Informacje o certyfikatach Kaspersky Security Center

Kaspersky Security Center używa następujących typów certyfikatów w celu włączenia interakcji między składnikami aplikacji:

• Certyfikatu Serwera administracyjnego
• Certyfikat serwera sieciowego
• Certyfikat Kaspersky Security Center Web Console

Domyślnie, Kaspersky Security Center używa certyfikatów z podpisem własnym (czyli takich, które zostały opublikowane przez sam program Kaspersky Security Center), ale możesz zastąpić je z certyfikatami niestandardowymi, aby lepiej spełniały wymagania sieci w Twojej organizacji i były zgodne ze standardami bezpieczeństwa. Po zweryfikowaniu przez Serwer administracyjny, czy certyfikat niestandardowy spełnia wszystkie odpowiednie wymagania, ten certyfikat obejmuje ten sam obszar funkcyjny jak certyfikat z podpisem własnym. Jedyna różnica to taka, że certyfikat niestandardowy nie jest ponownie publikowany automatycznie po wygaśnięciu. Możesz zastąpić certyfikaty certyfikatami niestandardowymi przy użyciu narzędzia klsetsrvcert lub poprzez sekcję Właściwości Serwera administracyjnego w Kaspersky Security Center Web Console, w zależności od typu certyfikatu. Podczas korzystania z narzędzia klsetsrvcert należy określić typ certyfikatu przy użyciu jednej z następujących wartości:

• C – typowy certyfikat dla portów 13000 i 13291
• CR – typowy rezerwowy certyfikat dla portów 13000 i 13291

Maksymalny okres ważności dowolnego certyfikatu Serwera administracyjnego nie może przekraczać 397 dni.

Certyfikaty Serwera administracyjnego

Certyfikat Serwera administracyjnego jest wymagany do następujących celów:

• Uwierzytelnianie Serwera administracyjnego podczas łączenia się z Kaspersky Security Center Web Console
• Bezpieczna interakcja pomiędzy Serwerem administracyjnym a Agentem sieciowym na zarządzanych urządzeniach
• Uwierzytelnianie, gdy główne Serwery administracyjne są połączone z dodatkowymi Serwerami administracyjnymi

Certyfikat Serwera administracyjnego jest tworzony automatycznie w trakcie instalacji modułu Serwera administracyjnego i jest przechowywany w folderze /var/opt/kaspersky/klnagent_srv/1093/cert/. Certyfikat Serwera administracyjnego określasz podczas tworzenia pliku odpowiedzi w celu zainstalowania Kaspersky Security Center Web Console. Ten certyfikat jest nazywany standardowym („C”).

Certyfikat Serwera administracyjnego jest ważny przez 397 dni. Kaspersky Security Center automatycznie generuje wspólny certyfikat rezerwowy („CR”) 90 dni przed wygaśnięciem certyfikatu wspólnego. Wspólny certyfikat rezerwowy jest dalej używany dla bezproblemowego zastąpienia certyfikat Serwera administracyjnego. Jeśli certyfikat standardowy wkrótce wygaśnie, wspólny certyfikat rezerwowy jest używany do zachowania połączenia z instancjami Agenta sieciowego, zainstalowanymi na zarządzanych urządzeniach. Wspólny certyfikat rezerwowy automatycznie staje się nowym certyfikatem standardowym na 24 godziny przed wygaśnięciem starego certyfikatu standardowego.

Maksymalny okres ważności dowolnego certyfikatu Serwera administracyjnego nie może przekraczać 397 dni.

Jeśli to konieczne, możesz przypisać certyfikat innej firmy dla Serwera administracyjnego. Na przykład, to może być konieczne w celu zapewnienia lepszej integracji z istniejącą PKI Twojej firmy lub w celu przeprowadzenia konfiguracji niestandardowej pól certyfikatu. Podczas zamiany certyfikatu, wszystkie Agenty sieciowe, które wcześniej były połączone z Serwerem administracyjnym za pomocą protokołu SSL, utracą połączenie i zwrócą "Błąd autoryzacji Serwera administracyjnego". Aby wyeliminować ten błąd, będziesz musiał przywrócić połączenie po zastąpieniu certyfikatu.

