Сертификаты для работы с Kaspersky Security Center

Этот раздел содержит информацию о сертификатах Kaspersky Security Center и описывает, как выпустить пользовательский сертификат для Сервера администрирования.

О сертификатах Kaspersky Security Center

Kaspersky Security Center использует следующие типы сертификатов для обеспечения безопасного взаимодействия между компонентами программы:

• сертификат Сервера администрирования;
• мобильный сертификат;
• сертификат Сервера iOS MDM;
• сертификат Веб-сервера Kaspersky Security Center;
• сертификат Kaspersky Security Center Web Console.

По умолчанию Kaspersky Security Center использует самоподписанные сертификаты (то есть выданные самим Kaspersky Security Center). Если требуется, вы можете заменить самоподписанные сертификаты пользовательскими сертификатами, в соответствии со стандартами безопасности вашей организации. После того как Сервер администрирования проверит соответствие пользовательского сертификата всем применимым требованиям, этот сертификат приобретает такую же область действия, что и самоподписанный сертификат. Единственное отличие состоит в том, что пользовательский сертификат не перевыпускается автоматически по истечении срока действия. Вы заменяете сертификаты на пользовательские с помощью утилиты klsetsrvcert или в Консоли администрирования в свойствах Сервера администрирования, в зависимости от типа сертификата. При использовании утилиты klsetsrvcert необходимо указать тип сертификата, используя одно из следующих значений:

• С – общий сертификат для портов 13000 и 13291;
• CR – общий резервный сертификат для портов 13000 и 13291;
• M – мобильный сертификат для порта 13292;
• MR – мобильный резервный сертификат для порта 13292;
• MCA – мобильный сертификат, полученный от доверенного центра сертификации для автоматической генерации пользовательских сертификатов.

Вам не нужно загружать утилиту klsetsrvcert. Утилита входит в состав комплекта поставки Kaspersky Security Center. Утилита несовместима с предыдущими версиями Kaspersky Security Center.

Максимальный срок действия любого сертификата Сервера администрирования не должен превышать 397 дней.

Сертификаты Сервера администрирования

Сертификат Сервера администрирования необходим для аутентификации Сервера администрирования, а также для безопасного взаимодействия Сервера администрирования и Агента администрирования на управляемых устройствах или между главным Сервером администрирования и подчиненными Серверами. При первом подключении Консоли администрирования к Серверу администрирования вам будет предложено подтвердить использование текущего сертификата Сервера администрирования. Такое подтверждение также требуется при каждой замене сертификата Сервера администрирования, после каждой переустановки Сервера администрирования и при подключении подчиненного Сервера администрирования к главному Серверу администрирования. Этот сертификат называется общим ("С").

Общий сертификат ("C") создается автоматически при установке компонента Сервера администрирования. Сертификат состоит из двух частей:

• Файл klserver.cer; по умолчанию он находится на устройстве, на котором установлен компонент Сервера администрирования, в папке C:\ProgramData\KasperskyLab\adminkit\1093\cert.
• Секретный ключ находится в защищенном хранилище Windows (Windows Protected Storage).

Также существует общий резервный сертификат ("CR"). Kaspersky Security Center автоматически генерирует этот сертификат за 90 дней до истечения срока действия общего сертификата. Общий резервный сертификат впоследствии используется для замены сертификата Сервера администрирования. Когда истекает срок действия общего сертификата, общий резервный сертификат используется для поддержания связи с экземплярами Агента администрирования, установленными на управляемых устройствах. С этой целью общий резервный сертификат автоматически становится новым общим сертификатом за 24 часа до истечения срока действия старого общего сертификата.

Вы также можете создать резервную копию сертификата Сервера администрирования отдельно от других параметров Сервера администрирования, чтобы перенести Сервер администрирования с одного устройства на другое без потери данных.

Мобильные сертификаты

Мобильный сертификат ("M") необходим для аутентификации Сервера администрирования на мобильных устройствах. Вы настраиваете использование мобильного сертификата на шаге мастера первоначальной настройки.

Также существует мобильный резервный сертификат ("MR"): он используется для замены мобильного сертификата. Когда истекает срок действия мобильного сертификата, мобильный резервный сертификат используется для поддержания связи с Агентами администрирования, установленными на управляемых мобильных устройствах. С этой целью мобильный резервный сертификат автоматически становится новым мобильным сертификатом за 24 часа до истечения срока действия старого мобильного сертификата.

