Сіз өзіңіздің ұйымыңыздың қолданыстағы жалпыға ортақ кілттер инфрақұрылымымен (PKI) жақсырақ біріктіру үшін немесе сертификат параметрлерінің пайдаланушы конфигурациясы үшін Басқару серверінің пайдаланушы сертификатын тағайындай аласыз. Сертификатты, Басқару серверін орнатқаннан кейін, бағдарламаны жылдам іске қосу шеберінің жұмысы аяқталғанға дейін ауыстырған жөн.
Кез келген Басқару сервері сертификатының ең көп жарамдылық мерзімі 397 күннен аспауы керек.
Алдын ала талаптар
Жаңа сертификат PKCS#12 пішімінде жасалуы керек (мысалы, ұйымның PKI арқылы) және оны сенімді сертификаттау орталығы (CA) шығаруы керек. Сондай-ақ, жаңа сертификат бүкіл сенім тізбегін және pfx немесе p12 кеңейтімі бар файлда сақталуы тиісті жеке кілтті қамтуы керек. Жаңа сертификат үшін төмендегі кестеде көрсетілген талаптар орындалуы керек.
Басқару серверінің сертификаттарына қойылатын талаптар
|
Сертификат түрі |
Талаптар |
|---|---|
|
Жалпы сертификат, жалпы резервтік сертификат ("С", "CR") |
Кілттің минималды ұзындығы: 2048. Негізгі шектеулер:
Кілтті пайдалану:
Кеңейтілген кілт қолданысы (Extended Key Usage, EKU) (міндетті емес): Сервердің түпнұсқалық растамасы және клиенттің түпнұсқалық растамасы. EKU міндетті емес, бірақ ол сіздің сертификатыңызда болса, Сервер мен клиенттің түпнұсқалық растамасы деректері EKU-да көрсетілуі керек. |
|
Ұялы құрылғы сертификаты, резервтік ұялы құрылғы сертификаты ("M", "MR") |
Кілттің минималды ұзындығы: 2048. Негізгі шектеулер:
Қолданылатын кілттер:
Кеңейтілген кілт қолданысы (EKU): Сервердің түпнұсқалық растамасы. EKU міндетті емес, бірақ ол сіздің сертификатыңызда болса, Сервердің түпнұсқалық растамасы деректері EKU-да көрсетілуі керек. |
|
Автоматты түрде жасалатын пайдаланушы сертификаттары (MCA) үшін сенімді сертификаттау орталығы (CA) шығарған сертификат |
Кілттің минималды ұзындығы: 2048. Негізгі шектеулер:
Кілтті пайдалану:
Кеңейтілген кілт қолданысы (ағылш. Extended Key Usage, EKU): клиенттің түпнұсқалық растамасы. EKU міндетті емес, бірақ ол сіздің сертификатыңызда болса, клиенттің түпнұсқалық растамасы деректері EKU-да көрсетілуі керек. |
Сенімді сертификаттау орталығы (ағылшынша certificate authority, CA) шығарған сертификаттардың сертификаттарға қол қоюға рұқсаты жоқ. Мұндай сертификаттарды пайдалану үшін, желіңіздегі тарату нүктелерінде немесе қосылым шлюздерінде 13 немесе одан жоғары нұсқадағы Желілік агент орнатылғанына көз жеткізіңіз. Әйтпесе, сіз қол қою рұқсатынсыз сертификаттарды пайдалана алмайсыз.
Кезеңдер
Басқару сервері сертификатын көрсету келесі кезеңдерден тұрады:
Осы мақсат үшін klsetsrvcert пәрмен жолы утилитасын пайдаланыңыз.
Сертификатты ауыстырған кезде, бұрын SSL арқылы Басқару серверіне қосылған барлық Желілік агенттер Серверге "Басқару серверінің түпнұсқалық растамасы қатесі" қатесімен қосылуды тоқтатады. Жаңа сертификатты көрсету және қосылымды қалпына келтіру үшін klmover утилитасының пәрмен жолын пайдаланыңыз.
Сертификатты ауыстырғаннан кейін, мұны Kaspersky Security Center Web Console параметрлерінде көрсетіңіз. Әйтпесе, Kaspersky Security Center Web Console Басқару серверіне қосыла алмайды.
Нәтижелер
Сценарий аяқталғаннан кейін, Басқару сервері сертификаты ауыстырылады, басқарылатын құрылғылардағы Желілік агент сервері жаңа сертификатты пайдалану арқылы Серверді аутентификациялайды.