Scenariusz: Określanie niestandardowego certyfikatu Serwera administracyjnego

15 lutego 2024

ID 155201

Możesz przypisać niestandardowy certyfikat Serwera administracyjnego, na przykład, w celu lepszej integracji z istniejącą infrastrukturą kluczy publicznych (PKI) przedsiębiorstwa lub w celu niestandardowej konfiguracji pól certyfikatu. Dobrym rozwiązaniem jest zastąpienie certyfikatu natychmiast po zainstalowaniu Serwera administracyjnego, a przed zakończeniem działania kreatora wstępnej konfiguracji.

Maksymalny okres ważności dowolnego certyfikatu Serwera administracyjnego nie może przekraczać 397 dni.

Wymagania wstępne

Nowy certyfikat musi być utworzony w formacie PKCS#12 (na przykład, za pomocą PKI organizacji) i musi być wystawiony przez zaufany urząd certyfikacji (CA). Ponadto nowy certyfikat musi zawierać cały łańcuch zaufania oraz klucz prywatny, który musi być przechowywany w pliku z rozszerzeniem pfx lub p12. W przypadku nowego certyfikatu należy spełnić wymagania wymienione w poniższej tabeli.

Wymagania dotyczące certyfikatów Serwera administracyjnego

Typ certyfikatu

Wymagania

Certyfikat standardowy, standardowy certyfikat zapasowy („C”, „CR”)

Minimalna długość klucza: 2048.

Podstawowe ograniczenia:

  • Urząd certyfikacji (CA): prawda
  • Ograniczenie długości ścieżki: brak

    Wartość ograniczenia długości ścieżki może być całkowicie inna niż „Brak”, ale nie mniejsza niż „1”.

Użycie klucza:

  • Podpis cyfrowy
  • Podpisywanie certyfikatów
  • Szyfrowanie klucza
  • Podpisywanie CRL

Rozszerzone użycie klucza (EKU): uwierzytelnianie serwera i uwierzytelnianie klienta. Jednostka EKU jest opcjonalna, ale jeśli zawiera ją certyfikat, dane uwierzytelniania serwera i klienta muszą być określone w jednostce EKU.

Certyfikat mobilny, zapasowy certyfikat mobilny („M”, „MR”)

Minimalna długość klucza: 2048.

Podstawowe ograniczenia:

  • Urząd certyfikacji (CA): prawda
  • Ograniczenie długości ścieżki: brak

    Wartość ograniczenia długości ścieżki może być całkowicie inna niż „Brak”, jeśli standardowy certyfikat ma wartość ograniczenia długości ścieżki nie mniejszą niż 1.

Użycie klucza:

  • Podpis cyfrowy
  • Podpisywanie certyfikatów
  • Szyfrowanie klucza
  • Podpisywanie CRL

Rozszerzone użycie klucza (EKU): uwierzytelnianie serwera. Jednostka EKU jest opcjonalna, ale jeśli zawiera ją certyfikat, dane uwierzytelniania serwera muszą być określone w jednostce EKU.

Certyfikat Urzędu certyfikacji (CA) dla automatycznie generowanych certyfikatów użytkowników („MCA”)

Minimalna długość klucza: 2048.

Podstawowe ograniczenia:

  • Urząd certyfikacji (CA): prawda
  • Ograniczenie długości ścieżki: brak

    Wartość ograniczenia długości ścieżki może być całkowicie inna niż „Brak”, jeśli Standardowy certyfikat ma wartość ograniczenia długości ścieżki nie mniejszą niż 1.

Użycie klucza:

  • Podpis cyfrowy
  • Podpisywanie certyfikatów
  • Szyfrowanie klucza
  • Podpisywanie CRL

Rozszerzone użycie klucza (EKU): uwierzytelnianie klienta. Jednostka EKU jest opcjonalna, ale jeśli zawiera ją certyfikat, dane uwierzytelniania klienta muszą być określone w jednostce EKU.

Certyfikaty wystawione przez publiczny urząd certyfikacji nie mają uprawnień do podpisywania certyfikatów. Aby korzystać z takich certyfikatów, upewnij się, że zainstalowałeś Agenta sieciowego w wersji 13 lub nowszej w punktach dystrybucji lub bramach połączeń w swojej sieci. W przeciwnym razie nie będziesz mógł korzystać z certyfikatów bez pozwolenia na podpisywanie.

Etapy

Określanie certyfikatu Serwera administracyjnego odbywa się w etapach:

  1. Zastępowanie certyfikatu Serwera administracyjnego

    W tym celu użyj polecenia narzędzie klsetsrvcert.

  2. Określanie nowego certyfikatu i przywracanie połączenia Agentów sieciowych z Serwerem administracyjnym

    Podczas zamiany certyfikatu, wszystkie Agenty sieciowe, które wcześniej były połączone z Serwerem administracyjnym za pomocą protokołu SSL, utracą połączenie i zwrócą „Błąd autoryzacji Serwera administracyjnego”. Aby określić nowy certyfikat i przywrócić połączenie, użyj polecenia narzędzia klmover.

  3. Określenie nowego certyfikatu w ustawieniach Kaspersky Security Center Web Console

    Po wymianie certyfikatu określ go w ustawieniach Kaspersky Security Center Web Console. W przeciwnym razie Kaspersky Security Center Web Console nie będzie mógł nawiązać połączenia z Serwerem administracyjnym.

Wyniki

Po zakończeniu scenariusza, certyfikat Serwera administracyjnego jest zastępowany i serwer zostaje uwierzytelniony przez Agentów sieciowych na zarządzanych urządzeniach.

Zobacz również:

Informacje o certyfikatach Kaspersky Security Center

Informacje o certyfikacie Serwera administracyjnego

Wymagania dotyczące niestandardowych certyfikatów stosowanych w Kaspersky Security Center

Główny scenariusz instalacji

Czy ten artykuł był pomocny?
Co możemy zrobić lepiej?
Dziękujemy za opinię! Dzięki niej możemy stawać się lepsi.
Dziękujemy za opinię! Dzięki niej możemy stawać się lepsi.