Автоматический перевыпуск мобильных сертификатов не поддерживается. Рекомендуется указать новый мобильный сертификат, когда срок действия существующего подходит к концу. Если срок действия мобильного сертификата истек, а мобильный резервный сертификат не указан, связь между Сервером администрирования и экземплярами Агента администрирования, установленными на управляемых мобильных устройствах, будет потеряна. В этом случае для повторного подключения управляемых мобильных устройств необходимо указать новый мобильный сертификат и переустановить Kaspersky Security для мобильных устройств на каждом управляемом мобильном устройстве.

Если сценарий подключения требует использования сертификата клиента на мобильных устройствах (подключение с двусторонней SSL-аутентификация), вы генерируете эти сертификаты с помощью доверенного центра сертификации для автоматически сгенерированных пользовательских сертификатов ("MCA"). Кроме того, мастер первоначальной настройки позволяет вам начать использовать пользовательские сертификаты, выпущенные другим доверенным центром сертификации, а интеграция с инфраструктурой открытых ключей (PKI) вашей организации позволяет выпускать сертификаты клиентов с помощью центра сертификации домена.

Сертификат Сервера iOS MDM

Сертификат Сервера iOS MDM необходим для аутентификации Сервера администрирования на мобильных устройствах под управлением операционной системы iOS. Взаимодействие с этими устройствами осуществляется через протокол Apple Mobile Device Management (MDM), в котором не используется Агент администрирования. Вместо этого вы устанавливаете специальный iOS MDM-профиль, содержащий клиентский сертификат, на каждом устройстве, чтобы обеспечить двустороннюю SSL-аутентификацию.

Кроме того, мастер первоначальной настройки позволяет вам начать использовать пользовательские сертификаты, выпущенные другим доверенным центром сертификации, а интеграция с инфраструктурой открытых ключей (PKI) вашей организации позволяет выпускать сертификаты клиентов с помощью центра сертификации домена.

Клиентские сертификаты передаются на устройства iOS, когда вы загружаете эти iOS MDM-профили. Каждый клиентский сертификат Сервера iOS MDM уникален. Вы генерируете все клиентские сертификаты Сервера iOS MDM с помощью доверенного центра сертификации для автоматически сгенерированных пользовательских сертификатов ("MCA").

Сертификат Веб-сервера Kaspersky Security Center

Веб-сервер Kaspersky Security Center (далее Веб-сервер) является компонентом Сервера администрирования Kaspersky Security Center и использует специальный тип сертификата. Этот сертификат необходим для публикации инсталляционных пакетов Агента администрирования, которые вы впоследствии загружаете на управляемые устройства, а также для публикации iOS MDM-профилей, приложений iOS и инсталляционных пакетов Kaspersky Security для мобильных устройств. Для этого Веб-сервер может использовать различные сертификаты.

Если поддержка мобильных устройств отключена, Веб-сервер использует один из следующих сертификатов в порядке приоритета:

1. Пользовательский сертификат Веб-сервера, который вы указали вручную с помощью Консоли администрирования.
2. Общий сертификат Сервера администрирования ("C").

Если поддержка мобильных устройств включена, Веб-сервер использует один из следующих сертификатов в порядке приоритета:

1. Пользовательский сертификат Веб-сервера, который вы указали вручную с помощью Консоли администрирования.
2. Пользовательский мобильный сертификат.
3. Самоподписанный мобильный сертификат ("M").
4. Общий сертификат Сервера администрирования ("C").

Сертификат Kaspersky Security Center Web Console

Сервер Kaspersky Security Center Web Console (далее также Web Console) имеет собственный сертификат. Когда вы открываете сайт, браузер проверяет, является ли ваше соединение надежным. Сертификат Web Console позволяет аутентифицировать Web Console и используется для шифрования трафика между браузером и Web Console.

Когда вы открываете Web Console, браузер может информировать вас о том, что подключение к Web Console не является приватным и что сертификат Web Console недействителен. Это предупреждение появляется потому, что сертификат Kaspersky Security Center Web Console является самоподписанным и автоматически генерируется Kaspersky Security Center. Чтобы удалить это предупреждение, можно выполнить одно из следующих действий:

• Замените сертификат Kaspersky Security Center Web Console на пользовательский сертификат (рекомендуемый параметр). Создать сертификат, доверенный в вашей инфраструктуре и соответствующий требованиям к пользовательским сертификатам.
• Добавить сертификат Web Console в список доверенных сертификатов браузера. Рекомендуется использовать этот параметр только в том случае, если вы не можете создать пользовательский сертификат.

