Sostituzione del certificato di Administration Server con l'utilità klsetsrvcert

Per sostituire il certificato di Administration Server:

Dalla riga di comando eseguire la seguente utilità:

klsetsrvcert [-t <type> {-i <inputfile> [-p <password>] [-o <chkopt>] | -g <dnsname>}][-f <time>][-r <calistfile>][-l <logfile>]

Non è necessario scaricare l'utilità klsetsrvcert. È inclusa nel kit di distribuzione di Kaspersky Security Center. Non è compatibile con le versioni precedenti di Kaspersky Security Center.

La descrizione dei parametri dell'utilità klsetsrvcert è contenuta nella seguente tabella.

Valori dei parametri dell'utilità klsetsrvcert

Parametro

Valore

-t <type>

Tipo del certificato da sostituire. Possibili valori del parametro <type>:

  • C– Sostituire il certificato comune per le porte 13000 e 13291.
  • CR– Sostituire il certificato di riserva comune per le porte 13000 e 13291.
  • M– Sostituire il certificato per i dispositivi mobili sulla porta 13292.
  • MR– Sostituire il certificato di riserva mobile per la porta 13292.
  • MCA– Mobile Client CA per certificati utente generati automaticamente.

-f <time>

Pianificazione per la modifica del certificato, utilizzando il formato "GG-MM-AAAA hh:mm" (per le porte 13000 e 13291).

Utilizzare questo parametro se si desidera sostituire il certificato comune o il certificato di riserva comune prima della scadenza.

Specificare l'ora in cui i dispositivi gestiti devono sincronizzarsi con Administration Server in un nuovo certificato.

-i <inputfile>

Contenitore con il certificato e una chiave privata nel formato PKCS#12 (file con estensione p12 o pfx).

-p <password>

Password utilizzata per la protezione del contenitore p12.

Il certificato e una chiave privata vengono archiviati nel contenitore, pertanto è necessaria la password per decriptare il file con il contenitore.

-o <chkopt>

Parametri di convalida del certificato (separati da punto e virgola).

Per utilizzare un certificato personalizzato senza l'autorizzazione di firma, specificare -o NoCA nell'utilità klsetsrvcert. Questo è utile per i certificati rilasciati da un'autorità di certificazione pubblica.

-g <dnsname>

Verrà creato un nuovo certificato per il nome DNS specificato.

-r <calistfile>

Elenco delle autorità di certificazione radice attendibili, formato PEM.

-l <logfile>

File di output dei risultati. Per impostazione predefinita, l'output viene reindirizzato nel flusso di output standard.

Per specificare il certificato personalizzato di Administration Server, utilizzare ad esempio il seguente comando:

klsetsrvcert -t C -i <inputfile> -p <password> -o NoCA

Dopo la sostituzione del certificato, tutti i Network Agent connessi ad Administration Server tramite SSL perdono la connessione. Per ripristinarla, utilizzare l'utilità klmover della riga di comando.

Per evitare di perdere le connessioni di Network Agent, utilizzare il seguente comando:

klsetsrvcert.exe -f "DD-MM-YYYY hh:mm" -t CR -i <inputfile> -p <password> -o NoCA

dove "DD-MM-YYYY hh:mm" è la data risalente a 3-4 settimane prima della data attuale. Lo slittamento temporale per la modifica del certificato in uno di backup consentirà la distribuzione di un nuovo certificato a tutti i Network Agent.

Vedere anche:

Scenario: Specificazione del certificato di Administration Server personalizzato
Inizio pagina