Remplacement des certificats du Serveur d'intégration et des SVM
Le kit de distribution de la solution Kaspersky Security comprend l'utilitaire d'administration des certificats du Serveur d'intégration et de la SVM. Le certificat SSL du Serveur d'intégration permet d'établir une connexion sécurisée avec le Serveur d'intégration et de chiffrer le canal de communication entre le Serveur de protection et le Light Agent. Le certificat SSL SVM permet de chiffrer le canal de communication entre le Light Agent et le Serveur de protection.
L'utilitaire d'administration des certificats vous permet de :
Le remplacement des certificats peut être requis dans les cas suivants :
- Lors de la mise à jour de la solution pour remplacer le certificat précédemment installé par un autre plus sécurisé.
- Si le certificat que vous utilisez a expiré ou si le certificat a été compromis.
- Si l'adresse IP ou le nom de domaine de l'appareil sur lequel le Serveur d'intégration est installé a changé.
Vous pouvez remplacer le certificat du Serveur d'intégration par un nouveau certificat créé à l'aide de l'utilitaire ou d'outils tiers. Si vous souhaitez utiliser le certificat du Serveur d'intégration créé à l'aide d'outils tiers, assurez-vous que le nouveau certificat répond aux exigences de l'utilitaire en matière de certificat.
Le certificat du Serveur d'intégration doit répondre aux exigences suivantes :
- Format PFX.
- Le certificat contient une clé privée.
- Le certificat est protégé par un mot de passe.
- Le champ Subject alternative name contient les valeurs suivantes :
- IP Adresse : adresses IP externe et locale du Serveur d'intégration ;
- DNS Name : adresses IP externe et locale, ainsi que le nom de domaine (FQDN) du Serveur d'intégration.
- Key Usage :
- KeyEncipherment ;
- DigitalSignature ;
- DataEncipherment ;
- KeyCertSign.
- Enhanced Key Usage :
- Server Authentication (1.3.6.1.5.5.7.3.1) ;
- Client Authentication (1.3.6.1.5.5.7.3.2).
- La date d'expiration du Certificat est postérieure à la date actuelle.
- Algorithme de la clé : RSA (1.2.840.113549.1.1.1).
- Longueur de la clé : 4 096 bits.
- Algorithmes de signature autorisés :
- Sha256WithRSA (1.2.840.113549.1.1.11) ;
- Sha384WithRSA (1.2.840.113549.1.1.12) ;
- Sha512WithRSA (1.2.840.113549.1.1.13).
L'utilitaire de gestion de certificats peut fonctionner avec le Serveur d'intégration sous Linux et le Serveur d'intégration sous Windows. L'utilitaire se trouve sur l'appareil existant sur lequel le Serveur d'intégration est installé. Selon le système d'exploitation de l'appareil, l'utilitaire se trouve dans le chemin suivant :
- /opt/kaspersky/viis/bin/certificate_manager.sh : sur les appareils dotés de systèmes d'exploitation Linux ;
- %ProgramFiles(x86)%\Kaspersky Lab\Kaspersky VIISLA\certificate_manager.exe : sur les appareils dotés de systèmes d'exploitation Windows.
Pour utiliser l'utilitaire sur le système d'exploitation Linux, le compte utilisateur doit appartenir au groupe sudoers. Pour utiliser l'utilitaire dans le système d'exploitation Windows, des privilèges d'administrateur dans le système d'exploitation sont requis.
Comment créer un certificat du Serveur d'intégration sous Linux à l'aide de l'utilitaire
Sur l'appareil doté du Serveur d'intégration, exécutez la commande :
sudo /opt/kaspersky/viis/bin/certificate_manager.sh create-self-signed-certs --outputFolder <
chemin d'accès au répertoire avec certificat
> [--keySize <
2048 ou 4096
>] [--quiet]
où :
<
chemin d'accès au répertoire contenant le certificat
>
désigne le chemin d'accès au répertoire dans lequel le certificat créé va être placé. Le répertoire doit se trouver sur l'appareil doté du Serveur d'intégration.--keySize <
2048 ou 4096
>
– longueur de la clé du certificat. Paramètre facultatif. Si le paramètre n'est pas spécifié, la valeur par défaut de 4096 est utilisée.--quiet
est un paramètre facultatif. Si le paramètre est indiqué, l'utilitaire fonctionnera en mode silencieux et rien ne sera affiché sur la console.
