卡巴斯基安全管理中心 14

使用 klsetsrvcert 公用程式替換管理伺服器憑證

2024年1月26日

ID 227838

要取代管理伺服器憑證:

在命令列下,執行以下公用程式:

klsetsrvcert [-t <type> {-i <inputfile> [-p <password>] [-o <chkopt>] | -g <dnsname>}][-f <time>][-r <calistfile>][-l <logfile>]

您無需下載 klsetsrvcert 公用程式。它包含在卡巴斯基安全管理中心分發套件中。它與以前的卡巴斯基安全管理中心版本不相容。

下表列出了 klsetsrvcert 公用程式參數的說明。

klsetsrvcert 實用工具參數值

參數

參數值

-t <type>

要取代的憑證類型。<type> 參數的可能值:

  • C – 取代連接埠 13000 和 13291 的普通憑證。
  • CR – 取代連接埠 13000 和 13291 的普通預留憑證。
  • M – 在連接埠 13292 取代行動裝置憑證。
  • MR – 取代連接埠 13292 的行動預留憑證。
  • MCA – 適用於自動產生使用者憑證的行動憑證授權機構。

-f <time>

變更憑證的時間排程,使用格式「DD-MM-YYYY hh:mm」(適用於連接埠 13000 和 13291)。

如果要在到期前取代普通或普通儲備憑證,請使用此參數。

指定受管理裝置必須與新憑證上的管理伺服器同步的時間。

-i <輸入檔案>

帶有 PKCS#12 格式憑證和私密金鑰的容器(帶有副檔名 .p12 或 .pfx 的檔案)。

-p <密碼>

用於防護 p12 容器的密碼。

憑證和私密金鑰儲存在容器中,因此需要密碼才能使用容器解密檔案。

-o <chkopt>

憑證驗證參數(以冒號區隔)。

要在沒有簽名權限的情況下使用自訂憑證,請在 klsetsrvcert 公用程式中指定 -o NoCA。這對於公共 CA 頒發的憑證很有用。

-g <DNS 名稱>

新憑證將為指定 DNS 名稱建立。

-r <calistfile>

信任的根憑證授權機構清單,格式 PEM。

-l <記錄檔案>

結果輸入檔案。預設下,輸出被重新定向到標準輸出流。

例如,要指定自訂管理伺服器憑證,使用以下指令:

klsetsrvcert -t C -i <inputfile> -p <password> -o NoCA

憑證被取代後,所有透過 SSL 連線到管理伺服器的網路代理都會失去連線。要還原它,請使用指令行 klmover utility

不支援自動重新頒發行動憑證。我們建議您在現有憑證即將到期時指定新的行動憑證。如果行動憑證過期且未指定儲備行動憑證,則管理伺服器與安裝在受管理行動裝置上的網路代理實例之間的連線將丟失。在這種情況下,要重新連線受管理行動裝置,您必須指定新的行動憑證並在每個受管理行動裝置上重新安裝 Kaspersky Security for Mobile。

為避免丟失網路代理連線,請使用以下指令:

klsetsrvcert.exe -f "DD-MM-YYYY hh:mm" -t CR -i <inputfile> -p <password> -o NoCA

其中,“DD-MM-YYYY hh:mm” 是比目前日期提前 3-4 週的日期。將憑證變更為備份憑證的時間偏移將允許將新憑證分發給所有網路代理。

另請參閱:

情境:指定自訂管理伺服器憑證

此文章對您有幫助嗎?
我們可以如何改善?
感謝您的意見回饋!您正協助我們改善。
感謝您的意見回饋!您正協助我們改善。