Сертификаты для работы с Kaspersky Security Center Web Console

В разделе описано, как выпустить и заменить сертификаты для Kaspersky Security Center Web Console, а также как обновить сертификат Сервера администрирования, если Сервер взаимодействует с Kaspersky Security Center Web Console.

Перевыпуск сертификата для Kaspersky Security Center Web Console

Большинство браузеров ограничивает срок действия сертификата. Чтобы попасть в это ограничение, срок действия сертификата в Kaspersky Security Center Web Console равен 397 дням. Вы можете заменить существующий сертификат, полученный от доверенного центра сертификации (CA), при выпуске вручную нового самоподписанного сертификата. Вы также можете повторно выпустить устаревший сертификат Kaspersky Security Center Web Console.

Автоматический перевыпуск сертификата для Kaspersky Security Center Web Console не поддерживается. Вам необходимо вручную перевыпустить сертификат.

Если вы уже используете самоподписанный сертификат, вы также можете перевыпустить его, обновив Kaspersky Security Center Web Console, используя стандартную процедуру в установщике (параметр Обновить).

Когда вы открываете Web Console, браузер может информировать вас о том, что подключение к Web Console не является приватным и что сертификат Web Console недействителен. Это предупреждение появляется потому, что сертификат Kaspersky Security Center Web Console является самоподписанным и автоматически генерируется Kaspersky Security Center. Чтобы удалить или предотвратить это предупреждение, можно выполнить одно из следующих действий:

• Укажите пользовательский сертификат при его повторном выпуске (рекомендуемый вариант). Создать сертификат, доверенный в вашей инфраструктуре и соответствующий требованиям к пользовательским сертификатам.
• Добавьте сертификат Web Console в список доверенных сертификатов браузера после перевыпуска сертификата. Рекомендуется использовать этот параметр только в том случае, если вы не можете создать пользовательский сертификат.

Чтобы выпустить новый сертификат при первой установке Kaspersky Security Center Web Console:

1. Запустите установку Kaspersky Security Center Web Console.
2. Выберите параметр Сформировать новый на шаге мастера установки Клиентский сертификат и нажмите на кнопку Далее.
3. Выполните все шаги мастера установки, пока не завершите установку.

   Новый сертификат для Kaspersky Security Center Web Console выписан со сроком действия 397 дней.

Чтобы перевыпустить просроченный сертификат Kaspersky Security Center Web Console:

1. Запустите исполняемый файл ksc-web-console-<номер_версии>.<номер сборки>.exe под учетной записью с правами администратора.
2. В открывшемся окне мастера установки выберите язык и нажмите на кнопку ОК.
3. В окне приветствия выберите параметр Перевыпустить сертификат и нажмите на кнопку Далее.
4. На следующем шаге дождитесь завершения перенастройки Kaspersky Security Center Web Console и нажмите на кнопку Готово.

   Сертификат Kaspersky Security Center Web Console перевыпущен со сроком действия 397 дней.

Если вы используете Identity and Access Manager, вы также должны повторно выпустить все TLS-сертификаты для портов, которые используют Identity and Access Manager. В Kaspersky Security Center Web Console отображается уведомление об истечении срока действия сертификата. Следуйте инструкциям из уведомления.

Замена сертификата для Kaspersky Security Center Web Console

По умолчанию при установке Сервера Kaspersky Security Center Web Console сертификат браузера для программы генерируется автоматически. Вы можете заменить автоматически сгенерированный сертификат на пользовательский.

Чтобы заменить сертификат для Сервера Kaspersky Security Center Web Console на пользовательский сертификат:

1. Запустите на устройстве, на котором установлен Сервер Kaspersky Security Center Web Console, исполняемый файл ksc-web-console-<номер версии>.<номер сборки>.exe под учетной записью с правами администратора.

   Запускается мастер установки.

2. На первой странице мастера выберите параметр Обновить.
3. На странице Клиентский сертификат выберите параметр Выбрать существующий сертификат и укажите путь к пользовательскому сертификату.

   

   Задание клиентского сертификата

4. На последней странице мастера нажмите на кнопку Изменить, чтобы применить новые параметры.
5. После успешного завершения настройки программы нажмите кнопку Готово.

Kaspersky Security Center Web Console работает с указанным сертификатом.

Указание сертификатов для доверенных Серверов администрирования в Kaspersky Security Center Web Console

Существующий сертификат Сервера администрирования автоматически заменяется новым до истечения срока действия сертификата. Вы также можете заменить существующий сертификат Сервера администрирования пользовательским сертификатом. При каждом изменении сертификата новый сертификат должен быть указан в параметрах программы Kaspersky Security Center Web Console. Иначе Kaspersky Security Center Web Console не сможет подключиться к Серверу администрирования.

