Sie können das benutzerdefinierte Zertifikat des Administrationsservers beispielsweise für eine bessere Integration in die vorhandene Public-Key-Infrastruktur (PKI) Ihres Unternehmens oder für eine benutzerdefinierte Konfiguration der Zertifikatfelder angeben. Es ist zweckmäßig, das Zertifikat sofort nach der Installation des Administrationsservers vor dem Abschluss des Schnellstartassistenten zu ersetzen.
Die maximale Gültigkeitsdauer für jedes der Zertifikate des Administrationsservers darf bis zu 397 Tage betragen.
Erforderliche Komponenten
Das neue Zertifikat muss im PKCS#12-Format erstellt werden (z. B. mittels PKI der Organisation) und von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt werden. Außerdem muss das neue Zertifikat die gesamte Vertrauenskette und einen privaten Schlüssel enthalten, welcher in der Datei mit der pfx- oder p12-Erweiterung gespeichert werden muss. Für das neue Zertifikat müssen die in der folgenden Tabelle aufgeführten Voraussetzungen erfüllt sein.
Voraussetzungen für die Zertifikate des Administrationsservers
Typ des Zertifikats |
Voraussetzungen |
|---|---|
Gewöhnliches Zertifikat, gewöhnliches Reservezertifikat ("C", "CR") |
Minimale Schlüssellänge: 2048 Basic constraints:
Schlüsselverwendung:
Extended Key Usage (EKU): Serverauthentifizierung und Clientauthentifizierung. Die EKU ist optional, aber wenn Ihr Zertifikat diese enthält, müssen die Authentifizierungsdaten für Server und Client in der EKU angegeben werden. |
Mobiles Zertifikat, mobiles Reservezertifikat ("M", "MR") |
Minimale Schlüssellänge: 2048 Basic constraints:
Schlüsselverwendung:
Extended Key Usage (EKU): Serverauthentifizierung. Die EKU ist optional, aber wenn Ihr Zertifikat diese enthält, müssen die Authentifizierungsdaten des Servers in der EKU angegeben werden. |
CA-Zertifikat für automatisch generierte Benutzerzertifikate ("MCA") |
Minimale Schlüssellänge: 2048 Basic constraints:
Schlüsselverwendung:
Extended Key Usage (EKU): Clientauthentifizierung. Die EKU ist optional, aber wenn Ihr Zertifikat diese enthält, müssen die Authentifizierungsdaten des Clients in der EKU angegeben werden. |
Von einer öffentlichen Zertifizierungsstelle ausgestellte Zertifikate verfügen nicht über die Berechtigung zum Signieren von Zertifikaten. Um solche Zertifikate zu verwenden, stellen Sie sicher, dass Sie den Administrationsagenten ab Version 13 auf den Verteilungspunkten oder Verbindungsgateways in Ihrem Netzwerk installiert haben. Andernfalls können Sie Zertifikate ohne die Berechtigung zum Signieren nicht verwenden.
Schritte
Das Angeben des Zertifikats des Administrationsservers erfolgt schrittweise:
Verwenden Sie dafür das Befehlszeilendienstprogramm klsetsrvcert.
Wenn das Zertifikat ersetzt wird, verlieren alle Administrationsagenten, die zuvor mittels SSL mit Administrationsserver verbunden waren, die Verbindung zum Server und geben den Fehler "Fehler bei der Authentifizierung des Administrationsservers" zurück. Verwenden Sie das Befehlszeilendienstprogramm klmover, um das neue Zertifikat zu spezifizieren und die Verbindung wiederherzustellen.
Nachdem Sie das Zertifikat ersetzt haben, müssen Sie es in den Einstellungen der Kaspersky Security Center 13.2 Web Console angeben. Andernfalls kann die Kaspersky Security Center 13.2 Web Console keine Verbindung zum Administrationsserver herstellen.
Ergebnisse
Wenn Sie das Szenario abgeschlossen haben, wurde das Zertifikat des Administrationsservers ersetzt und der Server wurde durch Administrationsagenten auf den Client-Geräten authentifiziert.