Kaspersky Security Center utiliza los siguientes tipos de certificados para permitir una interacción segura entre los componentes de la aplicación:
De forma predeterminada, Kaspersky Security Center utiliza certificados autofirmados (es decir, emitidos por el propio Kaspersky Security Center), pero puede reemplazarlos por certificados personalizados para cumplir mejor con los requisitos de la red de su organización y cumplir con los estándares de seguridad. Una vez que el Servidor de administración verifica si un certificado personalizado cumple con todos los requisitos aplicables, este certificado asume el mismo alcance funcional que un certificado autofirmado. La única diferencia es que un certificado personalizado no se vuelve a emitir automáticamente al expirar. Puede reemplazar certificados autofirmados por personalizados mediante la utilidad klsetsrvcert o mediante la sección de propiedades del Servidor de administración en la Consola de administración, según el tipo de certificado. Los índices de los tipos de certificado que se describen a continuación se basan en los posibles valores del parámetro -t certtype en la utilidad klsetsrvcert:
No necesita descargar la utilidad klsetsrvcert. Está incluida en el kit de distribución de Kaspersky Security Center. No es compatible con versiones anteriores de Kaspersky Security Center.
El período máximo de validez para cualquiera de los certificados del Servidor de administración debe ser de 397 días o menos.
Certificados del Servidor de administración
Se requiere un certificado del Servidor de administración para la autenticación del Servidor de administración, así como para la interacción segura entre el Servidor de administración y el Agente de red en los dispositivos administrados. Cuando conecta la Consola de administración al Servidor de administración por primera vez, se le solicita que confirme el uso del certificado del Servidor de administración vigente. Dicha confirmación también se requiere cada vez que se reemplaza el certificado del Servidor de administración, después de cada reinstalación del Servidor de administración y cuando se conecta un Servidor de administración secundario al Servidor de administración principal. Este certificado se llama común ("C").
Además, existe un certificado de reserva común ("CR"). Kaspersky Security Center genera automáticamente este certificado 90 días antes del vencimiento del certificado común. El certificado de reserva común se utiliza más tarde para sustituir el certificado del Servidor de administración. Cuando el certificado común está a punto de caducar, el certificado de reserva común se utiliza para mantener la conexión con las instancias del Agente de red instaladas en los dispositivos administrados. Con este propósito, el certificado de reserva común se convierte automáticamente en el nuevo certificado común 24 horas antes de que expire el antiguo certificado común.
También puede realizar una copia de seguridad del certificado del Servidor de administración por separado de otras configuraciones del Servidor de administración para mover el Servidor de administración de un dispositivo a otro sin pérdida de datos.
Certificados móviles
Se requiere un certificado móvil ("M") para la autenticación del Servidor de administración en dispositivos móviles. El uso del certificado móvil se configura en el paso dedicado del Asistente de inicio rápido.
Además, existe un certificado de reserva móvil ("MR"), que se utiliza para reemplazar sin problemas el certificado móvil. Cuando el certificado móvil está a punto de caducar, el certificado de reserva móvil se utiliza para mantener la conexión con las instancias del Agente de red instaladas en los dispositivos móviles administrados. Con este propósito, el certificado de reserva móvil se convierte automáticamente en el nuevo certificado móvil 24 horas antes de que expire el antiguo certificado móvil.
Si el escenario de conexión requiere el uso de un certificado de cliente en dispositivos móviles (conexión que implica autenticación SSL bidireccional), genere esos certificados por medio de la autoridad de certificación para certificados de usuario generados automáticamente ("MCA"). Además, el Asistente de inicio rápido le permite comenzar a utilizar certificados de cliente personalizados emitidos por una autoridad de certificación diferente, mientras que la integración con la Infraestructura de clave pública (PKI) del dominio de su organización le permite emitir certificados de cliente por medio de la autoridad de certificación de su dominio.
Certificado del Servidor de MDM para iOS
Se requiere un certificado de servidor de MDM para iOS para la autenticación del Servidor de administración en dispositivos móviles que ejecutan el sistema operativo iOS. La interacción con estos dispositivos se realiza a través del protocolo de administración de dispositivos móviles (MDM) de Apple que no involucra ningún Agente de red. En su lugar, instala en cada dispositivo un perfil especial de MDM para iOS, que contiene un certificado de cliente, para garantizar la autenticación SSL bidireccional.
Además, el Asistente de inicio rápido le permite comenzar a utilizar certificados de cliente personalizados emitidos por una autoridad de certificación diferente, mientras que la integración con la Infraestructura de clave pública (PKI) del dominio de su organización le permite emitir certificados de cliente por medio de la autoridad de certificación de su dominio.
Los certificados de cliente se transmiten a dispositivos iOS cuando descarga esos perfiles de MDM de iOS. Cada certificado de cliente de Servidor de MDM para iOS es único. Todos los certificados de cliente de Servidor de MDM para iOS se generan mediante la autoridad de certificación para certificados de usuario generados automáticamente ("MCA").
Certificado del Servidor web
Servidor Web, un componente de Servidor de administración de Kaspersky Security Center, utiliza un tipo especial de certificado. Este certificado es necesario para publicar los paquetes de instalación del Agente de red que posteriormente se descargan en los dispositivos administrados, así como para publicar perfiles de MDM de iOS, aplicaciones de iOS y los paquetes de instalación de Kaspersky Security for Mobile. Para ello, Servidor Web puede utilizar varios certificados.
Si la compatibilidad con dispositivos móviles está desactivada, Servidor Web utiliza uno de los siguientes certificados, en orden de prioridad:
Si la compatibilidad con dispositivos móviles está activada, Servidor Web utiliza uno de los siguientes certificados, en orden de prioridad:
Certificado de Kaspersky Security Center 13.2 Web Console
El Servidor de Kaspersky Security Center 13.2 Web Console (en adelante, Web Console) tiene su propio certificado. Cuando abre un sitio web, el navegador verifica si su conexión es fiable. El certificado de la consola web le permite autenticar la consola web y se utiliza para cifrar el tráfico entre el navegador y la consola web.
Cuando abre Web Console, el navegador le informa que la conexión a Web Console no es privada y que el certificado de Web Console no es válido. Esta advertencia aparece porque el certificado de la Web Console está autofirmado y fue generado automáticamente por Kaspersky Security Center. Para eliminar esta advertencia, puede realizar una de las acciones siguientes: