Настройка правил выпуска сертификатов
Kaspersky Security Center Web Console позволяет настраивать порядок выпуска, обновления и защиты сертификатов для мобильных устройств.
Чтобы настроить правила выпуска сертификатов:
- В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Сертификаты.
- В открывшемся списке сертификатов выберите Правила выпуска.
- В разделе Параметры PKI:
- В блоке настроек Интеграция с PKI включите переключатель Интегрировать выпуск сертификатов с Microsoft Certification Authority (CA) через PKI для автоматического выпуска сертификатов.
Нажмите Выбрать устройство и укажите устройство с установленным Агентом администрирования, которое будет подключаться к Microsoft CA.
Подробная информация об интеграции с PKI приведена в разделе Интеграция с инфраструктурой открытых ключей.
- В блоке настроек Доменная учетная запись для передачи запросов на выпуск сертификатов укажите Имя учетной записи PKI (имя учетной записи пользователя, которая будет использоваться для интеграции с PKI в формате
userPrincipalName@DNSDomainName) и Пароль (доменный пароль учетной записи). - Нажмите Сохранить, чтобы сохранить изменения.
- В блоке настроек Интеграция с PKI включите переключатель Интегрировать выпуск сертификатов с Microsoft Certification Authority (CA) через PKI для автоматического выпуска сертификатов.
- В разделе Мобильные сертификаты можно настроить следующие параметры:
- В блоке настроек Срок действия в поле Срок действия сертификата (дней) укажите срок действия сертификата в днях. Срок действия сертификата по умолчанию составляет 365 дней. По истечении этого срока мобильное устройство не сможет подключиться к Серверу администрирования.
- В разделе настроек Обновление в поле Обновить сертификат, когда осталось (дней) укажите количество дней до окончания срока действия текущего сертификата, когда Сервер администрирования должен выпустить новый сертификат. Например, если указано значение 4, Сервер администрирования выпускает новый сертификат за четыре дня до окончания срока действия текущего. По умолчанию указано значение 30.
Установите флажок Обновлять сертификат автоматически для автоматического выпуска сертификатов. Если флажок не установлен, сертификаты необходимо обновлять вручную по мере истечения срока их действия. По умолчанию флажок установлен.
- В блоке настроек Защита паролем установите флажок Запрашивать пароль при установке сертификата для запроса пароля у пользователя при установке сертификата на мобильное устройство. Пароль используется только один раз — при установке сертификата на мобильное устройство. Пароль будет автоматически сгенерирован Сервером администрирования и отправлен пользователю по электронной почте. В поле Длина пароля можно указать длину пароля.
Защита паролем доступна только для мобильных сертификатов.
- Нажмите Сохранить, чтобы сохранить изменения.
- В разделах Почтовые сертификаты и VPN-сертификаты, если настроена интеграция с PKI:
- В блоке настроек Обновление в поле Обновить сертификат, когда осталось (дней) укажите количество дней до окончания срока действия текущего сертификата, когда Сервер администрирования должен выпустить новый сертификат. Например, если указано значение 4, Сервер администрирования выпускает новый сертификат за четыре дня до окончания срока действия текущего.
Установите флажок Обновлять сертификат автоматически для автоматического выпуска сертификатов. Если флажок не установлен, сертификаты необходимо обновлять вручную по мере истечения срока их действия. По умолчанию флажок установлен.
- В блоке настроек Параметры PKI укажите Имя шаблона сертификата в системе PKI (шаблон сертификата, который будет использоваться для выпуска сертификатов доменным пользователям).
Под указанной учетной записью на устройстве, которое подключается к CA, запускается служба Агента администрирования для Windows. Эта служба отвечает за выпуск доменных сертификатов пользователей. Служба запускается, когда происходит загрузка списка шаблонов сертификатов по кнопке Обновить список, или при выпуске сертификата.
При подключении к Kaspersky Security Center любого мобильного устройства (под управлением Android или iOS), владельцем которого является недоменный пользователь, попытка выписки сертификата может завершиться ошибкой.
- В блоках настроек Автоматический выпуск почтового сертификата при подключении устройства или Автоматический выпуск VPN-сертификата при подключении устройства установите флажки Выпускать для устройств под управлением Kaspersky Endpoint Security для Android или Выпускать для iOS MDM-устройств для включения автоматического выпуска почтового или VPN-сертификата при подключении устройств к Kaspersky Security Center.
Если вы установили флажок Выпускать для iOS MDM-устройств, выберите псевдоним сертификата в раскрывающемся списке. Псевдоним сертификата - это имя, которое идентифицирует сертификат. Вы можете настроить дальнейшее использование выбранного псевдонима для выпуска сертификата в следующих разделах:
- Для почтовых сертификатов: в разделах Настройка почтового ящика на iOS MDM-устройствах и Настройка почтового ящика Exchange на iOS MDM-устройствах.
- Для VPN-сертификатов: в разделах Настройка VPN на iOS MDM-устройствах и Подключение iOS MDM-устройств к сети Wi-Fi.
Вы также можете изменить псевдоним для одного или нескольких почтовых и VPN-сертификатов, нажав кнопку Изменить псевдоним в списке сертификатов (Активы (Устройства) → Мобильные → Сертификаты).
- Нажмите Сохранить, чтобы сохранить изменения.
- В блоке настроек Обновление в поле Обновить сертификат, когда осталось (дней) укажите количество дней до окончания срока действия текущего сертификата, когда Сервер администрирования должен выпустить новый сертификат. Например, если указано значение 4, Сервер администрирования выпускает новый сертификат за четыре дня до окончания срока действия текущего.
- В разделе Параметры PKI:
Указанные параметры будут использоваться Kaspersky Security Center для выпуска, обновления и защиты сертификатов мобильных устройств.