É possível atribuir o certificado personalizado do Servidor de Administração, por exemplo, para melhor integração com a infraestrutura de chave pública (PKI) existente de sua empresa ou para configuração personalizada dos campos de certificado. É útil substituir o certificado imediatamente após a instalação do Servidor de Administração e antes que o Assistente de Início Rápido for concluído.
O período de validade máximo para qualquer um dos certificados do Servidor de Administração deve ser de 397 dias ou menos.
Pré-requisitos
O novo certificado deve ser criado no formato PKCS#12 (por exemplo, por meio da PKI da organização) e deve ser emitido por uma autoridade de certificação (CA) confiável. Além disso, o novo certificado deve incluir toda a cadeia de confiança e uma chave privada, que deve ser armazenada no arquivo com a extensão pfx ou p12. Para o novo certificado, os requisitos listados na tabela abaixo devem ser atendidos.
Requisitos para os certificados do Servidor de Administração
Tipo de certificado |
Requisitos |
---|---|
Certificado comum, certificado de reserva comum ("C", "CR") |
Comprimento mínimo da chave: 2048. Restrições básicas:
Uso da chave:
Uso estendido de chave (EKU): autenticação de servidor e autenticação de cliente. O EKU é opcional, mas caso o seu certificado o contenha, os dados de autenticação do servidor e do cliente devem ser especificados no EKU. |
Certificado de dispositivo móvel, certificado reserva de dispositivo móvel ("M", "MR") |
Comprimento mínimo da chave: 2048. Restrições básicas:
Uso da chave:
Uso estendido de chave (EKU): autenticação do servidor. O EKU é opcional, mas caso o seu certificado o contenha, os dados de autenticação do servidor devem ser especificados no EKU. |
Certificado CA para certificados de usuário gerados automaticamente ("MCA") |
Comprimento mínimo da chave: 2048. Restrições básicas:
Uso da chave:
Uso estendido de chave (EKU): autenticação do cliente. O EKU é opcional, mas caso o seu certificado o contenha, os dados de autenticação do cliente devem ser especificados no EKU. |
Os certificados emitidos por uma CA pública não têm a permissão de assinatura de certificado. Para usar esses certificados, certifique-se de ter instalado o Agente de Rede versão 13 ou posterior em pontos de distribuição ou gateways de conexão na rede. Caso contrário, não será possível usar os certificados sem a permissão de assinatura.
Fases
A especificação do certificado do Servidor de Administração prossegue em etapas:
Use a linha de comando do utilitário klsetsrvcert para este fim.
Caso o certificado tenha sido substituído, todos os Agentes de Rede anteriormente conectados ao Servidor de Administração via SSL perderão a conexão e retornarão o "Erro de autenticação do Servidor de Administração". Para especificar o novo certificado e restaurar a conexão, use a linha de comando com o utilitário klmover.
Depois de substituir o certificado, especifique nas configurações do Kaspersky Security Center Web Console. Caso contrário, o Kaspersky Security Center Web Console não será capaz de se conectar ao Servidor de Administração.
Resultados
Ao concluir o cenário, o certificado do Servidor de Administração é substituído e o servidor é autenticado pelos Agentes de Rede nos dispositivos gerenciados.