Acerca de los certificados de Kaspersky Security Center

Los siguientes tipos de certificados permiten que los componentes de Kaspersky Security Center interactúen en forma segura:

• Certificado del Servidor de administración
• Certificado del Servidor web
• Certificado de Kaspersky Security Center Web Console

Los certificados que se utilizan por defecto son autofirmados, es decir, son certificados emitidos por el propio Kaspersky Security Center. Si así lo exigen los requisitos de su red o los estándares de seguridad de su organización, puede reemplazarlos por certificados personalizados. Los certificados personalizados asumen el mismo alcance funcional que los autofirmados una vez que el Servidor de administración ha verificado que cumplen con todos los requisitos. La única diferencia entre las dos clases de certificados es que los personalizados no se renuevan automáticamente al caducar. Para reemplazar certificados autofirmados por certificados personalizados, deberá usar, según el tipo de certificado, la utilidad klsetsrvcert o la sección “Propiedades del Servidor de administración” de Kaspersky Security Center Web Console. Si decide usar la utilidad klsetsrvcert, utilice uno de los siguientes valores para indicar el tipo de certificado:

• C (certificado común para los puertos 13000 y 13291)
• CR (certificado común de reserva para los puertos 13000 y 13291)

El período máximo de validez para cualquiera de los certificados del Servidor de administración debe ser de 397 días o menos.

Certificados del Servidor de administración

Se requiere un certificado del Servidor de administración para los siguientes propósitos:

• Autenticación del Servidor de administración al conectarse a Kaspersky Security Center Web Console
• Interacción segura entre el Servidor de administración y el Agente de red en los dispositivos administrados
• Autenticación cuando los Servidores de administración primarios están conectados a los Servidores de administración secundarios

El certificado del Servidor de administración se crea automáticamente durante la instalación del componente Servidor de administración y se almacena en la carpeta /var/opt/kaspersky/klnagent_srv/1093/cert/. Usted especifica el certificado del Servidor de administración cuando crea un archivo de respuesta para instalar Kaspersky Security Center Web Console. El certificado del Servidor de administración se denomina certificado común ("C").

El certificado del Servidor de administración es válido por 397 días. Kaspersky Security Center genera un certificado de reserva común ("CR") en forma automática 90 días antes de que caduque el certificado común. El certificado común de reserva se instala luego, de manera transparente, como nuevo certificado del Servidor de administración. Cuando el certificado común está próximo a caducar, el certificado de reserva se utiliza para mantener la conexión con las copias del Agente de red instaladas en los dispositivos administrados. Para tal fin, el certificado común de reserva se convierte en el nuevo certificado común 24 horas antes de que caduque el original.

El período máximo de validez para cualquiera de los certificados del Servidor de administración debe ser de 397 días o menos.

De ser necesario, puede asignarle un certificado personalizado al Servidor de administración. Por ejemplo, esto puede ser necesario para una mejor integración con la PKI existente de su empresa o para la configuración personalizada de los campos del certificado. Al reemplazar el certificado, todos los Agentes de red que se conectaron anteriormente al Servidor de administración a través de SSL perderán la conexión y arrojarán el "error de autenticación del Servidor de administración". Para eliminar este error, deberá restaurar la conexión después de la sustitución del certificado.

Si el certificado del Servidor de administración se pierde, para recuperarlo, debe reinstalar el componente Servidor de administración y, luego, restaurar los datos.

Cabe destacar que el certificado del Servidor de administración se puede guardar en una copia de seguridad que no incluya ningún otro ajuste del Servidor. Esta facilidad permite mudar el Servidor de administración de un dispositivo a otro sin perder información.

Certificados para dispositivos móviles

El certificado para dispositivos móviles ("M") permite autenticar el Servidor de administración en los dispositivos móviles. El certificado móvil se especifica en las propiedades del Servidor de administración.

También existe un certificado de reserva para dispositivos móviles ("MR"). Se lo utiliza para reemplazar, de manera simple, el certificado para dispositivos móviles. Kaspersky Security Center lo genera en forma automática 60 días antes de que caduque el certificado común. Cuando el certificado para dispositivos móviles está próximo a caducar, el certificado MR se utiliza para mantener la conexión con las instancias del Agente de red instaladas en los dispositivos administrados. Para tal fin, el certificado de reserva para dispositivos móviles se convierte en el nuevo certificado para dispositivos móviles 24 horas antes de que caduque el original.

Si el escenario de conexión requiere el uso de un certificado cliente en dispositivos móviles (conexión con autenticación SSL bidireccional), puede generar esos certificados mediante la autoridad de certificación para certificados de usuario generados automáticamente ("MCA"). Además, en las propiedades del Servidor de administración, puede especificar certificados cliente personalizados emitidos por una autoridad de certificación diferente, mientras que la integración con la Infraestructura de clave pública (PKI) del dominio de su organización le permite emitir certificados cliente mediante la autoridad de certificación de su dominio.

Certificado del Servidor web

El Servidor web —uno de los componentes del Servidor de administración de Kaspersky Security Center— utiliza un tipo de certificado especial. Este certificado es necesario para publicar paquetes de instalación del Agente de red que descargue posteriormente en los dispositivos administrados. El Servidor web puede usar distintos certificados para tal fin.

El Servidor web utiliza uno de los siguientes certificados, en orden de prioridad:

1. certificado del Servidor web personalizado, elegido manualmente mediante Kaspersky Security Center Web Console
2. certificado común del Servidor de administración ("C")

Certificado de Kaspersky Security Center Web Console

El Servidor de Kaspersky Security Center Web Console (o también, en lo sucesivo, "Web Console") tiene su propio certificado. Cuando abre un sitio web, el navegador verifica si su conexión es fiable. El certificado de la consola web le permite autenticar la consola web y se utiliza para cifrar el tráfico entre el navegador y la consola web.

Cuando abre Web Console, el navegador le informa que la conexión a Web Console no es privada y que el certificado de Web Console no es válido. La advertencia se muestra porque Web Console utiliza un certificado autofirmado, generado automáticamente por Kaspersky Security Center. Para deshacerse de esta advertencia, realice una de las siguientes acciones:

• Reemplace el certificado de Web Console con uno personalizado (opción recomendada). Cree un certificado que sea de confianza en su infraestructura y que cumpla con los requisitos para certificados personalizados.
• Agregue el certificado de Web Console a la lista de certificados que el navegador considera de confianza. Recomendamos que utilice esta opción solo si no puede crear un certificado personalizado.