Замена сертификата Сервера администрирования с помощью утилиты klsetsrvcert

Чтобы заменить сертификат Сервера администрирования:

В командной строке выполните следующую команду:

klsetsrvcert [-t <type> {-i <inputfile> [-p <password>] [-o <chkopt>] | -g <dnsname>}][-f <time>][-r <calistfile>][-l <logfile>]

Вам не нужно загружать утилиту klsetsrvcert. Утилита входит в состав комплекта поставки Kaspersky Security Center. Она несовместима с предыдущими версиями Kaspersky Security Center.

Описание параметров утилиты klsetsrvcert представлено в таблице ниже.

Значения параметров утилиты klsetsrvcert

Параметр

Значение

-t <type>

Тип сертификата, который следует заменить. Возможные значения параметра <type>:

  • C – заменить общий сертификат для портов 13000 и 13291.
  • CR – заменить общий резервный сертификат для портов 13000 и 13291.
  • M – заменить сертификат для мобильных устройств порта 13292.
  • MR – заменить мобильный резервный сертификат для порта 13292.
  • MCA – мобильный сертификат, полученный от доверенного центра сертификации для автоматической генерации пользовательских сертификатов.

-f <time>

Расписание замены сертификата использует формат "ДД-ММ-ГГГГ ЧЧ:ММ" (для портов 13000 и 13291).

Используйте этот параметр, если вы хотите заменить общий или общий резервный сертификат до истечения срока его действия.

Укажите время, когда управляемые устройства должны синхронизироваться с Сервером администрирования с использованием нового сертификата.

-i <inputfile>

Контейнер с сертификатом и закрытый ключ в формате PKCS#12 (файл с расширением p12 или pfx).

-p <password>

Пароль, при помощи которого защищен p12-контейнер.

Сертификат и закрытый ключ хранятся в контейнере, поэтому для расшифровки файла с контейнером требуется пароль.

-o <chkopt>

Параметры проверки сертификата (разделенные точкой с запятой).

Чтобы использовать пользовательский сертификат без разрешения на подпись, в утилите klsetsrvcert укажите -o NoCA. Это полезно для сертификатов, выпущенных доверенным центром сертификации (англ. certificate authority, CA).

Чтобы изменить длину ключа шифрования для сертификатов типа C или CR, укажите -o RsaKeyLen:<key length> в утилите klsetsrvcert, где параметр <key length> – это требуемая длина ключа. Иначе используется текущая длина ключа сертификата.

-g <dnsname>

Сертификат будет создан с указанным DNS-именем.

-r <calistfile>

Список доверенных корневых сертификатов, подписанных доверенным центром сертификации, в формате PEM.

-l <logfile>

Файл вывода результатов. По умолчанию вывод осуществляется в стандартный поток вывода.

Например, для указания пользовательского сертификата Сервера администрирования, используйте следующую команду:

klsetsrvcert -t C -i <inputfile> -p <password> -o NoCA

После замены сертификата все Агенты администрирования, подключенные к Серверу администрирования по протоколу SSL, теряют связь. Чтобы восстановить связь, используйте командную строку утилиты klmover.

Чтобы не потерять соединения Агентов администрирования, используйте следующие команды:

  1. Чтобы установить новый сертификат,

    klsetsrvcert.exe -t CR -i <inputfile> -p <password> -o NoCA

  2. Чтобы указать дату применения нового сертификата,

    klsetsrvcert.exe -f "DD-MM-YYYY hh:mm"

где дата "DD-MM-YYYY hh:mm" на 3–4 недели больше текущей. Сдвиг времени замены сертификата на новый позволит распространить новый сертификат на все Агенты администрирования.

См. также:

Сценарий: Задание пользовательского сертификата Сервера администрирования

В начало