替换 Integration Server 和 SVM 证书
Kaspersky Security 分发套件包括一个证书管理实用程序,用于管理 Integration Server 证书和 SVM 证书。与 Integration Server 建立安全连接以及加密 Protection Server 与 Light Agent 之间的通信通道时,将使用 Integration Server SSL 证书。SVM 的 SSL 证书用于加密 Light Agent 和 Protection Server 之间的通信通道。
使用证书管理工具可以:
在以下情况下,可能需要更换证书:
- 升级解决方案以将先前安装的证书更换为更安全的证书时。
- 如果使用的证书已过期或已被泄露。
- 如果安装 Integration Server 的设备的 IP 地址或域名发生变化。
您可以将 Integration Server 证书更换为使用工具或第三方工具创建的新证书。如果要使用第三方工具创建的 Integration Server 证书,请确保新证书满足工具的证书要求。
Integration Server 证书必须满足以下要求:
- PFX 格式。
- 证书包含私钥。
- 证书受密码保护。
- “使用者可选名称”字段包含以下值:
- IP 地址 – Integration Server 的外部和本地 IP 地址;
- DNS 名称 – Integration Server 的外部和本地 IP 地址以及域名 (FQDN)。
- 密钥用法:
- KeyEncipherment;
- DigitalSignature;
- DataEncipherment;
- KeyCertSign。
- 增强密钥用法:
- 服务器身份验证 (1.3.6.1.5.5.7.3.1);
- 客户端身份验证 (1.3.6.1.5.5.7.3.2)。
- 证书到期日期晚于当前日期。
- 密钥算法:RSA (1.2.840.113549.1.1.1)。
- 密钥大小:4096 位。
- 允许的签名算法:
- Sha256WithRSA (1.2.840.113549.1.1.11);
- Sha384WithRSA (1.2.840.113549.1.1.12);
- Sha512WithRSA (1.2.840.113549.1.1.13)。
证书管理工具可以与基于 Linux 的 Integration Server 和基于 Windows 的 Integration Server 一起工作。该工具位于安装了 Integration Server 的设备上。根据设备的操作系统,该实用程序位于以下路径之一:
- /opt/kaspersky/viis/bin/certificate_manager.sh – 在装有 Linux 操作系统的设备上
- %ProgramFiles(x86)%\Kaspersky Lab\Kaspersky VIISLA\certificate_manager.exe – 在装有 Windows 操作系统的设备上
要在 Linux 操作系统中使用该实用程序,用户账户必须位于 sudoers 组中。要在 Windows 操作系统中使用该实用程序,需要具有操作系统的管理员权限。
如何使用实用程序为基于 Linux 的 Integration Server 创建证书
在安装了 Integration Server 的设备上,运行命令:
sudo /opt/kaspersky/viis/bin/certificate_manager.sh create-self-signed-certs --outputFolder <证书所在目录的路径> [--keySize <2048 或 4096>] [--quiet]
其中:
<包含证书的目录路径> – 放置创建的证书的目录路径。该目录必须位于安装了 Integration Server 的设备上。--keySize <2048 或 4096> 是证书密钥长度。可选参数。如果不指定该参数,则默认使用 4096。--quiet 是一个可选参数。如果指定了参数,该实用程序将以静默模式运行:不会向控制台输出任何内容。
该命令将使实用程序创建 Integration Server 证书(viis.pfx 格式)并将其放在指定目录中。
建议保护证书,防止未经授权的访问。例如,您可以将证书放在安全的目录中。
如何使用实用程序为基于 Windows 的 Integration Server 创建证书
在安装了 Integration Server 的设备上,运行命令:
%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky VIISLA\certificate_manager.exe create-self-signed-certs --outputFolder <包含证书的文件夹的路径> [--keySize <2048 或 4096>] [--quiet]
其中:
<包含证书的文件夹的路径> 是将放置所创建的证书的文件夹的路径。该文件夹必须位于安装了 Integration Server 的设备上。--keySize <2048 或 4096> 是证书密钥长度。可选参数。如果不指定该参数,则默认使用 4096。--quiet 是一个可选参数。如果指定了此参数,则执行命令后输入控制台窗口将被关闭,否则控制台窗口将保持打开状态。
该命令将使实用程序创建 Integration Server 证书(viis.pfx 格式)并将其放在指定文件夹中。
建议保护证书,防止未经授权的访问。例如,您可以将证书放在安全的文件夹中。
如何替换基于 Linux 的 Integration Server 证书和 SVM 证书
在安装了 Integration Server 的设备上,运行命令:
sudo /opt/kaspersky/viis/bin/certificate_manager.sh replace --certificatePath 证书路径> [--quiet]
其中:
<证书路径> 是 Integration Server 证书(viis.pfx 格式的文件)的路径。--quiet 是一个可选参数。如果指定了参数,该实用程序将以静默模式运行:不会向控制台输出任何内容。
执行该命令的结果是,工具执行以下操作:
- 根据位于指定文件夹中的证书创建 SVM 证书。
- 将之前安装的 Integration Server 证书和 SVM 证书替换为新证书。
- 重新启动 Integration Server 服务。
如何替换基于 Windows 的 Integration Server证书和 SVM 证书
在安装了 Integration Server 的设备上,运行命令:
% ProgramFiles (x86)%\Kaspersky Lab\Kaspersky VIISLA\certificate_manager.exe replace --certificatePath <证书路径>
其中<证书路径> 是 Integration Server 证书(viis.pfx 格式的文件)的路径。
执行该命令的结果是,工具执行以下操作:
- 根据位于指定文件夹中的证书创建 SVM 证书。
- 将之前安装的 Integration Server 证书和 SVM 证书替换为新证书。
- 重新启动 Integration Server 服务。
替换 Integration Server 证书和 SVM 证书后,您需要更新所有 Light Agent 策略和 Protection Server 策略,以便发送新证书的公钥到策略。
证书管理工具运行时,可能会创建跟踪文件。
页面顶部