Rozszerzone użycie klucza (EKU): uwierzytelnianie serwera. Jednostka EKU jest opcjonalna, ale jeśli zawiera ją certyfikat, dane uwierzytelniania serwera muszą być określone w jednostce EKU.

Certyfikat Urzędu certyfikacji (CA) dla automatycznie generowanych certyfikatów użytkowników („MCA”)

Minimalna długość klucza: 2048.

Podstawowe ograniczenia:

  • Urząd certyfikacji (CA): prawda
  • Ograniczenie długości ścieżki: brak

    Wartość ograniczenia długości ścieżki może być całkowicie inna niż „Brak”, jeśli Standardowy certyfikat ma wartość ograniczenia długości ścieżki nie mniejszą niż 1.

Użycie klucza:

  • Podpis cyfrowy
  • Podpisywanie certyfikatów
  • Szyfrowanie klucza
  • Podpisywanie CRL

Rozszerzone użycie klucza (EKU): uwierzytelnianie klienta. Jednostka EKU jest opcjonalna, ale jeśli zawiera ją certyfikat, dane uwierzytelniania klienta muszą być określone w jednostce EKU.

Certyfikaty wystawione przez publiczny urząd certyfikacji nie mają uprawnień do podpisywania certyfikatów. Aby korzystać z takich certyfikatów, upewnij się, że zainstalowałeś Agenta sieciowego w wersji 13 lub nowszej w punktach dystrybucji lub bramach połączeń w swojej sieci. W przeciwnym razie nie będziesz mógł korzystać z certyfikatów bez pozwolenia na podpisywanie.

Etapy

Określanie certyfikatu Serwera administracyjnego odbywa się w etapach:

  1. Zastępowanie certyfikatu Serwera administracyjnego

    W tym celu użyj polecenia narzędzie klsetsrvcert.

  2. Określanie nowego certyfikatu i przywracanie połączenia Agentów sieciowych z Serwerem administracyjnym

    Podczas zamiany certyfikatu, wszystkie Agenty sieciowe, które wcześniej były połączone z Serwerem administracyjnym za pomocą protokołu SSL, utracą połączenie i zwrócą „Błąd autoryzacji Serwera administracyjnego”. Aby określić nowy certyfikat i przywrócić połączenie, użyj polecenia narzędzia klmover.

  3. Określenie nowego certyfikatu w ustawieniach Kaspersky Security Center Web Console

    Po wymianie certyfikatu określ go w ustawieniach Kaspersky Security Center Web Console. W przeciwnym razie Kaspersky Security Center Web Console nie będzie mógł nawiązać połączenia z Serwerem administracyjnym.

Wyniki

Po zakończeniu scenariusza, certyfikat Serwera administracyjnego jest zastępowany i serwer zostaje uwierzytelniony przez Agentów sieciowych na zarządzanych urządzeniach.

Zobacz również:

Informacje o certyfikatach Kaspersky Security Center

Informacje o certyfikacie Serwera administracyjnego

Wymagania dotyczące niestandardowych certyfikatów stosowanych w Kaspersky Security Center

Główny scenariusz instalacji

Przejdź do góry