시나리오: 사용자 지정 중앙 관리 서버 인증서 지정
예를 들어, 기업의 기존 공개 키 인프라(PKI)와의 더 나은 통합을 위해 또는 인증서 필드의 사용자 정의 구성을 위해 사용자 정의 중앙 관리 서버 인증서를 할당할 수 있습니다. 따라서 중앙 관리 서버를 설치한 직후, 그리고 빠른 시작 마법사가 완료되기 전에 인증서를 교체하면 유용합니다.
중앙 관리 서버 인증서의 최대 유효 기간은 397일 이하여야 합니다.
필수 구성 요소
새 인증서는 PKCS#12 형식(예: 조직의 PKI 사용)으로 만들어야 하며 신뢰할 수 있는 CA(인증 기관)에서 발급한 것이어야 합니다. 또한 새 인증서에는 전체 신뢰 체인과 개인 키가 포함되어야 하며, 이는 확장자가 pfx 또는 p12인 파일에 저장되어야 합니다. 새 인증서의 경우 아래 표에 나열된 요구 사항을 충족해야 합니다.
중앙 관리 서버 인증서에 대한 요구 사항
인증서 유형 | 요구 사항 |
---|---|
공통 인증서, 공통 예약 인증서("C", "CR") | 최소 키 길이: 2048. 기본 제한:
키 사용:
확장 키 사용(EKU): 서버 인증, 클라이언트 인증. EKU는 선택 사항이지만 인증서에 EKU가 포함되어 있는 경우 서버 및 클라이언트 인증 데이터를 EKU에 지정해야 합니다. |
모바일 인증서, 모바일 예약 인증서("M", "MR") | 최소 키 길이: 2048. 기본 제한:
키 사용:
확장 키 사용(EKU): 서버 인증. EKU는 선택 사항이지만 인증서에 EKU가 포함되어 있는 경우 EKU에 서버 인증 데이터를 지정해야 합니다. |
자동 생성된 사용자 인증서용 인증서 CA("MCA") | 최소 키 길이: 2048. 기본 제한:
키 사용:
확장 키 사용(EKU): 클라이언트 인증. EKU는 선택 사항이지만 인증서에 EKU가 포함되어 있는 경우 EKU에 클라이언트 인증 데이터를 지정해야 합니다. |
공용 CA에서 발급한 인증서에는 인증서 서명 권한이 없습니다. 이러한 인증서를 사용하려면 네트워크의 배포 지점 또는 연결 게이트웨이에 네트워크 에이전트 버전 13 이상을 설치했는지 확인하십시오. 그렇지 않으면 서명 권한 없이 인증서를 사용할 수 없습니다.
단계
중앙 관리 서버 인증서 지정은 다음 단계로 진행됩니다.
- 중앙 관리 서버 인증서 교체
이를 위해서는 명령줄 klsetsrvcert 유틸리티를 사용합니다.
- 새 인증서 지정 및 중앙 관리 서버에 대한 네트워크 에이전트 연결 복원
인증서를 교체하면 이전에 SSL을 통해 중앙 관리 서버에 연결했던 모든 네트워크 에이전트의 연결이 끊기며 "중앙 관리 서버 인증 오류"가 반환됩니다. 새 인증서를 지정하고 연결을 복원하려면 klmover 유틸리티를 사용합니다.
- Kaspersky Security Center 웹 콘솔 설정에서 새 인증서 지정
인증서 교체 후 Kaspersky Security Center 웹 콘솔 설정에서 인증서를 지정합니다 . 그렇지 않으면 Kaspersky Security Center 웹 콘솔에서 중앙 관리 서버에 연결할 수 없습니다.
결과
시나리오 마지막으로 중앙 관리 서버 인증서가 교체되고 관리 중인 기기의 네트워크 에이전트를 통해 서버가 인증됩니다.