管理サーバーの証明書の指定

必要に応じて、コマンドラインユーティリティ klsetsrvcert を使用し、管理サーバーに特別な証明書を割り当てることができます。

証明書を置き換えると、以前 SSL を介して管理サーバーに接続したすべてのネットワークエージェントの接続が切断され、「管理サーバー証明書エラー」が返されます。新しい証明書を指定して接続を復元するには、klmover ユーティリティを使用します。

新しい証明書を指定して接続を復元するには:

コマンドラインから、次のコマンドを実行します:

klmover [-address <サーバーアドレス>] [-pn <ポート番号>] [-ps <SSL ポート番号>] [-nossl] [-cert <証明書ファイルのパス>]

ネットワークエージェントパッケージが作成される際に、管理サーバー証明書が追加されることがあります。この場合、klsetsrvcert ユーティリティにより管理サーバー証明書を置き換えたとしても、既存のネットワークエージェントパッケージ内の管理サーバー証明書は置き換えられません。

管理サーバーのインストール直後でクイックスタートウィザードが終了する前に、証明書を置き換えてください。

管理サーバー証明書に 397 日を超える有効期間を指定すると、Web ブラウザーはエラーを返します。

場合によっては、証明書の置き換えが必要な場合があります。

ユーティリティで指定する証明書は、完全な信頼チェーンを含む必要があり、下の表にリストされた要件を満たす必要があります。

パブリック認証局(CA)が発行した証明書は、管理サーバー証明書に必須である証明書署名の権限がないので、使用できません。

管理サーバー証明書の要件

証明書の種別

要件

コメント

共通証明書、予備の共通証明書(「C」「CR」)

最短鍵長:2048

Basic Constraints(基本制約):

  • CA:true
  • Path Length Constraint(パス長制約):None

    Key Usage(鍵用途):

  • デジタル署名
  • 証明書の署名の検証
  • 鍵の暗号化
  • 証明書失効リスト(CRL)の署名の検証

    Extended Key Usage(拡張鍵用途)(任意):サーバー認証、クライアント認証。

Extended Key Usage パラメータは任意です。

Path Length Constraint の値は「None」ではなく、「1」以上の整数である場合があります。

モバイルデバイス用証明書、モバイルデバイス用の予備の証明書(「M」「MR」)

最短鍵長:2048

Basic Constraints(基本制約):

  • CA:true
  • Path Length Constraint(パス長制約):None

    Key Usage(鍵用途):

  • デジタル署名
  • 証明書の署名の検証
  • 鍵の暗号化
  • 証明書失効リスト(CRL)の署名の検証

    Extended Key Usage(拡張鍵用途)(任意):サーバー認証。

Extended Key Usage パラメータは任意です。

Path Length Constraint の値は「None」ではない場合があります(共通証明書の Path Length Constraint の値が「1」以上である場合)。

自動生成されたユーザー証明書用の CA 証明書(「MCA」)

最短鍵長:2048

Basic Constraints(基本制約):

  • CA:true
  • Path Length Constraint(パス長制約):None

    Key Usage(鍵用途):

  • デジタル署名
  • 証明書の署名の検証
  • 鍵の暗号化
  • 証明書失効リスト(CRL)の署名の検証

    Extended Key Usage(拡張鍵用途)(任意):サーバー認証、クライアント認証。

Extended Key Usage パラメータは任意です。

Path Length Constraint の値は「None」ではない場合があります(共通証明書の Path Length Constraint の値が「1」以上である場合)。

証明書を置き換えるには、PKCS#12 形式の新しい証明書(たとえば、組織の PKI を使用)を作成し、その証明書をユーティリティ klsetsrvcert に渡します(ユーティリティのパラメータ値については、下の表を参照)。

ユーティリティのコマンドライン構文は次のとおりです:

klsetsrvcert [--stp <インスタンス識別子>][-t <種別> {-i <入力ファイル> [-p <パスワード>] [-o <証明書の検証パラメータ>] | -g <DNS 名>}][-f <時刻>][-r <CA のリストファイル>][-l <ログファイル>]

ユーティリティ klsetsrvcert のパラメータ値

パラメータ

--stp <インスタンス識別子>

インスタンスの識別子。

-t <種別>

置き換える証明書の種別。<種別>パラメータに指定可能な値:

  • C:ポート 13000 と 13291 の証明書を置き換え
  • CR:ポート 13000 と 13291 の予備の証明書を置き換え
  • M:ポート 13292 のモバイルデバイス用証明書を置き換え
  • MR:ポート 13292 のモバイル予備証明書を置き換え
  • MCA:自動生成されたユーザー証明書のモバイルクライアント CA

-f <時刻>

証明書の変更の予定時刻。形式は「DD-MM-YYYY hh:mm」です(ポート 13000 と 13291 向け)。

-i <入力ファイル>

PKCS#12 形式の証明書を持つコンテナー(拡張子が .p12 または .pfx のファイル)。

-p <パスワード>

証明書を持つ p12 コンテナーの保護に使用されるパスワード

-o <証明書の検証パラメータ>

証明書の検証パラメータ(セミコロン区切り)。

-g <DNS 名>

指定した DNS 名に対する新しい証明書が作成されます。

-r <CA のリストファイル>

信頼済みのルート証明機関のリスト(PEM 形式)。

-l <ログファイル>

結果出力ファイル。既定では、出力は標準出力ストリームにリダイレクトされます

関連項目:

Kaspersky Security Center で使用されるカスタム証明書の要件

主要なインストールシナリオ

ページのトップに戻る