О сертификате Сервера администрирования

Выполняются две операции с использованием сертификата Сервера администрирования: аутентификация Сервера администрирования при подключении Консоли администрирования и обмен данными с устройствами. Сертификат используется также для аутентификации, когда главные Серверы администрирования подключены к подчиненным Серверам администрирования.

Сертификаты, выписанные "Лабораторией Касперского"

Сертификат Сервера администрирования автоматически создается при установке компонента Сервер администрирования и хранится в папке %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\1093\cert.

Сертификат Сервера администрирования действителен в течение пяти лет, если сертификат был сгенерирован Сервером администрирования версии 12.2 или более ранней. В противном случае срок действия сертификата ограничен 397 днями. Новый сертификат генерируется Сервером администрирования как резервный сертификат, за 90 дней до срока окончания действия текущего сертификата. Затем новый сертификат автоматически замещает текущий сертификат за один день до окончания его срока действия. Все Агенты администрирования на клиентских устройствах автоматически настраиваются на аутентификацию с Сервером администрирования с использованием нового сертификата.

Пользовательские сертификаты

При необходимости можно назначить Серверу администрирования пользовательский сертификат. Например, это может понадобиться для лучшей интеграции с существующей PKI вашей организации или для требуемой настройки полей сертификата.

Максимальный срок действия любого сертификата Сервера администрирования не должен превышать 397 дней.

При замене сертификата все Агенты администрирования, ранее подключенные к Серверу администрирования по SSL, перестанут подключаться к Серверу с ошибкой "Ошибка аутентификации Сервера администрирования". Чтобы устранить эту ошибку, вам потребуется восстановить соединение после замены сертификата.

В случае если сертификат Сервера администрирования утерян, для его восстановления необходимо провести переустановку компонента Сервер администрирования и восстановление данных.

Если вы открываете Kaspersky Security Center Web Console в разных браузерах и загружаете файл сертификата Сервера администрирования в окне свойств Сервера администрирования, загруженные файлы имеют разные имена.

Требования к пользовательским сертификатам, используемым в Kaspersky Security Center

В таблице ниже представлены требования к пользовательским сертификатам, предъявляемые к различным компонентам Kaspersky Security Center.

Требования для сертификатов Kaspersky Security Center

Сценарий: Задание пользовательского сертификата Сервера администрирования

Вы можете назначить пользовательский сертификат Сервера администрирования, например, для лучшей интеграции с существующей инфраструктурой открытых ключей (PKI) вашей организации или для пользовательской конфигурации параметров сертификата. Целесообразно заменять сертификат сразу после инсталляции Сервера администрирования, до завершения работы мастера первоначальной настройки.

Максимальный срок действия любого сертификата Сервера администрирования не должен превышать 397 дней.

Предварительные требования

Новый сертификат должен быть создан в формате PKCS#12 (например, с помощью PKI организации) и должен быть выпущен доверенным центром сертификации (CA). Также новый сертификат должен включать в себя всю цепочку доверия и закрытый ключ, который должен храниться в файле с расширением pfx или p12. Для нового сертификата должны быть соблюдены требования, перечисленные в таблице ниже.

Требования к сертификатам Сервера администрирования

Сертификаты, выпущенные доверенным центром сертификации (англ. certificate authority, CA), не имеют разрешения на подписывание сертификатов. Чтобы использовать такие сертификаты, убедитесь, что на точках распространения или шлюзах соединения в вашей сети установлен Агент администрирования версии 13 или выше. В противном случае вы не сможете использовать сертификаты без разрешения на подпись.

Этапы

Указание сертификата Сервера администрирования состоит из следующих этапов:

1. Замена сертификата Сервера администрирования

   Используйте для этой цели утилиту командной строки klsetsrvcert.

2. Указание нового сертификата и восстановление связи Агентов администрирования с Сервером администрирования

   При замене сертификата все Агенты администрирования, ранее подключенные к Серверу администрирования по SSL, перестанут подключаться к Серверу с ошибкой "Ошибка аутентификации Сервера администрирования". Чтобы указать новый сертификат и восстановить соединение, используйте командную строку утилиты klmover.

3. Указание нового сертификата в параметрах Kaspersky Security Center Web Console

   После замены сертификата укажите это в параметрах Kaspersky Security Center Web Console. Иначе Kaspersky Security Center Web Console не сможет подключиться к Серверу администрирования.

