シナリオ:管理サーバーのカスタム証明書の指定

管理サーバーのカスタム証明書を割り当てることができます。目的の例として、企業で使用する既存の公開鍵インフラストラクチャ(PKI)との連携の改善、証明書フィールドのカスタム設定などがあります。管理サーバーのインストール直後、かつクイックウィザードの終了前に、証明書を置換することを推奨します。

管理サーバー証明書に 397 日を超える有効期間を指定すると、Web ブラウザーはエラーを返します。

必須条件

新規の証明書は、PKCS#12 形式(たとえば、組織の PKI を使用)で作成し、信頼する認証局(CA)で発行する必要があります。また、新規の証明書には、チェーンの全体と秘密鍵を含め、それらを拡張子 pfx または p12 のファイルに保管する必要があります。その新規の証明書は、次の表にリストされた要件を満たす必要があります。

管理サーバー証明書の要件

証明書の種別

要件

共通証明書、予備の共通証明書(「C」「CR」)

最短鍵長:2048

Basic Constraints(基本制約):

  • CA:true
  • Path Length Constraint(パス長制約):None

    Path Length Constraint の値は「None」ではなく、「1」以上の整数である場合があります。

Key Usage(鍵用途):

  • デジタル署名
  • 証明書の署名の検証
  • 鍵の暗号化
  • 証明書失効リスト(CRL)の署名の検証

Extended Key Usage(EKU:拡張鍵用途):サーバー認証、クライアント認証。EKU は任意ですが、証明書に含まれる場合、サーバーとクライアントの認証データは EKU で指定されている必要があります。

モバイルデバイス用証明書、モバイルデバイス用の予備の証明書(「M」「MR」)

最短鍵長:2048

Basic Constraints(基本制約):

  • CA:true
  • Path Length Constraint(パス長制約):None

    Path Length Constraint の値は「None」ではない場合があります(共通証明書の Path Length Constraint の値が「1」以上である場合)。

Key Usage(鍵用途):

  • デジタル署名
  • 証明書の署名の検証
  • 鍵の暗号化
  • 証明書失効リスト(CRL)の署名の検証

Extended Key Usage(EKU:拡張鍵用途):サーバー認証。EKU は任意ですが、証明書に含まれる場合、サーバーの認証データは EKU で指定されている必要があります。

自動生成されたユーザー証明書用の CA 証明書(「MCA」)

最短鍵長:2048

Basic Constraints(基本制約):

  • CA:true
  • Path Length Constraint(パス長制約):None

    Path Length Constraint の値は「None」ではない場合があります(共通証明書の Path Length Constraint の値が「1」以上である場合)。

Key Usage(鍵用途):

  • デジタル署名
  • 証明書の署名の検証
  • 鍵の暗号化
  • 証明書失効リスト(CRL)の署名の検証

Extended Key Usage(EKU:拡張鍵用途):クライアント認証。EKU は任意ですが、証明書に含まれる場合、クライアントの認証データは EKU で指定されている必要があります。

パブリック CA によって発行された証明書には、証明書署名の許可がありません。このような証明書を使用するには、ネットワークのディストリビューションポイントまたは接続ゲートウェイに、ネットワークエージェントのバージョン 13 以降がインストールされていることを確認してください。そうしないと、署名の許可なしに証明書を使用できなくなります。

実行するステップ

管理サーバー証明書の指定は段階的に進行します。

  1. 管理サーバー証明書の置換

    この目的のために、コマンドラインで klsetsrvcert ユーティリティを使用します。

  2. 新しい証明書を指定し、ネットワークエージェントの管理サーバーへの接続を復元

    証明書を置換すると、以前 SSL を介して管理サーバーに接続したすべてのネットワークエージェントの接続が切断され、「管理サーバー証明書エラー」が返されます。新しい証明書を指定して接続を復元するには、コマンドラインで klmover ユーティリティを使用します。

結果

このシナリオを終了すると、管理サーバー証明書が置換され、管理対象デバイスのネットワークエージェントでサーバーが認証されます。

関連項目:

Kaspersky Security Center の証明書について

管理サーバー証明書の概要

Kaspersky Security Center で使用されるカスタム証明書の要件

主要なインストールシナリオ

ページのトップに戻る