卡巴斯基安全管理中心使用以下類型的憑證來啟用應用程式元件之間的安全互動:
預設情況下,卡巴斯基安全管理中心使用自我簽署憑證(即由卡巴斯基安全管理中心本身頒發的憑證),但是您可以用自訂憑證加以替換,以更好地滿足組織網路的要求並符合安全標準。在管理伺服器驗證自訂憑證是否滿足所有適用要求之後,該憑證將承擔與自我簽署憑證相同的功能範圍。唯一的區別是自訂憑證在到期後不會自動重新發行。您可以透過 klsetsrvcert 公用程式或透過管理主控台中的「管理伺服器屬性」區段將憑證替換為自訂憑證,具體視憑證類型而定。使用 klsetsrvcert 實用程式時,您需要使用以下值之一指定憑證類型:
您無需下載 klsetsrvcert 公用程式。它包含在卡巴斯基安全管理中心分發套件中。公用程式與以前的卡巴斯基安全管理中心版本不相容。
任何管理伺服器憑證的最長有效期不得超過 397 天。
管理伺服器憑證
管理伺服器的驗證以及管理伺服器和受管理裝置上的網路代理間、或主管理伺服器和從屬管理伺服器之間的安全互動時,需要管理伺服器憑證。首次將管理主控台連線到管理伺服器時,系統將提示您確認當前使用的管理伺服器憑證。每次更換管理伺服器憑證時,每次重新安裝管理伺服器後,以及將從屬管理伺服器連線到主管理伺服器時,都需要進行此類確認。該憑證稱為通用憑證 ("C")。
安裝管理伺服器元件時會自動建立通用(“C”)憑證。憑證由兩部分組成:
此外,還存在一個通用預留(「CR」)憑證。卡巴斯基安全管理中心會在通用憑證到期前 90 天自動產生此憑證。公用預留憑證隨後會用來無縫替換管理伺服器憑證。當公用憑證即將到期時,公用預留憑證會用來維持與安裝在受管理裝置上網路代理實例的連線。為此,通用預留憑證會在舊的通用憑證到期前 24 小時自動變為新的通用憑證。
您也可以與其他管理伺服器設置獨立的備份管理伺服器憑證,以在將管理伺服器從一部裝置移至另一部裝置時不會遺失資料。
行動憑證
在行動裝置上對管理伺服器進行驗證需要行動憑證(「M」)。您可以在「快速啟動精靈」的專用步驟上配置使用行動憑證。
此外還有行動預留(「MR」)憑證:該憑證會用來無縫替換行動憑證。卡巴斯基安全管理中心會在通用憑證到期前 60 天自動產生此憑證。當行動憑證即將到期時,將使用行動備用憑證來維護與安裝在受管理行動裝置上的網路代理實例的連線。為此,行動備用憑證會在舊的行動憑證到期前 24 小時自動變為新的行動憑證。
如果連線情境要求在行動裝置上使用用戶端憑證(涉及雙向 SSL 驗證的連線),則您可以透過用於自動產生的使用者憑證(「MCA」)的憑證機構來產生那些憑證。此外,快速啟動精靈使您可以開始使用由其他憑證機構發行的自訂用戶端憑證,而與組織的網域公用金鑰基礎架構 (PKI) 整合,可讓您透過網域憑證機構發佈用戶端憑證。
iOS MDM 伺服器憑證
在執行 iOS 作業系統的行動裝置上對管理伺服器進行驗證時,需要 iOS MDM 伺服器憑證。透過不涉及網路代理的 Apple 行動裝置管理 (MDM) 通訊協定執行與這些裝置的互動。而是在每部裝置上安裝特殊的 iOS MDM 設定檔,其中包含用戶端憑證,以確保雙向 SSL 驗證。
此外,快速啟動精靈使您可以開始使用由其他憑證機構發行的自訂用戶端憑證,而與組織的網域公用金鑰基礎架構 (PKI) 整合,可讓您透過網域憑證機構發佈用戶端憑證。
當您下載那些 iOS MDM 設定檔時,用戶端憑證會傳輸到 iOS 裝置。iOS MDM 伺服器用戶端憑證對於每個受管理 iOS 裝置都是唯一的。您將透過自動產生的使用者憑證(「MCA」)的憑證機構產生所有 iOS MDM 伺服器用戶端憑證。
卡巴斯基安全管理中心網頁伺服器憑證
卡巴斯基安全管理中心網頁伺服器(以下簡稱 Web 伺服器)是卡巴斯基安全管理中心管理伺服器的元件,使用特殊類型的憑證。發佈此網路代理安裝套件(隨後將其下載到受管理裝置)以及發佈 iOS MDM 設定檔,iOS 應用程式和 Kaspersky Security for Mobile 安裝套件都需要此憑證。基於此用途,網頁伺服器可以使用各種憑證。
如果停用行動裝置支援,則網頁伺服器會按優先等級使用以下憑證之一:
如果啟用行動裝置支援,則網頁伺服器會按優先等級使用以下憑證之一:
卡巴斯基安全管理中心網頁主控台憑證
卡巴斯基安全管理中心網頁主控台伺服器(以下簡稱「網頁主控台」)有自己的憑證。當您開啟網站時,瀏覽器會驗證您的連線是否可信。網頁主控台憑證允許您對網頁主控台進行身分驗證,並被用於加密瀏覽器和網頁主控台之間的流量。
當您開啟網頁主控台時,瀏覽器會通知您與網頁主控台的連線不是私有,並且網頁主控台憑證無效。出現此警告是因為網頁主控台憑證為自簽名並由卡巴斯基安全管理中心自動產生。要刪除此警告,您可以執行以下操作之一: