klsetsrvcert утилитасын пайдаланып, Басқару сервері сертификатын ауыстыру

Басқару сервері сертификатын ауыстыру үшін:

Пәрмен жолында келесі пәрменді орындаңыз:

klsetsrvcert [-t <certificate type> {-i <path to new certificate> [-p <password>] [-o <parameters>] | -g <dns name>}][-f <replacement time>][-r <root certificates>][-l <log file path>]

klsetsrvcert утилитасын жүктеудің қажеті жоқ. Утилита Kaspersky Security Center жеткізу жиынтығының құрамына кіреді. Ол Kaspersky Security Center алдыңғы нұсқаларымен үйлеспейді.

klsetsrvcert утилитасының параметрлерінің сипаттамасы төмендегі кестеде келтірілген.

klsetsrvcert утилитасының параметрлерінің мәндері

Параметр

Мән

-t <certificate type>

Ауыстырылатын сертификат түрі. <certificate type> параметрінің ықтимал мәндері:

  • C – 13000 және 13291 порттары үшін жалпы сертификатты ауыстыру.
  • CR – 13000 және 13291 порттары үшін жалпы резервтік сертификатты ауыстыру.
  • M – 13292 портының ұялы құрылғыларына арналған сертификатты ауыстырыңыз.
  • MR – 13292-порт үшін резервтік ұялы құрылғы сертификатын ауыстыру.
  • MCA – пайдаланушы сертификаттарын автоматты түрде жасау үшін сенімді сертификаттау орталығынан алынған мобильдік құрылғы сертификаты.

-f <replacement time>

Сертификатты ауыстыру кестесі "КК-АА-ЖЖЖЖ СС:ММ" пішімін қолданады (13000 және 13291 порттары үшін).

Жалпы сертификат мерзімі аяқталмай тұрып, оны жалпы резервтік сертификатпен ауыстырғыңыз келсе, осы параметрді қолданыңыз.

Басқарылатын құрылғылардың жаңа сертификатты пайдаланып Басқару серверімен синхрондау уақытын көрсетіңіз.

-i <path to new certificate>

Сертификаты бар контейнер және PKCS#12 пішіміндегі жеке кілт (p12 немесе pfx кеңейтімі бар файл).

-p <password>

p12 контейнерін қорғайтын құпиясөз.

Сертификат пен жеке кілт контейнерде сақталады, сондықтан контейнер файлын шифрсыздау үшін құпиясөз қажет.

-o <validation parameters>

Сертификатты тексеру параметрлері (нүктелі үтірмен бөлінген).

Қол қоюға рұқсатсыз пайдаланушы сертификатын пайдалану үшін klsetsrvcert утилитасында -o NoCA көрсетіңіз. Бұл сенімді сертификаттау орталығы шығарған сертификаттар үшін пайдалы (ағылшынша certificate authority, CA).

C немесе CR түріндегі сертификаттар үшін шифрлау кілтінің ұзындығын өзгерту үшін klsetsrvcert утилитасында -o RsaKeyLen:<key length> деп көрсетіңіз, мұндағы <key length> параметрі – қажетті кілт ұзындығы. Әйтпесе, ағымдағы сертификат кілтінің ұзындығы пайдаланылады.

-g <dns name>

Сертификат көрсетілген DNS атауымен жасалады.

-r <root certificates>

Сенімді сертификаттау орталығы қол қойған PEM пішіміндегі сенімді түбірлік сертификаттардың тізімі.

-l <log file path>

Нәтижелерді шығару файлы. Әдепкі бойынша, шығару стандартты шығару ағынында жүзеге асырылады.

Мысалы, Басқару серверінің пайдаланушы сертификатын көрсету үшін келесі пәрменді пайдаланыңыз:

klsetsrvcert -t C -i <path to new certificate> -p <password> -o NoCA

Сертификатты ауыстырғаннан кейін, SSL протоколы арқылы Басқару серверіне қосылған барлық Желілік агенттер байланысын жоғалтады. Байланысты қалпына келтіру үшін, klmover утилитасы пәрмен жолағын қолданыңыз.

Желілік агенттердің қосылымдарын жоғалтпау үшін келесі пәрмендерді пайдаланыңыз:

  1. Жаңа сертификатты орнату үшін,

    klsetsrvcert.exe -t CR -i <path to new certificate> -p <password> -o NoCA

  2. Жаңа сертификатқа өтінім беру күнін көрсету үшін,

    klsetsrvcert.exe -f "DD-MM-YYYY hh:mm"

мұндағы "DD-MM-YYYY hh:mm" күні ағымдағы күннен 3-4 аптаға көбірек. Сертификатты жаңа сертификатқа ауыстыру уақытын ауыстыру жаңа сертификатты барлық Желілік агенттерге таратуға мүмкіндік береді.

Сондай-ақ, қараңыз:

Сценарий: Басқару серверінің пайдаланушы сертификатын белгілеу
Басына оралу