关于 Kaspersky Security Center 证书

Kaspersky Security Center 使用以下类型的证书来启用应用程序组件之间的安全交互：

• 管理服务器证书
• 移动证书
• iOS MDM 服务器证书
• Kaspersky Security Center Web Server 证书
• Kaspersky Security Center Web Console 证书

默认情况下，Kaspersky Security Center 使用自签名证书（即，由 Kaspersky Security Center 自身颁发），但是您可以将其替换为自定义证书，以更好地满足组织网络的要求并符合安全标准。在管理服务器验证自定义证书是否满足所有适用要求之后，该证书将承担与自签名证书相同的功能范围。唯一的区别是自定义证书不会在到期后自动重新颁发。您可以通过 klsetsrvcert 实用程序或通过管理控制台中的管理服务器属性区域将证书替换为自定义证书，具体取决于证书类型。使用 klsetsrvcert 实用程序时，需要使用以下值之一指定证书类型：

• C—端口 13000 和 13291 的通用证书。
• CR—端口 13000 和 13291 的通用备用证书。
• M—端口 13292 的移动证书。
• MR—端口 13292 的移动备用证书。
• MCA—自动生成的用户证书的移动证书颁发机构。

您无需下载 klsetsrvcert 实用程序。它包含在 Kaspersky Security Center 分发包中。该实用程序与以前的 Kaspersky Security Center 版本不兼容。

管理服务器证书的最长有效期不得超过 397 天。

管理服务器证书

管理服务器的身份验证以及管理服务器和受管理设备上的网络代理之间、或主管理服务器和从属管理服务器之间的安全交互都需要管理服务器证书。首次将管理控制台连接到管理服务器时，系统将提示您确认使用当前的管理服务器证书。每次更换管理服务器证书时，每次重新安装管理服务器后以及将从属管理服务器连接到主管理服务器时，都需要进行此类确认。此证书称为通用（“C”）证书。

安装管理服务器组件时会自动创建通用（“C”）证书。证书由两部分组成：

• klserver.cer 文件；默认情况下，它位于安装管理服务器组件的设备上的 C:\ProgramData\KasperskyLab\adminkit\1093\cert 文件夹中。
• 密钥位于 Windows 受保护的存储中。

此外，还存在一个通用备用（“CR”）证书。Kaspersky Security Center 会在通用证书到期前 90 天自动生成此证书。通用备用证书随后用于无缝替换管理服务器证书。当通用证书即将到期时，通用备用证书用于保持与受管理设备上安装的网络代理实例的连接。为此，通用备用证书会在旧的通用证书到期前 24 小时自动成为新的通用证书。

您还可以将管理服务器证书与其他管理服务器设置分开备份，以将管理服务器从一台设备移动到另一台设备而不丢失数据。

移动证书

在移动设备上对管理服务器进行身份验证需要移动证书（“M”）。您可以在快速启动向导的专门步骤配置移动证书的使用。

此外，还存在移动备用（“MR”）证书：它用于无缝替换移动证书。当移动证书即将到期时，移动备用证书用于保持与受管理移动设备上安装的网络代理实例的连接。为此，移动备用证书会在旧的移动证书到期前 24 小时自动成为新的移动证书。

不支持自动重新颁发移动证书。我们建议您在现有证书即将到期时指定新的移动证书。如果移动证书过期且未指定移动备用证书，则管理服务器与安装在受管移动设备上的网络代理实例之间的连接将丢失。在这种情况下，要重新连接受管理移动设备，您必须指定新的移动证书并在每个受管理移动设备上重新安装 Kaspersky Security for Mobile。

如果连接方案要求在移动设备上使用客户端证书（涉及双向 SSL 身份验证的连接），则可以通过自动生成的用户证书（“MCA”）的证书颁发机构来生成那些证书。此外，通过快速启动向导可以开始使用由其他证书颁发机构颁发的自定义客户端证书，而与组织的域公钥基础结构 (PKI) 的集成允许您通过域证书颁发机构颁发客户端证书。

iOS MDM 服务器证书

在运行 iOS 操作系统的移动设备上对管理服务器进行身份验证时，需要 iOS MDM 服务器证书。与这些设备的交互通过不涉及任何网络代理的 Apple 移动设备管理 (MDM) 协议执行。反而在每台设备上都安装一个特殊的包含客户端证书的 iOS MDM 配置文件，以确保双向 SSL 身份验证。

此外，通过快速启动向导可以开始使用由其他证书颁发机构颁发的自定义客户端证书，而与组织的域公钥基础结构 (PKI) 的集成允许您通过域证书颁发机构颁发客户端证书。

当下载这些 iOS MDM 配置文件后，客户端证书会传输到 iOS 设备。每个受管理的 iOS 设备都有唯一的 iOS MDM 服务器客户端证书。通过自动生成的用户证书（“MCA”）的证书颁发机构生成所有 iOS MDM 服务器客户端证书。

Kaspersky Security Center Web Server 证书

Kaspersky Security Center Web Server（以下简称 Web Server）是 Kaspersky Security Center 管理服务器的一个组件，它使用一种特殊类型的证书。发布后续下载到受管理设备的网络代理安装包以及发布 iOS MDM 配置文件、iOS 应用和 Kaspersky Security for Mobile 安装包都需要此证书。为此，Web 服务器可以使用各种证书。

如果禁用了移动设备支持，Web 服务器将按优先级顺序使用以下证书之一：

1. 通过管理控制台手动指定的自定义 Web 服务器证书
2. 通用管理服务器证书（“C”）

如果启用了移动设备支持，Web 服务器将按优先级顺序使用以下证书之一：

1. 通过管理控制台手动指定的自定义 Web 服务器证书
2. 自定义移动证书
3. 自签名移动证书（“M”）
4. 通用管理服务器证书（“C”）

Kaspersky Security Center Web Console 证书

Kaspersky Security Center Web Console（以下简称 Web Console）的服务器有自己的证书。当您打开网站时，浏览器会验证您的连接是否可信。Web Console 证书允许您对 Web Console 进行身份验证，并用于加密浏览器和 Web Console 之间的流量。

当您打开 Web Console 时，浏览器可能会通知您与 Web Console 的连接不是私有连接，并且 Web Console 证书无效。出现此警告是因为 Web Console 证书是自签名的，并且由 Kaspersky Security Center 自动生成。要移除此警告，可以执行以下操作之一：

• 将 Web Console 证书替换为自定义证书（推荐选项）。创建在您的基础架构中受信任且满足自定义证书要求的证书。
• 将 Web Console 证书添加到受信任浏览器证书列表中。我们建议您仅在无法创建自定义证书时才使用此选项。

另请参阅： 对 Kaspersky Security Center 中使用的自定义证书的要求 场景：指定自定义管理服务器证书 主要安装方案 在管理控制台连接期间的管理服务器身份验证 管理服务器层级：主管理服务器和从属管理服务器 交互模式下的数据备份和恢复 使用移动设备证书 管理服务器快速启动向导 添加 iOS 移动设备到受管理设备列表 通过证书签署 iOS MDM 配置文件 Web 服务器

页顶