À l'issue de l'exécution de la commande, l'utilitaire crée un certificat pour le Serveur d'intégration (fichier viis.pfx) et le place dans le répertoire spécifié.
Il est conseillé de protéger le certificat contre tout accès non autorisé. Par exemple, vous pouvez placer le certificat dans un répertoire sécurisé.
Comment créer un certificat de Serveur d'intégration sous Windows à l'aide de l'utilitaire
Sur l'appareil doté du Serveur d'intégration, exécutez la commande :
%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky VIISLA\certificate_manager.exe create-self-signed-certs --outputFolder <
chemin d'accès au dossier contenant le certificat
> [--keySize <
2048 ou 4096
>] [--quiet]
où :
<
chemin d'accès au dossier contenant le certificat
>
désigne le chemin d'accès au dossier dans lequel le certificat créé va être placé. Le dossier doit se trouver sur l'appareil doté du Serveur d'intégration.--keySize <
2048 ou 4096
>
– longueur de la clé du certificat. Paramètre facultatif. Si le paramètre n'est pas spécifié, la valeur par défaut de 4096 est utilisée.--quiet
est un paramètre facultatif. Si le paramètre est spécifié, après l'exécution de la commande, la fenêtre de la console de saisie est fermée, sinon la fenêtre de la console reste ouverte.
À l'issue de l'exécution de la commande, l'utilitaire crée un certificat pour le Serveur d'intégration (fichier viis.pfx) et le place dans le dossier spécifié.
Il est conseillé de protéger le certificat contre tout accès non autorisé. Par exemple, vous pouvez placer le certificat dans un dossier sécurisé.
Comment remplacer les certificats du Serveur d'intégration sous Linux et SVM
Sur l'appareil doté du Serveur d'intégration, exécutez la commande :
sudo /opt/kaspersky/viis/bin/certificate_manager.sh replace --certificatePath <
chemin d'accès au certificat
> [--quiet]
où :
<
chemin d'accès au certificat
>
est le chemin d'accès au certificat du Serveur d'intégration (fichier viis.pfx).--quiet
est un paramètre facultatif. Si le paramètre est indiqué, l'utilitaire fonctionnera en mode silencieux et rien ne sera affiché sur la console.
À l'issue de la procédure, l'utilitaire exécuter les actions suivantes :
- Il crée un certificat pour la SVM sur la base du certificat qui se trouve dans le dossier indiqué.
- Il remplace le certificat du Serveur d'intégration et le certificat de la SVM précédemment installés par de nouveaux.
- Il redémarre le service du Serveur d'intégration.
Comment remplacer les certificats du Serveur d'intégration sous Windows et SVM
Sur l'appareil doté du Serveur d'intégration, exécutez la commande :
%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky VIISLA\certificate_manager.exe replace --certificatePath <
chemin d'accès au certificat
>
où <
chemin d'accès au certificat
>
est le chemin d'accès au certificat du Serveur d'intégration (fichier viis.pfx).
À l'issue de la procédure, l'utilitaire exécuter les actions suivantes :
- Il crée un certificat pour la SVM sur la base du certificat qui se trouve dans le dossier indiqué.
- Il remplace le certificat du Serveur d'intégration et le certificat de la SVM précédemment installés par de nouveaux.
- Il redémarre le service du Serveur d'intégration.
Après avoir remplacé les certificats du Serveur d'intégration et de la SVM, vous devez mettre à jour toutes les stratégies du Light Agent et les stratégies du Serveur de protection afin de transmettre la clé publique du nouveau certificat à la stratégie.
Des fichiers de traçage peuvent être générés pendant l'exécution de l'utilitaire d'administration des certificats.
Haut de page