Результаты

После завершения сценария сертификат Сервера администрирования будет заменен, Сервер Агент администрирования на управляемых устройствах аутентифицирует Сервер с использованием нового сертификата.

Замена сертификата Сервера администрирования с помощью утилиты klsetsrvcert

Чтобы заменить сертификат Сервера администрирования:

В командной строке выполните следующую команду:

klsetsrvcert [-t <type> {-i <inputfile> [-p <password>] [-o <chkopt>] | -g <dnsname>}][-f <time>][-r <calistfile>][-l <logfile>]

Вам не нужно загружать утилиту klsetsrvcert. Утилита входит в состав комплекта поставки Kaspersky Security Center. Она несовместима с предыдущими версиями Kaspersky Security Center.

Описание параметров утилиты klsetsrvcert представлено в таблице ниже.

Значения параметров утилиты klsetsrvcert

Например, для указания пользовательского сертификата Сервера администрирования, используйте следующую команду:

klsetsrvcert -t C -i <inputfile> -p <password> -o NoCA

После замены сертификата все Агенты администрирования, подключенные к Серверу администрирования по протоколу SSL, теряют связь. Чтобы восстановить связь, используйте командную строку утилиты klmover.

Чтобы не потерять соединения Агентов администрирования, используйте следующие команды:

1. Чтобы установить новый сертификат,
   klsetsrvcert.exe -t CR -i <inputfile> -p <password> -o NoCA
2. Чтобы указать дату применения нового сертификата,
   klsetsrvcert.exe -f "DD-MM-YYYY hh:mm"

где дата "DD-MM-YYYY hh:mm" на 3–4 недели больше текущей. Сдвиг времени замены сертификата на новый позволит распространить новый сертификат на все Агенты администрирования.

Подключение Агентов администрирования к Серверу администрирования с помощью утилиты klmover

После замены сертификата Сервера администрирования с помощью утилиты командной строки klsetsrvcert вам необходимо установить SSL-соединение между Агентами администрирования и Сервером администрирования, так как соединение разорвано.

Чтобы указать новый сертификат Сервера администрирования и восстановить соединение:

В командной строке выполните следующую команду:

klmover [-address <адрес сервера>] [-pn <номер порта>] [-ps <номер SSL-порта>] [-nossl] [-cert <путь к файлу сертификата>]

Для запуска утилиты требуются права администратора.

Эта утилита автоматически копируется в папку установки Агента администрирования при установке Агента администрирования на клиентское устройство.

Чтобы злоумышленники не могли вывести устройства из-под контроля вашего Сервера администрирования, настоятельно рекомендуется включить защиту паролем для запуска утилиты klmover. Чтобы включить защиту паролем, в параметрах политики Агента администрирования выберите параметр Использовать пароль деинсталляции.

Утилита klmover требует прав локального администратора. Защиту паролем для запуска утилиты klmover можно не устанавливать для устройств, работающих без прав локального администратора.

При включении параметра Использовать пароль деинсталляции также включается защита паролем средствами Cleaner (cleaner.exe).

Вы на можете использовать утилиту klmover для клиентских устройств, подключенных к Серверу администрирования через шлюзы соединения. Для таких устройств необходимо перенастроить Агент администрирования или переустановить Агент администрирования, указав шлюз соединения.

Описание параметров утилиты klmover представлено в таблице ниже.

Значения параметров утилиты klmover

Например, чтобы подключить Агент администрирования к Серверу администрирования, выполните следующую команду:

klmover -address kscserver.mycompany.com -logfile klmover.log

Перевыпуск сертификата Веб-сервера

Сертификат Веб-сервера используемый в Kaspersky Security Center необходим для публикации инсталляционных пакетов Агента администрирования, которые вы впоследствии загружаете на управляемые устройства, а также для публикации iOS MDM-профилей, приложений для iOS и инсталляционных пакетов Kaspersky Security для мобильных устройств. В зависимости от текущей конфигурации программы в качестве сертификата Веб-сервера могут использоваться различные сертификаты (подробнее см. О сертификатах Kaspersky Security Center).

Вам может потребоваться перевыпустить сертификат Веб-сервера, чтобы обеспечить соответствие требованиям безопасности вашей организации или для поддержания постоянного соединения ваших управляемых устройств перед началом обновления программы. Kaspersky Security Center предоставляет два способа перевыпуска сертификата Веб-сервера. Выбор между двумя способами зависит от того, подключены ли у вас мобильные устройства и управляются ли они через мобильный протокол (то есть с помощью мобильного сертификата).