Чтобы задать новый сертификат для Сервера администрирования:

1. На устройстве, на котором установлен Сервер администрирования, скопируйте файл сертификата, например, на запоминающее устройство.

   По умолчанию файл сертификата хранится в следующей папке:

   • Для устройств с операционной системой Windows: %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\1093\cert.
   • Для устройств с операционной системой Linux: /var/opt/kaspersky/klnagent_srv/1093/cert/.
2. На устройстве, на котором установлена программа Kaspersky Security Center Web Console, поместите файл сертификата в локальную папку.
3. Запустите установочный файл ksc-web-console-<номер версии>.<номер сборки>.exe под учетной записью с правами администратора.

   Запускается мастер установки.

4. На первой странице мастера выберите параметр Обновить.

   Следуйте далее указаниям мастера.

5. На странице Доверенные Серверы администрирования выберите требуемый Сервер администрирования и нажмите на кнопку Изменить.

   

   Задание доверенных Серверов администрирования

6. В открывшемся окне Изменить Сервер администрирования нажмите на кнопку Обзор, укажите путь к новому файлу сертификата и нажмите на кнопку Обновить, чтобы применить изменения.
7. На странице Все готово для установки Kaspersky Security Center 14 Web Console мастера нажмите на кнопку Обновить, чтобы начать обновление.
8. После успешного завершения настройки программы нажмите кнопку Готово.
9. Войдите в Kaspersky Security Center Web Console.

Kaspersky Security Center Web Console работает с указанным сертификатом.

Преобразование сертификата из формата PFX в формат PEM

Чтобы использовать сертификат формата PFX в Kaspersky Security Center Web Console, вам необходимо предварительно преобразовать его в формат PEM с помощью любой кроссплатформенной утилиты на основе OpenSSL.

Чтобы преобразовать сертификат из формата PFX в формат PEM в операционной системе Windows:

1. В кроссплатформенной утилите на основе OpenSSL выполните следующие команды:

   openssl pkcs12 -in <filename.pfx> -clcerts -nokeys -out server.crt

   openssl pkcs12 -in <filename.pfx> -nocerts -nodes -out key.pem

   В результате вы получаете открытый ключ в виде файла .crt и закрытый ключ в виде защищенного парольной фразой файла .pem.

2. Убедитесь, что файлы .crt и .pem сгенерированы в той же папке, где хранится .pfx файл.
3. Если файл .crt или .pem содержит "пакет атрибутов", удалите эти атрибуты с помощью любого удобного текстового редактора и сохраните файл.
4. Перезапустите службу Windows.
5. Kaspersky Security Center Web Console не поддерживает сертификаты, защищенные парольной фразой. Поэтому выполните следующую команду в кроссплатформенной утилите на основе OpenSSL, чтобы удалить парольную фразу из файла .pem:

   openssl rsa -in key.pem -out key-without-passphrase.pem

   Не используйте одно и то же имя для входных и выходных файлов .pem.

   В результате новый файл .pem не зашифрован. Вводить парольную фразу для его использования не нужно.

Файлы .crt и .pem готовы к использованию, поэтому вы можете указать их в мастере установки Kaspersky Security Center Web Console.

Чтобы преобразовать сертификат из формата PFX в формат PEM в операционной системе Linux:

1. В кроссплатформенной утилите на основе OpenSSL выполните следующие команды:

   openssl pkcs12 -in <filename.pfx> -clcerts -nokeys | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > server.crt

   openssl pkcs12 -in <filename.pfx> -nocerts -nodes | sed -ne '/-BEGIN PRIVATE KEY-/,/-END PRIVATE KEY-/p' > key.pem

2. Убедитесь, что файл сертификата и закрытый ключ сгенерированы в той же папке, где хранится файл PFX.
3. Kaspersky Security Center Web Console не поддерживает сертификаты, защищенные парольной фразой. Поэтому выполните следующую команду в кроссплатформенной утилите на основе OpenSSL, чтобы удалить парольную фразу из файла .pem:

   openssl rsa -in key.pem -out key-without-passphrase.pem

   Не используйте одно и то же имя для входных и выходных файлов .pem.

   В результате новый файл .pem не зашифрован. Вводить парольную фразу для его использования не нужно.

Файлы .crt и .pem готовы к использованию, поэтому вы можете указать их в мастере установки Kaspersky Security Center Web Console.