Puede asignar el certificado del Servidor de administración personalizado, por ejemplo, para una mejor integración con la infraestructura de clave pública (PKI) existente de su empresa o para la configuración personalizada de los campos del certificado. Es útil reemplazar el certificado inmediatamente después de la instalación del Servidor de administración y antes de que el Asistente de inicio rápido se complete.
El período máximo de validez para cualquiera de los certificados del Servidor de administración debe ser de 397 días o menos.
Requisitos previos
El nuevo certificado debe crearse en el formato PKCS#12 (por ejemplo, mediante la PKI de la organización) y debe ser emitido por una autoridad de certificación (CA) de confianza. Además, el nuevo certificado debe incluir toda la cadena de confianza y una clave privada, que debe almacenarse en el archivo con la extensión pfx o p12. Para el nuevo certificado, se deben cumplir los requisitos enumerados en la siguiente tabla.
Requisitos para los certificados del Servidor de administración
Tipo de certificado |
Requisitos |
|---|---|
Certificado común, certificado de reserva común ("C", "CR") |
Longitud mínima de la clave: 2048. Restricciones básicas:
Uso de la clave:
Uso extendido de claves (EKU): autenticación de servidor y autenticación de cliente. El EKU es opcional, pero si su certificado lo contiene, los datos de autenticación del servidor y del cliente deben especificarse en el EKU. |
Certificado móvil, certificado de reserva móvil ("M", "MR") |
Longitud mínima de la clave: 2048. Restricciones básicas:
Uso de la clave:
Extended Key Usage (EKU): autenticación de servidor. El EKU es opcional, pero si su certificado lo contiene, los datos de autenticación del servidor deben especificarse en el EKU. |
CA de certificado para certificados de usuario generados automáticamente ("MCA") |
Longitud mínima de la clave: 2048. Restricciones básicas:
Uso de la clave:
Extended Key Usage (EKU): autenticación del cliente. El EKU es opcional, pero si su certificado lo contiene, los datos de autenticación del cliente deben especificarse en el EKU. |
Los certificados emitidos por una CA pública no tienen el permiso de firma de certificados. Para utilizar dichos certificados, asegúrese de haber instalado la versión 13 o posterior del Agente de red en los puntos de distribución o las puertas de enlace de conexión de su red. De lo contrario, no podrá utilizar certificados sin el permiso de firma.
Etapas
La especificación del certificado del Servidor de administración se realiza por etapas:
Para ello, use la línea de comandos utilidad klsetsrvcert.
Al reemplazar el certificado, todos los Agentes de red que estaban conectados anteriormente al Servidor de administración a través de SSL pierden su conexión y devuelven el "error de autenticación del Servidor de administración". Para especificar el nuevo certificado y restaurar la conexión, use la línea de comandos utilidad klmover.
Después de reemplazar el certificado, especificalo en la configuración de Kaspersky Security Center 13.2 Web Console. De lo contrario, Kaspersky Security Center 13.2 Web Console no podrá conectarse al Servidor de administración.
Resultados
Cuando termina el escenario, el certificado del Servidor de administración se reemplaza y el servidor es autenticado por los Agentes de red en los dispositivos administrados.