Если вы никогда не указывали пользовательский сертификат в качестве сертификата Веб-сервера в окне Веб-сервер свойств Сервера администрирования, мобильный сертификат действует как сертификат Веб-сервера. В этом случае перевыпуск сертификата Веб-сервера выполняется путем перевыпуска самого мобильного протокола.

Чтобы перевыпустить сертификат Веб-сервера, когда у вас нет мобильных устройств, управляемых через мобильный протокол:

1. В дереве консоли, в контекстном меню требуемого Сервера администрирования выберите пункт Свойства.
2. В открывшемся окне свойств Сервер администрирования выберите раздел Параметры подключения к Серверу администрирования.
3. В списке подразделов выберите подраздел Сертификаты.
4. Если вы планируете и дальше использовать сертификат, выданный Kaspersky Security Center:
   1. В группе параметров Аутентификация Сервера администрирования мобильными устройствами выберите параметр Сертификат выпущен средствами Сервера администрирования и нажмите на кнопу Перевыпустить.
   2. В открывшемся окне Перевыпуск сертификата в группе параметров Адрес подключения и Срок активации выберите соответствующие параметры и нажмите на кнопку ОК.
   3. В появившемся окне нажмите на кнопку Да.

   Если вы планируете использовать собственный сертификат, выполните следующее:

   1. Проверьте, соответствует ли ваш пользовательский сертификат требованиям Kaspersky Security Center и требованиям к доверенным сертификатам Apple. При необходимости измените сертификат.
   2. Выберите параметр Другой сертификат и нажмите на кнопку Обзор.
   3. В открывшемся окне Сертификат в поле Тип сертификата выберите тип вашего сертификата и укажите расположение сертификата и параметры:
      • Если вы выбрали Контейнер PKCS#12, нажмите на кнопку Обзор рядом с полем Файл сертификата и укажите файл сертификата на жестком диске. Если файл сертификата защищен паролем, введите пароль в поле Пароль (если есть).
      • Если вы выбрали X.509-сертификат, нажмите на кнопку Обзор рядом с полем Закрытый ключ (.prk, .pem) и укажите закрытый ключ на жестком диске. Если закрытый ключ защищен паролем, введите пароль в поле Пароль (если есть). Нажмите на кнопку Обзор рядом с полем Открытый ключ (.cer) и укажите закрытый ключ на жестком диске.
   4. В окне Сертификат нажмите на кнопку ОК.
   5. В появившемся окне нажмите на кнопку Да.

   Мобильный сертификат перевыпущен для использования в качестве сертификата Веб-сервера.

Чтобы перевыпустить сертификат Веб-сервера, когда у вас есть мобильные устройства, управляемые через мобильный протокол:

1. Создайте пользовательский сертификат и подготовьте его для использования в Kaspersky Security Center. Проверьте, соответствует ли ваш пользовательский сертификат требованиям Kaspersky Security Center и требованиям к доверенным сертификатам Apple. При необходимости измените сертификат.

   Для создания сертификата можно использовать утилиту kliossrvcertgen.exe.

2. В дереве консоли, в контекстном меню требуемого Сервера администрирования выберите пункт Свойства.
3. В открывшемся окне свойств Сервер администрирования выберите раздел Веб-сервер.
4. В меню По протоколу HTTPS выберите параметр Задать другой сертификат.
5. В меню По протоколу HTTPS нажмите на кнопку Изменить.
6. В открывшемся окне Сертификат в поле Тип сертификата выберите тип вашего сертификата:
   • Если вы выбрали Контейнер PKCS#12, нажмите на кнопку Обзор рядом с полем Файл сертификата и укажите файл сертификата на жестком диске. Если файл сертификата защищен паролем, введите пароль в поле Пароль (если есть).
   • Если вы выбрали X.509-сертификат, нажмите на кнопку Обзор рядом с полем Закрытый ключ (.prk, .pem) и укажите закрытый ключ на жестком диске. Если закрытый ключ защищен паролем, введите пароль в поле Пароль (если есть). Нажмите на кнопку Обзор рядом с полем Открытый ключ (.cer) и укажите закрытый ключ на жестком диске.
7. В окне Сертификат нажмите на кнопку ОК.
8. При необходимости в окне свойств Сервера администрирования в поле HTTPS-порт Веб-сервера измените номер HTTPS-порта для Веб-сервера. Нажмите на кнопку ОК.

   Сертификат Веб-сервера перевыпущен.