Cenário: especificação do certificado personalizado do Servidor de Administração

É possível atribuir o certificado personalizado do Servidor de Administração, por exemplo, para melhor integração com a infraestrutura de chave pública (PKI) existente de sua empresa ou para configuração personalizada dos campos de certificado. É útil substituir o certificado imediatamente após a instalação do Servidor de Administração e antes que o Assistente de início rápido for concluído.

O período de validade máximo para qualquer um dos certificados do Servidor de Administração deve ser de 397 dias ou menos.

Pré-requisitos

O novo certificado deve ser criado no formato PKCS#12 (por exemplo, por meio da PKI da organização) e deve ser emitido por uma autoridade de certificação (CA) confiável. Além disso, o novo certificado deve incluir toda a cadeia de confiança e uma chave privada, que deve ser armazenada no arquivo com a extensão pfx ou p12. Para o novo certificado, os requisitos listados na tabela abaixo devem ser atendidos.

Requisitos para os certificados do Servidor de Administração

Tipo de certificado

Requisitos

Certificado comum, certificado de reserva comum ("C", "CR")

Comprimento mínimo da chave: 2048.

Restrições básicas:

  • CA: true
  • Restrição de comprimento do caminho: nenhuma

    O valor da restrição do comprimento do caminho pode ser um número inteiro diferente de "Nenhuma", mas não inferior a "1".

Uso da chave:

  • Assinatura digital
  • Assinatura de certificado
  • Criptografia de chave
  • Assinatura CRL

Uso estendido de chave (EKU): autenticação de servidor e autenticação de cliente. O EKU é opcional, mas caso o seu certificado o contenha, os dados de autenticação do servidor e do cliente devem ser especificados no EKU.

Certificado de dispositivo móvel, certificado reserva de dispositivo móvel ("M", "MR")

Comprimento mínimo da chave: 2048.

Restrições básicas:

  • CA: true
  • Restrição de comprimento do caminho: nenhuma

    O valor da restrição do comprimento do caminho pode ser um número inteiro diferente de "Nenhum" caso o certificado comum tenha um valor de restrição do comprimento do caminho não inferior a 1.

Uso da chave:

  • Assinatura digital
  • Assinatura de certificado
  • Criptografia de chave
  • Assinatura CRL

Uso estendido de chave (EKU): autenticação do servidor. O EKU é opcional, mas caso o seu certificado o contenha, os dados de autenticação do servidor devem ser especificados no EKU.

Certificado CA para certificados de usuário gerados automaticamente ("MCA")

Comprimento mínimo da chave: 2048.

Restrições básicas:

  • CA: true
  • Restrição de comprimento do caminho: nenhuma

    O valor da restrição do comprimento do caminho pode ser um número inteiro diferente de "Nenhum" caso o certificado comum tenha um valor de restrição do comprimento do caminho não inferior a 1.

Uso da chave:

  • Assinatura digital
  • Assinatura de certificado
  • Criptografia de chave
  • Assinatura CRL

Uso estendido de chave (EKU): autenticação do cliente. O EKU é opcional, mas caso o seu certificado o contenha, os dados de autenticação do cliente devem ser especificados no EKU.

Os certificados emitidos por uma CA pública não têm a permissão de assinatura de certificado. Para usar esses certificados, certifique-se de ter instalado o Agente de Rede versão 13 ou posterior em pontos de distribuição ou gateways de conexão na rede. Caso contrário, não será possível usar os certificados sem a permissão de assinatura.

Fases

A especificação do certificado do Servidor de Administração prossegue em etapas:

  1. Substituição do certificado do Servidor de Administração

    Use a linha de comando do utilitário klsetsrvcert para este fim.

  2. Especificação de um novo certificado e restauração da conexão de Agentes de Rede com o Servidor de Administração

    Caso o certificado tenha sido substituído, todos os Agentes de Rede anteriormente conectados ao Servidor de Administração via SSL perderão a conexão e retornarão o "Erro de autenticação do Servidor de Administração". Para especificar o novo certificado e restaurar a conexão, use a linha de comando com o utilitário klmover.

  3. Especificar um novo certificado nas configurações do Kaspersky Security Center Web Console

    Depois de substituir o certificado, especifique nas configurações do Kaspersky Security Center Web Console. Caso contrário, o Kaspersky Security Center Web Console não será capaz de se conectar ao Servidor de Administração.

Resultados

Ao concluir o cenário, o certificado do Servidor de Administração é substituído e o servidor é autenticado pelos Agentes de Rede nos dispositivos gerenciados.

Consulte também:

Sobre os certificados do Kaspersky Security Center

Sobre o certificado do Servidor de Administração

Requisitos para certificados personalizados usados no Kaspersky Security Center

Cenário principal de implementação

Topo da página