Szenario: Angeben des benutzerdefinierten Zertifikats des Administrationsservers

Sie können das benutzerdefinierte Zertifikat des Administrationsservers beispielsweise für eine bessere Integration in die vorhandene Public-Key-Infrastruktur (PKI) Ihres Unternehmens oder für eine benutzerdefinierte Konfiguration der Zertifikatfelder angeben. Es ist zweckmäßig, das Zertifikat sofort nach der Installation des Administrationsservers vor dem Abschluss des Schnellstartassistenten zu ersetzen.

Die maximale Gültigkeitsdauer für jedes Zertifikat des Administrationsservers beträgt 397 Tage.

Erforderliche Vorrausetzungen

Dabei müssen die folgende Bedingungen erfüllt sein:

Das neue Zertifikat muss im PKCS#12-Format erstellt werden (z. B. unter Verwendung der PKI des Unternehmens).
Für das neue Zertifikat müssen die in der folgenden Tabelle aufgeführten Voraussetzungen erfüllt sein.

Beachten Sie in der folgenden Tabelle die Anforderung "CA: true", die angibt, dass das neue Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (Certification Authority – CA) ausgestellt sein muss. Das neue Zertifikat mit der Anforderung "CA: true" muss die gesamte Vertrauenskette und einen privaten Schlüssel enthalten, welcher in der Datei mit der pfx- oder p12-Erweiterung gespeichert werden muss.

Voraussetzungen für die Zertifikate des Administrationsservers

Typ des Zertifikats	Voraussetzungen
Gewöhnliches Zertifikat, gewöhnliches Reservezertifikat ("C", "CR")	Minimale Schlüssellänge: 2048 Basic constraints: Path Length Constraint: None Der Wert von Path Length Constraint kann eine von "None" abweichende Integer-Zahl sein, aber darf nicht kleiner als "1" sein. Schlüsselverwendung: Digital signature Certificate signing Verschlüsselung des Schlüssels CRL Signing Extended Key Usage (EKU): Serverauthentifizierung und Clientauthentifizierung. Die EKU ist optional, aber wenn Ihr Zertifikat diese enthält, müssen die Authentifizierungsdaten für Server und Client in der EKU angegeben werden.
Mobilgerät-Zertifikat, Mobilgerät-Reservezertifikat ("M", "MR")	Minimale Schlüssellänge: 2048 Basic constraints: CA: true Path Length Constraint: None Der Wert von Path Length Constraint kann eine von "None" abweichende Integer-Zahl sein, wenn der Wert von Path Length Constraint des Common Certificates nicht kleiner als "1" ist. Schlüsselverwendung: Digital signature Certificate signing Verschlüsselung des Schlüssels CRL Signing Extended Key Usage (EKU): Serverauthentifizierung. Die EKU ist optional, aber wenn Ihr Zertifikat diese enthält, müssen die Authentifizierungsdaten des Servers in der EKU angegeben werden.
CA-Zertifikat für automatisch generierte Benutzerzertifikate ("MCA")	Minimale Schlüssellänge: 2048 Basic constraints: CA: true Path Length Constraint: None Der Wert von Path Length Constraint kann eine von "None" abweichende Integer-Zahl sein, wenn der Wert von Path Length Constraint des Common Certificates nicht kleiner als "1" ist. Schlüsselverwendung: Digital signature Certificate signing Verschlüsselung des Schlüssels CRL Signing Extended Key Usage (EKU): Clientauthentifizierung. Die EKU ist optional, aber wenn Ihr Zertifikat diese enthält, müssen die Authentifizierungsdaten des Clients in der EKU angegeben werden.

Typ des Zertifikats

Voraussetzungen

Gewöhnliches Zertifikat, gewöhnliches Reservezertifikat ("C", "CR")

Minimale Schlüssellänge: 2048

Basic constraints:

Path Length Constraint: None
Der Wert von Path Length Constraint kann eine von "None" abweichende Integer-Zahl sein, aber darf nicht kleiner als "1" sein.

