Zastępowanie certyfikatu Serwera administracyjnego za pomocą narzędzia klsetsrvcert

W celu zastąpienia certyfikatu Serwera administracyjnego:

W wierszu polecenia uruchom następujące narzędzie:

klsetsrvcert [-t <typ> {-i <plikwejściowy> [-p <hasło>] [-o <chkopt>] | -g <nazwadns>}][-f <czas>][-r <calistfile>][-l <plikraportu>]

Nie ma konieczności pobierania narzędzia klsetsrvcert. To narzędzie znajduje się w pakiecie dystrybucyjnym Kaspersky Security Center. Nie jest kompatybilne z poprzednimi wersjami Kaspersky Security Center.

Opis parametrów narzędzia klsetsrvcert przedstawia poniższa tabela.

Wartości parametrów narzędzia klsetsrvcert

Parametr

Wartość

-t <type>

Typ zastępowanego certyfikatu. Możliwe wartości parametru <type> to:

  • C – zastępuje certyfikat standardowy dla portów 13000 i 13291.
  • CR – zastępuje zapasowy certyfikat standardowy dla portów 13000 i 13291.
  • M – zastępuje certyfikat dla urządzeń mobilnych na porcie 13292.
  • MR – zastępuje zapasowy certyfikat mobilny dla portu 13292.
  • MCA – mobilny urząd certyfikacji dla automatycznie wygenerowanych certyfikatów użytkowników.

-f <time>

Terminarz zmiany certyfikatu w formacie „DD-MM-RRRR gg:mm” (dla portów: 13000 i 13291).

Użyj tego parametru, jeśli chcesz zastąpić standardowy lub standardowy certyfikat zapasowy przed jego wygaśnięciem.

Określ czas, w którym zarządzane urządzenia muszą synchronizować się z Serwerem administracyjnym na nowym certyfikacie.

-i <inputfile>

Kontener z certyfikatem i kluczem prywatnym w formacie PKCS#12 (plik z rozszerzeniem .p12 lub .pfx).

-p <password>

Hasło używane do ochrony kontenera p12.

Certyfikat i klucz prywatny są przechowywane w kontenerze, dlatego do odszyfrowania pliku z kontenerem wymagane jest hasło.

-o <chkopt>

Parametry legalizacji certyfikatu (oddzielone średnikiem).

Aby użyć certyfikatu niestandardowego bez uprawnień do podpisywania, określ -o NoCA w narzędziu klsetsrvcert. Jest to przydatne w przypadku certyfikatów wydanych przez publiczny urząd certyfikacji.

-g <dnsname>

Nowy certyfikat zostanie utworzony dla określonej nazwy DNS.

-r <calistfile>

Lista zaufanych urzędów certyfikacji w formacie PEM.

-l <logfile>

Zapisuje dane wynikowe. Domyślnie dane wynikowe są przekierowywane do standardowego strumienia wyjściowego.

Na przykład, aby określić niestandardowy certyfikat Serwera administracyjnego, użyj następującego polecenia:

klsetsrvcert -t C -i <plikwejściowy> -p <hasło> -o NoCA

Po zastąpieniu certyfikatu wszystkie Agenty sieciowe połączone z Serwerem administracyjnym przez SSL tracą połączenie. Aby je przywrócić, użyj polecenia narzędzia klmover.

Automatyczne ponowne wydawanie certyfikatów mobilnych nie jest obsługiwane. Zalecamy zdefiniowanie nowego certyfikatu mobilnego, gdy aktualnie obowiązujący certyfikat ma wkrótce wygasnąć. Jeśli certyfikat mobilny wygaśnie, a rezerwowy certyfikat mobilny nie zostanie zdefiniowany, połączenie pomiędzy Serwerem administracyjnym a zainstalowanymi na zarządzanych urządzeniach mobilnych instancjami Agenta sieciowego zostanie utracone. W takim przypadku, aby ponownie podłączyć zarządzane urządzenia mobilne, trzeba będzie wskazać nowy certyfikat mobilny oraz ponownie zainstalować Kaspersky Security for Mobile na każdym zarządzanym urządzeniu mobilnym.

Aby uniknąć utraty połączeń z Agentami sieciowymi, użyj następującego polecenia:

  1. Aby zainstalować nowy certyfikat,

    klsetsrvcert.exe -t CR -i <inputfile> -p <password> -o NoCA

  2. Aby określić datę stosowania nowego certyfikatu,

    klsetsrvcert.exe -f "DD-MM-YYYY hh:mm"

gdzie „DD-MM-RRRR gg:mm” to data 3–4 tygodnie po dacie bieżącej. Przesunięcie czasowe zmiany certyfikatu na nowy pozwoli na rozesłanie nowego certyfikatu do wszystkich Agentów sieciowych.

Zobacz również:

Scenariusz: Określanie niestandardowego certyfikatu Serwera administracyjnego
Przejdź do góry