O Kaspersky Security Center usa os seguintes tipos de certificados para permitir uma interação segura entre os componentes do aplicativo:
Por padrão, o Kaspersky Security Center usa certificados autoassinados (ou seja, emitidos pelo próprio Kaspersky Security Center), mas você pode substituí-los por certificados personalizados para melhor atender aos requisitos da rede da sua organização e cumprir os padrões de segurança. Depois que o Servidor de Administração verifica se um certificado personalizado atende a todos os requisitos aplicáveis, este certificado assume o mesmo escopo funcional de um certificado autoassinado. A única diferença é que um certificado personalizado não é reemitido automaticamente após o término. Você substitui certificados por certificados personalizados através do utilitário klsetsrvcert ou da seção de propriedades do Servidor de Administração no Console de Administração, dependendo do tipo de certificado. Os índices dos tipos de certificado descritos abaixo são baseados nos valores possíveis do parâmetro -t certtype no utilitário klsetsrvcert:
Não é preciso baixar o utilitário klsetsrvcert. Ele está incluído no kit de distribuição do Kaspersky Security Center. Não é compatível com versões anteriores do Kaspersky Security Center.
O período de validade máximo para qualquer um dos certificados do Servidor de Administração deve ser de 397 dias ou menos.
Certificados do Servidor de Administração
Um certificado do Servidor de Administração é necessário para autenticação do Servidor de Administração, bem como para interação segura entre o Servidor de Administração e o Agente de Rede em dispositivos gerenciados ou entre o Servidor de Administração principal e Servidores de Administração secundários. Ao conectar o Console de Administração ao Servidor de Administração pela primeira vez, é solicitado que você confirme o uso do certificado do Servidor de Administração atual. Essa confirmação também é necessária toda vez que o certificado do Servidor de Administração é substituído, após cada reinstalação do Servidor de Administração e ao conectar um Servidor de Administração secundário ao Servidor de Administração principal. Este certificado é chamado comum ("C").
O certificado comum ("C") é criado automaticamente quando o componente Servidor de Administração é instalado. O certificado consiste em duas partes:
Existe ainda um certificado de reserva comum ("CR"). O Kaspersky Security Center gera automaticamente este certificado 90 dias antes do término do certificado comum. O certificado de reserva comum é subsequentemente usado para a substituição perfeita do certificado do Servidor de Administração. Quando o certificado comum está prestes a expirar, o certificado de reserva comum é usado para manter a conexão com as instâncias do Agente de Rede instaladas nos dispositivos gerenciados. Com esta finalidade, o certificado de reserva comum torna-se automaticamente o novo certificado comum 24 horas antes de o antigo certificado comum expirar.
Você também pode fazer backup do certificado do Servidor de Administração separadamente de outras configurações do Servidor de Administração para mover o Servidor de Administração de um dispositivo para outro, sem perda de dados.
Certificados móveis
Um certificado móvel ("M") é necessário para autenticação do Servidor de Administração em dispositivos móveis. Você pode configurar o uso do certificado móvel na etapa dedicada do Assistente de Início Rápido.
Além disso, existe um certificado de reserva móvel ("MR"), que é usado para a substituição perfeita do certificado móvel. Quando o certificado móvel está prestes a expirar, o certificado de reserva móvel é usado para manter a conexão com instâncias do Agente de Rede instaladas em dispositivos móveis gerenciados. Com esta finalidade, o certificado de reserva móvel torna-se automaticamente o novo certificado móvel 24 horas antes de o antigo certificado comum expirar.
A reemissão automática de certificado de dispositivos móveis não é compatível. Recomendamos especificar um novo certificado de dispositivos móveis quando o existente estiver prestes a expirar. Caso o certificado de dispositivos móveis expirar e o certificado de dispositivos móveis reserva não for especificado, a conexão entre o Servidor de Administração e as instâncias do Agente de Rede instaladas em dispositivos móveis gerenciados será perdida. Nesse caso, para reconectar dispositivos móveis gerenciados, é necessário especificar um novo certificado de dispositivos móveis e reinstalar o Kaspersky Security for Mobile em cada dispositivo móvel gerenciado.
Se o cenário de conexão exigir o uso de um certificado de cliente em dispositivos móveis (conexão envolvendo autenticação SSL bidirecional), você gera esses certificados através da autoridade de certificação para certificados de usuário gerados automaticamente ("MCA"). Além disso, o Assistente de início rápido permite que você comece a usar certificados de cliente personalizados emitidos por uma autoridade de certificação diferente, enquanto a integração com a infraestrutura de chave pública (PKI) do domínio de sua organização permite que você emita certificados de cliente por meio de sua autoridade de certificação de domínio.
Certificado do Servidor de MDM do iOS
Um certificado de servidor MDM iOS é necessário para autenticação do Servidor de Administração em dispositivos móveis executando o sistema operacional iOS. A interação com esses dispositivos é realizada por meio do protocolo de Gerenciamento de Dispositivos Móveis (MDM) da Apple que não envolve o Agente de Rede. Em vez disso, você instala um perfil MDM do iOS especial, contendo um certificado de cliente, em cada dispositivo, para garantir a autenticação SSL bidirecional.
Além disso, o Assistente de início rápido permite que você comece a usar certificados de cliente personalizados emitidos por uma autoridade de certificação diferente, enquanto a integração com a infraestrutura de chave pública (PKI) do domínio de sua organização permite que você emita certificados de cliente por meio de sua autoridade de certificação de domínio.
Os certificados do cliente são transmitidos para dispositivos iOS quando você baixa os perfis MDM do iOS. Cada certificado cliente servidor MDM do iOS é exclusivo. Você gera todos os certificados cliente do servidor MDM do iOS através da autoridade de certificação para certificados de usuário gerados automaticamente ("MCA").
Certificado do servidor da Web
Um tipo especial de certificado é usado pelo Servidor Web, um componente do Servidor de Administração do Kaspersky Security Center. Este certificado é necessário para publicar pacotes de instalação do Agente de Rede que você baixou posteriormente para dispositivos gerenciados, bem como para publicar perfis MDM do iOS, aplicativos iOS e pacotes de instalação do Kaspersky Endpoint Security for Mobile. Para isso, o Servidor Web pode usar vários certificados.
Se a compatibilidade para dispositivo móvel estiver desativada, o Servidor da Web usa um dos seguintes certificados, em ordem de prioridade:
Se a compatibilidade para dispositivo móvel estiver habilitada, o Servidor Web usa um dos seguintes certificados, em ordem de prioridade:
Certificado do Kaspersky Security Center 13 Web Console
O Servidor do Kaspersky Security Center 13 Web Console (aqui referido como Web Console) tem seu próprio certificado. Quando você abre um site, um navegador verifica se sua conexão é confiável. O certificado do Web Console permite autenticar o Web Console e é usado para criptografar o tráfego entre um navegador e o Web Console.
Quando o Web Console é aberto, o navegador pode informar que a conexão com o Web Console não é privada e o certificado do Web Console é inválido. Essa advertência aparece porque o certificado do Web Console é autoassinado e gerado automaticamente pelo Kaspersky Security Center. Para remover essa advertência, é possível fazer o seguinte: