Informacje o certyfikatach Kaspersky Security Center

19 marca 2024

ID 206479

Kaspersky Security Center używa następujących typów certyfikatów w celu włączenia interakcji między składnikami aplikacji:

  • Certyfikatu Serwera administracyjnego
  • Certyfikat mobilny
  • Certyfikat serwera iOS MDM
  • Certyfikat Kaspersky Security Center Web Server
  • Certyfikat Kaspersky Security Center Web Console

Domyślnie, Kaspersky Security Center używa certyfikatów z podpisem własnym (czyli takich, które zostały opublikowane przez sam program Kaspersky Security Center), ale możesz zastąpić je z certyfikatami niestandardowymi, aby lepiej spełniały wymagania sieci w Twojej organizacji i były zgodne ze standardami bezpieczeństwa. Po zweryfikowaniu przez Serwer administracyjny, czy certyfikat niestandardowy spełnia wszystkie odpowiednie wymagania, ten certyfikat obejmuje ten sam obszar funkcyjny jak certyfikat z podpisem własnym. Jedyna różnica to taka, że certyfikat niestandardowy nie jest ponownie publikowany automatycznie po wygaśnięciu. Możesz zastąpić certyfikaty certyfikatami niestandardowymi przy użyciu narzędzia klsetsrvcert lub poprzez sekcję Właściwości Serwera administracyjnego w Konsoli administracyjnej, w zależności od typu certyfikatu. Podczas korzystania z narzędzia klsetsrvcert należy określić typ certyfikatu przy użyciu jednej z następujących wartości:

  • C – typowy certyfikat dla portów 13000 i 13291
  • CR – typowy rezerwowy certyfikat dla portów 13000 i 13291
  • M – certyfikat mobilny dla portu 13292
  • MR – rezerwowy certyfikat mobilny dla portu 13292
  • MCA – mobilny urząd certyfikacji dla automatycznie wygenerowanych certyfikatów użytkowników

Nie ma konieczności pobierania narzędzia klsetsrvcert. To narzędzie znajduje się w pakiecie dystrybucyjnym Kaspersky Security Center. Narzędzie nie jest kompatybilne z poprzednimi wersjami Kaspersky Security Center.

Maksymalny okres ważności dowolnego certyfikatu Serwera administracyjnego nie może przekraczać 397 dni.

Certyfikaty Serwera administracyjnego

Certyfikat Serwera administracyjnego jest wymagany do autoryzacji Serwera administracyjnego, a także do bezpiecznej interakcji między Serwerem administracyjnym a Agentem sieciowym na zarządzanych urządzeniach lub między głównym Serwerem administracyjnym a podrzędnymi Serwerami administracyjnymi. Po podłączeniu Konsoli administracyjnej do Serwera administracyjnego po raz pierwszy, zostanie wyświetlony komunikat z potwierdzeniem użycia bieżącego certyfikatu Serwera administracyjnego. Takie potwierdzenie jest również wymagane za każdym razem, gdy certyfikat Serwera administracyjnego zostanie wymieniony, po każdej ponownej instalacji Serwera administracyjnego, a także podczas podłączania podrzędnego Serwera administracyjnego do głównego Serwera administracyjnego. Ten certyfikat jest nazywany standardowym („C”).

Wspólny certyfikat („C”) jest tworzony automatycznie podczas instalacji komponentu Serwer administracyjny. Certyfikat składa się z dwóch części:

  • pliku klserver.cer; domyślnie znajduje się na komputerze, na którym zainstalowany jest komponent Serwer administracyjny, w folderze C:\ProgramData\KasperskyLab\adminkit\1093\cert.
  • Tajny klucz znajdujący się w magazynie chronionym systemu Windows.

Oprócz tego istnieje wspólny certyfikat rezerwowy („CR”). Kaspersky Security Center automatycznie generuje ten certyfikat na 90 dni przed wygaśnięciem certyfikatu standardowego. Wspólny certyfikat rezerwowy jest dalej używany dla bezproblemowego zastąpienia certyfikat Serwera administracyjnego. Jeśli certyfikat standardowy wkrótce wygaśnie, wspólny certyfikat rezerwowy jest używany do zachowania połączenia z instancjami Agenta sieciowego, zainstalowanymi na zarządzanych urządzeniach. Wspólny certyfikat rezerwowy automatycznie staje się nowym certyfikatem standardowym na 24 godziny przed wygaśnięciem starego certyfikatu standardowego.

Możesz utworzyć kopię zapasową certyfikatu Serwera administracyjnego oddzielnie od innych ustawień Serwera administracyjnego w celu usunięcia Serwera administracyjnego z jednego urządzenia na inne bez utraty danych.

Certyfikaty mobilne

Certyfikat mobilny („M”) jest wymagany do autoryzacji Serwera administracyjnego na urządzeniu mobilnym. Możesz skonfigurować użycie certyfikatu mobilnego w dedykowanym kroku Kreator wstępnej konfiguracji.

Poza tym, dostępny jest zapasowy certyfikat mobilny („MR”): jest on używany dla bezproblemowego zastąpienia certyfikatu mobilnego. Jeśli certyfikat mobilny wkrótce wygaśnie, zapasowy certyfikat mobilny jest używany do zachowania połączenia z instancjami Agenta sieciowego, zainstalowanymi na zarządzanych urządzeniach mobilnych. Zapasowy certyfikat mobilny automatycznie staje się nowym certyfikatem standardowym na 24 godziny przed wygaśnięciem starego certyfikatu mobilnego.

Automatyczne ponowne wydawanie certyfikatów mobilnych nie jest obsługiwane. Zalecamy zdefiniowanie nowego certyfikatu mobilnego, gdy aktualnie obowiązujący certyfikat ma wkrótce wygasnąć. Jeśli certyfikat mobilny wygaśnie, a rezerwowy certyfikat mobilny nie zostanie zdefiniowany, połączenie pomiędzy Serwerem administracyjnym a zainstalowanymi na zarządzanych urządzeniach mobilnych instancjami Agenta sieciowego zostanie utracone. W takim przypadku, aby ponownie podłączyć zarządzane urządzenia mobilne, trzeba będzie wskazać nowy certyfikat mobilny oraz ponownie zainstalować Kaspersky Security for Mobile na każdym zarządzanym urządzeniu mobilnym.

Jeśli scenariusz połączenia wymaga użycia certyfikatu klienckiego na urządzeniach mobilnych (połączenie obejmujące dwuetapową autoryzację SSL), wygenerujesz te certyfikaty przy użyciu urzędu certyfikacji dla automatycznie wygenerowanych certyfikatów używanych („MCA”). Poza tym Kreator wstępnej konfiguracji włącza uruchamianie niestandardowych certyfikatów klienckich opublikowanych przez inny urząd certyfikacji, podczas integracji z domeną infrastrukturą kluczy publicznych (PKI) Twojej organizacji włącza publikację certyfikatów klienckich przy użyciu urzędu certyfikacji domeny.

Certyfikat serwera iOS MDM

Certyfikat serwera iOS MDM jest wymagany do autoryzacji Serwera administracyjnego na urządzeniach mobilnych działających pod kontrolą systemu operacyjnego iOS. Interakcja z tymi urządzeniami odbywa się za pośrednictwem protokołu Apple mobile device management (MDM), który nie obejmuje Agenta sieciowego. Zamiast tego instalujesz specjalnego profilu iOS MDM, zawierający certyfikat kliencki, na każdym urządzeniu, aby zapewnić dwuetapową autoryzację SSL.

Poza tym Kreator wstępnej konfiguracji włącza uruchamianie niestandardowych certyfikatów klienckich opublikowanych przez inny urząd certyfikacji, podczas integracji z domeną infrastrukturą kluczy publicznych (PKI) Twojej organizacji włącza publikację certyfikatów klienckich przy użyciu urzędu certyfikacji domeny.

