Zertifikate des Integrationsservers und von SVMs ersetzen
Der Lieferumfang der Lösung "Kaspersky Security" enthält ein Tool zur Verwaltung der Zertifikate, mit dem die Zertifikate des Integrationsservers und der SVMs verwaltet werden können. Das SSL-Zertifikat des Integration Servers wird verwendet, um eine sichere Verbindung mit dem Integrationsserver herzustellen und um den Kommunikationskanal zwischen dem Schutzserver und dem Light Agent zu verschlüsseln. Das SSL-Zertifikat der SVM wird zur Verschlüsselung des Kommunikationskanals zwischen dem Light Agent und dem Schutzserver verwendet.
Mit dem Tool zur Verwaltung der Zertifikate können Sie folgendes tun:
In den folgenden Fällen kann das Tauschen von Zertifikaten erforderlich sein:
- Bei einer Aktualisierung der Lösung, in deren Rahmen das zuvor installierte Zertifikat durch ein sichereres ersetzt werden soll.
- Wenn das von Ihnen verwendete Zertifikat abgelaufen ist oder kompromittiert wurde.
- Wenn sich die IP-Adresse oder der Domänenname des Geräts geändert hat, auf dem der Integrationsserver installiert ist.
Sie können das Integrationsserver-Zertifikat durch ein neues Zertifikat ersetzen, das entweder mit dem Tool oder mittels Drittanbietern erstellt wurde. Wenn Sie ein mit Tools von Drittanbietern erstelltes Integrationsserver-Zertifikat verwenden möchten, stellen Sie sicher, dass das neue Zertifikat die Zertifikatsanforderungen des Dienstprogramms erfüllt.
Das Integrationsserver-Zertifikat muss die folgenden Anforderungen erfüllen:
- PFX-Format
- Das Zertifikat enthält den privaten Schlüssel.
- Das Zertifikat ist passwortgeschützt.
- Das Feld "Subject alternative name" enthält die folgenden Werte:
- IP-Address – externe und lokale IP-Adressen des Integrationsservers
- DNS Name – externe und lokale IP-Adressen sowie der Domänenname (FQDN) des Integrationsservers
- Key Usage:
- KeyEncipherment
- DigitalSignature
- DataEncipherment
- KeyCertSign
- Enhanced Key Usage:
- Server-Authentifizierung (1.3.6.1.5.5.7.3.1)
- Client-Authentifizierung (1.3.6.1.5.5.7.3.2)
- Das Ablaufdatum des Zertifikats liegt nach dem aktuellen Datum.
- Schlüsselalgorithmus: RSA (1.2.840.113549.1.1.1)
- Schlüsselgröße: 4096 Bit
- Zulässige Signaturalgorithmen:
- Sha256WithRSA (1.2.840.113549.1.1.11)
- Sha384WithRSA (1.2.840.113549.1.1.12)
- Sha512WithRSA (1.2.840.113549.1.1.13)
Das Tool zur Verwaltung der Zertifikate sowohl mit Integrationsservern unter Linux als auch mit Integrationsservern unter Windows verwendet werden. Das Tool befindet sich auf dem Gerät mit dem installierten Integrationsserver. Je nach Betriebssystem des Geräts befindet sich das Tool im folgenden Pfad:
- /opt/kaspersky/viis/bin/certificate_manager.sh – auf Geräten mit Linux-Betriebssystemen
- %ProgramFiles(x86)%\Kaspersky Lab\Kaspersky VIISLA\certificate_manager.exe – auf Geräten mit Windows-Betriebssystemen
Um das Tools unter einem Linux-Betriebssystem verwenden zu können, muss sich das Benutzerkonto in der Gruppe "sudoers" befinden. Um das Tool unter einem Windows-Betriebssystem verwenden zu können, sind Administratorrechte im Betriebssystem erforderlich.
So erstellen Sie mit dem Tool ein Zertifikat für einen Integrationsserver unter Linux:
Führen Sie auf dem Gerät mit dem installierten Integrationsserver den folgenden Befehl aus:
sudo /opt/kaspersky/viis/bin/certificate_manager.sh create-self-signed-certs --outputFolder <Pfad zum Verzeichnis mit Zertifikat> [--keySize <2048 oder 4096>] [--quiet]
wobei:
<Pfad zum Verzeichnis mit Zertifikat> den Pfad zum Verzeichnis entspricht, in dem das erstellte Zertifikat abgelegt wird. Der Ordner muss sich auf dem Gerät mit dem installierten Integrationsserver befinden.--keySize <2048 oder 4096> der Länge des Zertifikatsschlüssels enstpricht. Optionaler Parameter. Wenn der Parameter nicht angegeben ist, wird der Standardwert 4096 verwendet.--quiet ist ein optionaler Parameter. Wenn der Parameter angegeben ist, arbeitet das Tool im Silent-Modus und gibt nichts in der Konsole aus.
