Сценарий: Басқару серверінің пайдаланушы сертификатын белгілеу

Сіз өзіңіздің ұйымыңыздың қолданыстағы жалпыға ортақ кілттер инфрақұрылымымен (PKI) жақсырақ біріктіру үшін немесе сертификат параметрлерінің пайдаланушы конфигурациясы үшін Басқару серверінің пайдаланушы сертификатын тағайындай аласыз. Сертификатты, Басқару серверін орнатқаннан кейін, бағдарламаны жылдам іске қосу шеберінің жұмысы аяқталғанға дейін ауыстырған жөн.

Кез келген Басқару сервері сертификатының ең көп жарамдылық мерзімі 397 күннен аспауы керек.

Алдын ала талаптар

Келесі шарттар орындалуы керек:

Сертификат PKCS#12 пішімінде жасалуы керек (мысалы, ұйымның PKI арқылы).
Жаңа сертификат үшін төмендегі кестеде көрсетілген талаптар орындалуы керек.

Төмендегі кестеде "CA: true" талабына назар аударыңыз, бұл жаңа сертификатты сенімді сертификаттау орталығы (CA) беруі керек дегенді білдіреді. "CA: true" талабы бар жаңа сертификат бүкіл сенім тізбегін және pfx немесе p12 кеңейтімі бар файлда сақталуы тиісті жеке кілтті қамтуы керек.

Басқару серверінің сертификаттарына қойылатын талаптар

Сертификат түрі	Талаптар
Жалпы сертификат, жалпы резервтік сертификат ("С", "CR")	Кілттің минималды ұзындығы: 2048. Негізгі шектеулер: Жол ұзындығын шектеу: Жоқ. Жол ұзындығын шектеу мәні "None" мәнінен басқа, бірақ 1-ден кем емес бүтін сан болуы мүмкін. Кілтті пайдалану: Сандық қолтаңба. Сертификат қолтаңбасы. Кілттерді шифрлау. Кері қайтару тізіміне (CRL) қол қою. Кеңейтілген кілт қолданысы (Extended Key Usage, EKU) (міндетті емес): Сервердің түпнұсқалық растамасы және клиенттің түпнұсқалық растамасы. EKU міндетті емес, бірақ ол сіздің сертификатыңызда болса, Сервер мен клиенттің түпнұсқалық растамасы деректері EKU-да көрсетілуі керек.
Ұялы құрылғы сертификаты, резервтік ұялы құрылғы сертификаты ("M", "MR")	Кілттің минималды ұзындығы: 2048. Негізгі шектеулер: CA: Иә. Жол ұзындығын шектеу: Жоқ. Егер жалпы сертификатта жол ұзындығын шектеу мәні кемінде 1 болса, жол ұзындығын шектеу мәні "None" мәнінен басқа бүтін сан болуы мүмкін. Кілтті пайдалану: Сандық қолтаңба. Сертификат қолтаңбасы. Кілттерді шифрлау. Кері қайтару тізіміне (CRL) қол қою. Кеңейтілген кілт қолданысы (EKU): Сервердің түпнұсқалық растамасы. EKU міндетті емес, бірақ ол сіздің сертификатыңызда болса, Сервердің түпнұсқалық растамасы деректері EKU-да көрсетілуі керек.
Автоматты түрде жасалатын пайдаланушы сертификаттары (MCA) үшін сенімді сертификаттау орталығы (CA) шығарған сертификат	Кілттің минималды ұзындығы: 2048. Негізгі шектеулер: CA: Иә. Жол ұзындығын шектеу: Жоқ. Егер жалпы сертификатта жол ұзындығын шектеу мәні кемінде 1 болса, жол ұзындығын шектеу мәні "None" мәнінен басқа бүтін сан болуы мүмкін. Кілтті пайдалану: Сандық қолтаңба. Сертификат қолтаңбасы. Кілттерді шифрлау. Кері қайтару тізіміне (CRL) қол қою. Кеңейтілген кілт қолданысы (EKU): клиент аутентификациясы. EKU міндетті емес, бірақ ол сіздің сертификатыңызда болса, клиенттің түпнұсқалық растамасы деректері EKU-да көрсетілуі керек.

Сертификат түрі

Талаптар

Жалпы сертификат, жалпы резервтік сертификат ("С", "CR")

Кілттің минималды ұзындығы: 2048.

Негізгі шектеулер:

Жол ұзындығын шектеу: Жоқ.
Жол ұзындығын шектеу мәні "None" мәнінен басқа, бірақ 1-ден кем емес бүтін сан болуы мүмкін.

