Kaspersky Security Center の証明書について

Kaspersky Security Center では、次の種類の証明書を使用することで、製品コンポーネント間の安全なインタラクションを可能にしています。

デフォルトでは、Kaspersky Security Center は自己署名証明書(つまり、Kaspersky Security Center 自体によって発行された証明書)を使用しますが、組織のネットワークの要件をより適切に満たし、セキュリティ標準に準拠するために、それらをカスタム証明書に置き換えることができます。カスタム証明書が該当するすべての要件を満たしているかどうかを管理サーバーが検証し、その後、この証明書は自己署名証明書と同じ機能範囲をもつとみなされます。唯一の違いは、カスタム証明書は期限切れ時に自動的に再発行されないことです。証明書のタイプに応じて、klsetsrvcert ユーティリティを使用するか、管理コンソールの[管理サーバーのプロパティ]セクションを介して、証明書をカスタム証明書に置き換えます。以下で説明する証明書タイプのインデックスは、klsetsrvcert ユーティリティの -t certtype パラメータに指定可能な値に基づいています:

管理サーバー証明書

管理サーバー証明書は、管理サーバーの認証、および管理対象デバイス上の管理サーバーとネットワークエージェント間の安全なインタラクションに必要です。管理コンソールと管理サーバーの初回接続時に、現在の管理サーバー証明書の使用の確認が要求されます。このような確認は、管理サーバー証明書を交換するたび、管理サーバーを再インストールするたび、およびスレーブ管理サーバーをマスター管理サーバーに接続する時にも必要です。この証明書は共通(「C」)と呼ばれます。

また、共通予備(「CR」)証明書も存在します。Kaspersky Security Center は、共通証明書の有効期限が切れる 90 日前にこの証明書を自動的に生成します。その後、共通予備証明書を使用して、管理サーバー証明書はシームレスに置き換えられます。共通証明書の有効期限が近づくと、共通予備証明書を使用して、管理対象デバイスにインストールされているネットワークエージェントインスタンスとの接続が維持されます。この目的で、共通予備証明書は、古い共通証明書の有効期限が切れる 24 時間前に自動的に新しい共通証明書になります。

データを失うことなく管理サーバーをあるデバイスから別のデバイスに移動するために、他の管理サーバー設定とは別に管理サーバー証明書をバックアップすることもできます。

モバイル証明書

モバイルデバイスでの管理サーバーの認証には、モバイル証明書(「M」)が必要です。モバイル証明書の使用は、クイックスタートウィザードの専用の手順で設定します。

また、モバイル予備(「MR」)証明書も存在します。これは、モバイル証明書のシームレスな置き換えに使用されます。モバイル証明書の有効期限が近づくと、モバイル予備証明書を使用して、管理対象のモバイルデバイスにインストールされているネットワークエージェントインスタンスとの接続が維持されます。この目的で、モバイル予備証明書は、古い証明書の有効期限が切れる 24 時間前に自動的に新しい証明書になります。

接続シナリオで、モバイルデバイスでクライアント証明書を使用する必要がある場合(双方向 SSL 認証を含む接続)、自動生成されたユーザー証明書(「MCA」)の認証局を使用してそれらの証明書を生成します。また、クイックスタートウィザードを使用すると、別の認証局によって発行されたカスタムクライアント証明書の使用を開始できます。一方、組織のドメイン公開鍵インフラストラクチャ(PKI)と統合すると、ドメイン認証局を使用してクライアント証明書を発行できます。

iOS MDM サーバー証明書

iOS オペレーティングシステムで動作しているモバイルデバイスでの管理サーバーの認証には、iOS MDM サーバー証明書が必要です。これらのデバイスとのインタラクションは、ネットワークエージェントを含まない Apple モバイルデバイス管理(MDM)プロトコルを介して実行されます。代わりに、クライアント証明書を含む特別な iOS MDM プロファイルを各デバイスにインストールして、双方向 SSL 認証を保証します。

また、クイックスタートウィザードを使用すると、別の認証局によって発行されたカスタムクライアント証明書の使用を開始できます。一方、組織のドメイン公開鍵インフラストラクチャ(PKI)と統合すると、ドメイン認証局を使用してクライアント証明書を発行できます。

これらの iOS MDM プロファイルをダウンロードすると、クライアント証明書が iOS デバイスに送信されます。各 iOS MDM サーバークライアント証明書は一意です。自動生成されたユーザー証明書(「MCA」)の認証局を使用して、すべての iOS MDM Server クライアント証明書を生成します。

Web サーバーの証明書

特別な種類の証明書は、Kaspersky Security Center 管理サーバーのコンポーネントである Web サーバーによって使用されます。この証明書は、後で管理対象デバイスにダウンロードするネットワークエージェントインストールパッケージの公開、および iOS MDM プロファイル、iOS アプリ、Kaspersky Endpoint Security forMobile インストールパッケージの公開に必要です。この目的のために、Web サーバーはさまざまな証明書を使用できます。

モバイルデバイスのサポートが無効になっている場合、Web サーバーは優先度の高い順に次の証明書のいずれかを使用します:

  1. 管理コンソールを使用して手動で指定したカスタム Web サーバー証明書
  2. 共通管理サーバー証明書(「C」)

モバイルデバイスのサポートが有効になっている場合、Web サーバーは優先度の高い順に次の証明書のいずれかを使用します:

  1. 管理コンソールを使用して手動で指定したカスタム Web サーバー証明書
  2. カスタムモバイル証明書
  3. 自己署名モバイル証明書(「M」)
  4. 共通管理サーバー証明書(「C」)

関連項目:

Kaspersky Security Center で使用されるカスタム証明書の要件

管理サーバーの証明書の指定

主要なインストールシナリオ

管理コンソール接続時の管理サーバーの認証

管理サーバーの階層構造:マスター管理サーバーとスレーブ管理サーバー

対話モードによるデータのバックアップと復元

証明書の使用

管理サーバークイックスタートウィザード

管理対象デバイスのリストへの iOS モバイルデバイスの追加

証明書による iOS MDM プロファイルの署名

Web サーバー

ページのトップに戻る