Schlüsselverwendung:

Digital signature
Certificate signing
Verschlüsselung des Schlüssels
CRL Signing

Extended Key Usage (EKU): Serverauthentifizierung und Clientauthentifizierung. Die EKU ist optional, aber wenn Ihr Zertifikat diese enthält, müssen die Authentifizierungsdaten für Server und Client in der EKU angegeben werden.

Mobilgerät-Zertifikat, Mobilgerät-Reservezertifikat ("M", "MR")

Minimale Schlüssellänge: 2048

Basic constraints:

CA: true
Path Length Constraint: None
Der Wert von Path Length Constraint kann eine von "None" abweichende Integer-Zahl sein, wenn der Wert von Path Length Constraint des Common Certificates nicht kleiner als "1" ist.

Schlüsselverwendung:

Digital signature
Certificate signing
Verschlüsselung des Schlüssels
CRL Signing

Extended Key Usage (EKU): Serverauthentifizierung. Die EKU ist optional, aber wenn Ihr Zertifikat diese enthält, müssen die Authentifizierungsdaten des Servers in der EKU angegeben werden.

CA-Zertifikat für automatisch generierte Benutzerzertifikate ("MCA")

Minimale Schlüssellänge: 2048

Basic constraints:

CA: true
Path Length Constraint: None
Der Wert von Path Length Constraint kann eine von "None" abweichende Integer-Zahl sein, wenn der Wert von Path Length Constraint des Common Certificates nicht kleiner als "1" ist.

Schlüsselverwendung:

Digital signature
Certificate signing
Verschlüsselung des Schlüssels
CRL Signing

Extended Key Usage (EKU): Clientauthentifizierung. Die EKU ist optional, aber wenn Ihr Zertifikat diese enthält, müssen die Authentifizierungsdaten des Clients in der EKU angegeben werden.

Von einer öffentlichen Zertifizierungsstelle ausgestellte Zertifikate verfügen nicht über die Berechtigung zum Signieren von Zertifikaten. Um solche Zertifikate zu verwenden, stellen Sie sicher, dass Sie den Administrationsagenten ab Version 13 auf den Verteilungspunkten oder Verbindungsgateways in Ihrem Netzwerk installiert haben. Andernfalls können Sie Zertifikate ohne die Berechtigung zum Signieren nicht verwenden.

Schritte

Das Angeben des Zertifikats des Administrationsservers erfolgt schrittweise:

Ersetzen des Zertifikat des Administrationsservers
Verwenden Sie dafür das Befehlszeilendienstprogramm klsetsrvcert.
Angeben eines neuen Zertifikats und Wiederherstellen der Verbindung der Administrationsagenten zum Administrationsserver
Wenn das Zertifikat ersetzt wird, verlieren alle Administrationsagenten, die zuvor mittels SSL mit Administrationsserver verbunden waren, die Verbindung zum Server und geben den Fehler "Fehler bei der Authentifizierung des Administrationsservers" zurück. Verwenden Sie das Befehlszeilendienstprogramm klmover, um das neue Zertifikat zu spezifizieren und die Verbindung wiederherzustellen.
Angeben eines neuen Zertifikats in den Einstellungen der Kaspersky Security Center Web Console
Nachdem Sie das Zertifikat ersetzt haben, müssen Sie es in den Einstellungen der Kaspersky Security Center Web Console angeben. Andernfalls kann die Kaspersky Security Center Web Console keine Verbindung zum Administrationsserver herstellen.

Ergebnisse

Wenn Sie das Szenario abgeschlossen haben, wurde das Zertifikat des Administrationsservers ersetzt und der Server wurde durch Administrationsagenten auf den Client-Geräten authentifiziert.

Siehe auch:

Über die Zertifikate von Kaspersky Security Center

Über das Zertifikat des Administrationsservers

Anforderungen an benutzerdefinierte Zertifikate für deren Verwendung in Kaspersky Security Center

Hauptinstallationsszenario

Nach oben