Durch das Ausführen des Befehls erstellt das Tool das Zertifikat des Integrationsservers (Datei im pfx-Format) und legt es im angegebenen Verzeichnis ab.
Es wird empfohlen, das Zertifikat vor unberechtigtem Zugriff zu schützen. Sie können beispielsweise einen geschütztes Verzeichnis zum Ablegen des Zertifikats verwenden.
So erstellen Sie mit dem Tool ein Zertifikat für einen Integrationsserver unter Windows:
Führen Sie auf dem Gerät mit dem installierten Integrationsserver den folgenden Befehl aus:
%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky VIISLA\certificate_manager.exe create-self-signed-certs --outputFolder <Pfad zum Order mit Zertifikat> [--keySize <2048 oder 4096>] [--quiet]
wobei:
<Pfad zum Ordner mit dem Zertifikat> dem Pfad zum Ordner entspricht, in dem das erstellte Zertifikat abgelegt wird. Der Ordner muss sich auf dem Gerät befinden, auf dem der Integrationsserver installiert ist.--keySize <2048 oder 4096> ist die Länge des Zertifikatsschlüssels. Optionaler Parameter. Wenn der Parameter nicht angegeben ist, wird der Standardwert 4096 verwendet.--quiet ist ein optionaler Parameter. Wenn der Parameter angegeben ist, wird nach der Ausführung des Befehls das Fenster der Eingabekonsole geschlossen, andernfalls bleibt das Konsolenfenster geöffnet.
Durch das Ausführen des Befehls erstellt das Tool das Zertifikat des Integrationsservers (Datei im pfx-Format) und legt es im angegebenen Ordner ab.
Es wird empfohlen, das Zertifikat vor unberechtigtem Zugriff zu schützen. Sie können beispielsweise einen sicheren Ordner zum Ablegen des Zertifikats verwenden.
So ersetzen Sie die Zertifikate für den Integrationsserver unter Linux und für die SVM
Führen Sie auf dem Gerät mit dem installierten Integrationsserver den folgenden Befehl aus:
sudo /opt/kaspersky/viis/bin/certificate_manager.sh replace --certificatePath <Pfad zum Zertifikat> [--quiet]
wobei:
<Pfad zum Zertifikat> – dem Pfad zum Zertifikat des Integrationsservers entspricht (Datei viis.pfx).--quiet ist ein optionaler Parameter. Wenn der Parameter angegeben ist, arbeitet das Tool im Silent-Modus und gibt nichts in der Konsole aus.
Nach der Ausführung des Befehls führt das Dienstprogramm die folgenden Aktionen aus:
- Es erstellt ein SVM-Zertifikat basierend auf dem sich im angegebenen Ordner befindlichen Zertifikat.
- Es ersetzt das zuvor installierte Integrationsserver-Zertifikat und SVM-Zertifikat durch neue Zertifikate.
- Es startet den Dienst des Integrationsservers neu.
So ersetzen Sie die Zertifikate für den Integrationsserver unter Windows und für die SVM
Führen Sie auf dem Gerät mit dem installierten Integrationsserver den folgenden Befehl aus:
%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky VIISLA\certificate_manager.exe replace --certificatePath <Pfad zum Zertifikat>
wobei <Pfad zum Zertifikat> dem Pfad zum Zertifikat des Integrationsservers entspricht (Datei viis.pfx).
Nach der Ausführung des Befehls führt das Dienstprogramm die folgenden Aktionen aus:
- Es erstellt ein SVM-Zertifikat basierend auf dem sich im angegebenen Ordner befindlichen Zertifikat.
- Es ersetzt das zuvor installierte Integrationsserver-Zertifikat und SVM-Zertifikat durch neue Zertifikate.
- Es startet den Dienst des Integrationsservers neu.
Nach dem Ersetzen der Zertifikate für den Integrationsserver und die SVM müssen Sie alle Richtlinien für Light Agents den Schutzserver aktualisieren, damit sie den öffentlichen Schlüssel des neuen Zertifikats erhalten.
Während der Ausführung des Tools zur Verwaltung der Zertifikate können Protokolldateien können generiert werden.
Nach oben