Кілтті пайдалану:

Сандық қолтаңба.
Сертификат қолтаңбасы.
Кілттерді шифрлау.
Кері қайтару тізіміне (CRL) қол қою.

Кеңейтілген кілт қолданысы (Extended Key Usage, EKU) (міндетті емес): Сервердің түпнұсқалық растамасы және клиенттің түпнұсқалық растамасы. EKU міндетті емес, бірақ ол сіздің сертификатыңызда болса, Сервер мен клиенттің түпнұсқалық растамасы деректері EKU-да көрсетілуі керек.

Ұялы құрылғы сертификаты, резервтік ұялы құрылғы сертификаты ("M", "MR")

Кілттің минималды ұзындығы: 2048.

Негізгі шектеулер:

CA: Иә.
Жол ұзындығын шектеу: Жоқ.
Егер жалпы сертификатта жол ұзындығын шектеу мәні кемінде 1 болса, жол ұзындығын шектеу мәні "None" мәнінен басқа бүтін сан болуы мүмкін.

Кілтті пайдалану:

Сандық қолтаңба.
Сертификат қолтаңбасы.
Кілттерді шифрлау.
Кері қайтару тізіміне (CRL) қол қою.

Кеңейтілген кілт қолданысы (EKU): Сервердің түпнұсқалық растамасы. EKU міндетті емес, бірақ ол сіздің сертификатыңызда болса, Сервердің түпнұсқалық растамасы деректері EKU-да көрсетілуі керек.

Автоматты түрде жасалатын пайдаланушы сертификаттары (MCA) үшін сенімді сертификаттау орталығы (CA) шығарған сертификат

Кілттің минималды ұзындығы: 2048.

Негізгі шектеулер:

CA: Иә.
Жол ұзындығын шектеу: Жоқ.
Егер жалпы сертификатта жол ұзындығын шектеу мәні кемінде 1 болса, жол ұзындығын шектеу мәні "None" мәнінен басқа бүтін сан болуы мүмкін.

Кілтті пайдалану:

Сандық қолтаңба.
Сертификат қолтаңбасы.
Кілттерді шифрлау.
Кері қайтару тізіміне (CRL) қол қою.

Кеңейтілген кілт қолданысы (EKU): клиент аутентификациясы. EKU міндетті емес, бірақ ол сіздің сертификатыңызда болса, клиенттің түпнұсқалық растамасы деректері EKU-да көрсетілуі керек.

Сенімді сертификаттау орталығы (ағылшынша certificate authority, CA) шығарған сертификаттардың сертификаттарға қол қоюға рұқсаты жоқ. Мұндай сертификаттарды пайдалану үшін, желіңіздегі тарату нүктелерінде немесе қосылым шлюздерінде 13 немесе одан жоғары нұсқадағы Желілік агент орнатылғанына көз жеткізіңіз. Әйтпесе, сіз қол қою рұқсатынсыз сертификаттарды пайдалана алмайсыз.

Кезеңдер

Басқару сервері сертификатын көрсету келесі кезеңдерден тұрады:

Басқару серверінің сертификатын ауыстыру
Осы мақсат үшін klsetsrvcert пәрмен жолы утилитасын пайдаланыңыз.
Жаңа сертификатты көрсету және Желілік агенттердің Басқару серверімен байланысын қалпына келтіру
Сертификатты ауыстырған кезде, бұрын SSL арқылы Басқару серверіне қосылған барлық Желілік агенттер Серверге "Басқару серверінің түпнұсқалық растамасы қатесі" қатесімен қосылуды тоқтатады. Жаңа сертификатты көрсету және қосылымды қалпына келтіру үшін klmover утилитасының пәрмен жолын пайдаланыңыз.
Kaspersky Security Center Web Console параметрлерінде жаңа сертификатты көрсету
Сертификатты ауыстырғаннан кейін, мұны Kaspersky Security Center Web Console параметрлерінде көрсетіңіз. Әйтпесе, Kaspersky Security Center Web Console Басқару серверіне қосыла алмайды.

Нәтижелер

Сценарий аяқталғаннан кейін, Басқару сервері сертификаты ауыстырылады, басқарылатын құрылғылардағы Желілік агент сервері жаңа сертификатты пайдалану арқылы Серверді аутентификациялайды.

Сондай-ақ, қараңыз:

Kaspersky Security Center сертификаттары туралы

Басқару серверінің сертификаты туралы

Kaspersky Security Center-де қолданылатын пайдаланушы сертификаттарына қойылатын талаптар

Негізгі орнату сценарийі

Басына оралу