Certyfikaty klienckie są transmitowane na urządzenia iOS, gdy pobierzesz ten profil iOS MDM. Certyfikat klienta iOS MDM Server jest unikalny w przypadku każdego zarządzanego urządzenia z systemem iOS. Wygenerujesz wszystkie certyfikaty klienckie serwera iOS MDM przy użyciu urzędu certyfikacji dla automatycznie wygenerowanych certyfikatów użytkownika („MCA”).

Certyfikat Kaspersky Security Center Web Server

Kaspersky Security Center Web Server (zwany dalej serwerem sieciowym), składnik serwera administracyjnego Kaspersky Security Center, wykorzystuje specjalny typ certyfikatu. Ten certyfikat jest wymagany do publikowania pakietów instalacyjnych Agenta sieciowego, które są następnie pobierane na zarządzane urządzenia, a także do publikowania profili iOS MDM, aplikacji iOS i pakietów instalacyjnych Kaspersky Security for Mobile. W tym celu serwer sieciowy może użyć różnych certyfikatów.

Jeśli obsługa urządzenia mobilnego jest wyłączona, serwer sieciowy używa jednego z następujących certyfikatów w kolejności priorytetów:

  1. Niestandardowy certyfikat serwer sieciowy, który określiłeś ręcznie przy użyciu Konsoli administracyjnej
  2. Niestandardowy certyfikat Serwera administracyjnego („C”)

Jeśli obsługa urządzenia mobilnego jest włączona, serwer sieciowy używa jednego z następujących certyfikatów w kolejności priorytetów:

  1. Niestandardowy certyfikat serwer sieciowy, który określiłeś ręcznie przy użyciu Konsoli administracyjnej
  2. Niestandardowy certyfikat mobilny
  3. Certyfikat mobilny z podpisem własnym („M”)
  4. Niestandardowy certyfikat Serwera administracyjnego („C”)

Certyfikat Kaspersky Security Center Web Console

Serwer Kaspersky Security Center Web Console (zwany dalej Web Console) posiada własny certyfikat. Po otwarciu witryny przeglądarka sprawdza, czy połączenie jest zaufane. Certyfikat Web Console umożliwia uwierzytelnianie Web Console i jest używany do szyfrowania ruchu między przeglądarką a Web Console.

Po otworzeniu Web Console przeglądarka informuje użytkownika, że połączenie z Web Console nie jest prywatne oraz że certyfikat Web Console jest nieprawidłowy. Takie ostrzeżenie pojawia się, ponieważ certyfikat Web Console jest certyfikatem z podpisem własnym i jest automatycznie generowany przez Kaspersky Security Center. Aby usunąć to ostrzeżenie, możesz wykonać jedną z następujących czynności:

  • Zastąp certyfikat Web Console certyfikatem niestandardowym (opcja zalecana). Utwórz certyfikat, który jest zaufany w Twojej infrastrukturze i spełnia wymagania certyfikatów niestandardowych.
  • Dodaj certyfikat Web Console do listy zaufanych certyfikatów przeglądarki. Zalecamy korzystanie z tej opcji tylko wtedy, gdy nie można utworzyć certyfikatu niestandardowego.

Zobacz również:

Wymagania dotyczące niestandardowych certyfikatów stosowanych w Kaspersky Security Center

Scenariusz: Określanie niestandardowego certyfikatu Serwera administracyjnego

Główny scenariusz instalacji

Autoryzacja Serwera administracyjnego podczas podłączania Konsoli administracyjnej

Hierarchia Serwerów administracyjnych: główny Serwer administracyjny i podrzędny Serwer administracyjny

Tworzenie kopii zapasowej i przywracanie danych w trybie interaktywnym

Praca z certyfikatami urządzeń mobilnych

Kreator wstępnej konfiguracji Serwera administracyjnego

Dodawanie urządzeń mobilnych iOS do listy zarządzanych urządzeń

Podpisywanie profilu iOS MDM za pomocą certyfikatu

Serwer sieciowy

Czy ten artykuł był pomocny?
Co możemy zrobić lepiej?
Dziękujemy za opinię! Dzięki niej możemy stawać się lepsi.
Dziękujemy za opinię! Dzięki niej możemy stawać się lepsi.