Jeśli certyfikat Serwera administracyjnego zostanie utracony, aby go odzyskać, musisz ponownie zainstalować moduł Serwera administracyjnego, a następnie przywrócić dane.

Możesz utworzyć kopię zapasową certyfikatu Serwera administracyjnego oddzielnie od innych ustawień Serwera administracyjnego w celu usunięcia Serwera administracyjnego z jednego urządzenia na inne bez utraty danych.

Certyfikaty mobilne

Certyfikat mobilny („M”) jest wymagany do autoryzacji Serwera administracyjnego na urządzeniu mobilnym. Certyfikat mobilny należy wskazać we właściwościach Serwera administracyjnego.

Poza tym, dostępny jest zapasowy certyfikat mobilny („MR”): jest on używany dla bezproblemowego zastąpienia certyfikatu mobilnego. Kaspersky Security Center automatycznie generuje ten certyfikat na 60 dni przed wygaśnięciem certyfikatu standardowego. Jeśli certyfikat mobilny wkrótce wygaśnie, zapasowy certyfikat mobilny jest używany do zachowania połączenia z instancjami Agenta sieciowego, zainstalowanymi na zarządzanych urządzeniach mobilnych. Zapasowy certyfikat mobilny automatycznie staje się nowym certyfikatem standardowym na 24 godziny przed wygaśnięciem starego certyfikatu mobilnego.

Jeśli scenariusz połączenia wymaga użycia certyfikatu klienckiego na urządzeniach mobilnych (połączenie obejmujące dwuetapową autoryzację SSL), możesz wygenerować te certyfikaty przy użyciu urzędu certyfikacji dla automatycznie wygenerowanych certyfikatów używanych („MCA”). Poza tym we właściwościach Serwera administracyjnego można wskazać niestandardowe certyfikaty klienckie opublikowane przez inny urząd certyfikacji, podczas gdy integracja z domeną infrastruktury kluczy publicznych (PKI) Twojej organizacji włącza publikację certyfikatów klienckich przy użyciu urzędu certyfikacji domeny.

Certyfikat serwera sieciowego

Specjalny typ certyfikatu jest używany przez serwer sieciowy, komponent Serwer administracyjny Kaspersky Security Center. Ten certyfikat jest wymagany do publikowania pakietów instalacyjnych Agenta sieciowego, które są następnie pobierane na zarządzane urządzenia. W tym celu serwer sieciowy może użyć różnych certyfikatów.

Serwer sieci Web używa jednego z następujących certyfikatów, w kolejności priorytetu:

1. Niestandardowy certyfikat serwera sieciowego, który określono ręcznie za pomocą Kaspersky Security Center Web Console
2. Niestandardowy certyfikat Serwera administracyjnego („C”)

Certyfikat Kaspersky Security Center Web Console

Serwer Kaspersky Security Center Web Console (zwany dalej Web Console) posiada własny certyfikat. Po otwarciu witryny przeglądarka sprawdza, czy połączenie jest zaufane. Certyfikat Web Console umożliwia uwierzytelnianie Web Console i jest używany do szyfrowania ruchu między przeglądarką a Web Console.

Po otworzeniu Web Console przeglądarka informuje użytkownika, że połączenie z Web Console nie jest prywatne oraz że certyfikat Web Console jest nieprawidłowy. Takie ostrzeżenie pojawia się, ponieważ certyfikat Web Console jest certyfikatem z podpisem własnym i jest automatycznie generowany przez Kaspersky Security Center. Aby usunąć to ostrzeżenie, możesz wykonać jedną z następujących czynności:

• Zastąp certyfikat Web Console certyfikatem niestandardowym (opcja zalecana). Utwórz certyfikat, który jest zaufany w Twojej infrastrukturze i spełnia wymagania certyfikatów niestandardowych.
• Dodaj certyfikat Web Console do listy zaufanych certyfikatów przeglądarki. Zalecamy korzystanie z tej opcji tylko wtedy, gdy nie można utworzyć certyfikatu niestandardowego.