Scenariusz: Określanie niestandardowego certyfikatu Serwera administracyjnego
Możesz przypisać niestandardowy certyfikat Serwera administracyjnego, na przykład, w celu lepszej integracji z istniejącą infrastrukturą kluczy publicznych (PKI) przedsiębiorstwa lub w celu niestandardowej konfiguracji pól certyfikatu. Dobrym rozwiązaniem jest zastąpienie certyfikatu natychmiast po zainstalowaniu Serwera administracyjnego, a przed zakończeniem działania kreatora wstępnej konfiguracji.
Maksymalny okres ważności dowolnego certyfikatu Serwera administracyjnego nie może przekraczać 397 dni.
Wymagania wstępne
Nowy certyfikat musi być utworzony w formacie PKCS#12 (na przykład, za pomocą PKI organizacji) i musi być wystawiony przez zaufany urząd certyfikacji (CA). Ponadto nowy certyfikat musi zawierać cały łańcuch zaufania oraz klucz prywatny, który musi być przechowywany w pliku z rozszerzeniem pfx lub p12. W przypadku nowego certyfikatu należy spełnić wymagania wymienione w poniższej tabeli.
Wymagania dotyczące certyfikatów Serwera administracyjnego
| Typ certyfikatu | Wymagania |
|---|---|
| Certyfikat standardowy, standardowy certyfikat zapasowy („C”, „CR”) | Minimalna długość klucza: 2048. Podstawowe ograniczenia:
Użycie klucza:
Rozszerzone użycie klucza (EKU): uwierzytelnianie serwera i uwierzytelnianie klienta. Jednostka EKU jest opcjonalna, ale jeśli zawiera ją certyfikat, dane uwierzytelniania serwera i klienta muszą być określone w jednostce EKU. |
| Certyfikat mobilny, zapasowy certyfikat mobilny („M”, „MR”) | Minimalna długość klucza: 2048. Podstawowe ograniczenia:
Użycie klucza:
Rozszerzone użycie klucza (EKU): uwierzytelnianie serwera. Jednostka EKU jest opcjonalna, ale jeśli zawiera ją certyfikat, dane uwierzytelniania serwera muszą być określone w jednostce EKU. |
| Certyfikat Urzędu certyfikacji (CA) dla automatycznie generowanych certyfikatów użytkowników („MCA”) | Minimalna długość klucza: 2048. Podstawowe ograniczenia:
Użycie klucza:
Rozszerzone użycie klucza (EKU): uwierzytelnianie klienta. Jednostka EKU jest opcjonalna, ale jeśli zawiera ją certyfikat, dane uwierzytelniania klienta muszą być określone w jednostce EKU. |
Certyfikaty wystawione przez publiczny urząd certyfikacji nie mają uprawnień do podpisywania certyfikatów. Aby korzystać z takich certyfikatów, upewnij się, że zainstalowałeś Agenta sieciowego w wersji 13 lub nowszej w punktach dystrybucji lub bramach połączeń w swojej sieci. W przeciwnym razie nie będziesz mógł korzystać z certyfikatów bez pozwolenia na podpisywanie.
Etapy
Określanie certyfikatu Serwera administracyjnego odbywa się w etapach:
- Zastępowanie certyfikatu Serwera administracyjnego
W tym celu użyj polecenia narzędzie klsetsrvcert.
- Określanie nowego certyfikatu i przywracanie połączenia Agentów sieciowych z Serwerem administracyjnym
Podczas zamiany certyfikatu, wszystkie Agenty sieciowe, które wcześniej były połączone z Serwerem administracyjnym za pomocą protokołu SSL, utracą połączenie i zwrócą „Błąd autoryzacji Serwera administracyjnego”. Aby określić nowy certyfikat i przywrócić połączenie, użyj polecenia narzędzia klmover.
- Określenie nowego certyfikatu w ustawieniach Kaspersky Security Center Web Console
Po wymianie certyfikatu określ go w ustawieniach Kaspersky Security Center Web Console. W przeciwnym razie Kaspersky Security Center Web Console nie będzie mógł nawiązać połączenia z Serwerem administracyjnym.
Wyniki
Po zakończeniu scenariusza, certyfikat Serwera administracyjnego jest zastępowany i serwer zostaje uwierzytelniony przez Agentów sieciowych na zarządzanych urządzeniach.