Работа с сертификатами для мобильных устройств

Этот раздел содержит информацию о работе с сертификатами мобильных устройств.

Срок действия корневого сертификата для мобильных устройств составляет 700 дней после его создания. Резервный сертификат создается за 60 дней до истечения срока действия. Вы можете изменить время создания резервного сертификата с помощью следующей команды:

klscflag.exe -fset -pv klserver -n KLSRV_AKLWNGT_MDM_CERT_CHANGE_TIMEOUT -t d -v <время ожидания в секундах>

Время создания резервного сертификата должно быть достаточным, чтобы все управляемые мобильные устройства синхронизировались с Сервером администрирования и получили сертификат.

Утилита klscflag расположена в папке установки Сервера администрирования. Путь установки по умолчанию: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

Обновление корневого сертификата для мобильных устройств вручную не поддерживается.

Запуск мастера установки сертификата

Вы можете устанавливать на мобильное устройство пользователя сертификаты следующих типов:

• общие сертификаты для идентификации мобильного устройства;
• почтовые сертификаты для настройки на мобильном устройстве корпоративной почты;
• VPN-сертификат для настройки на мобильном устройстве доступа к виртуальной частной сети.

Чтобы установить сертификат на мобильное устройство пользователя:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Сертификаты.
2. В рабочей области папки Сертификаты по ссылке Добавить сертификат запустите мастер установки сертификата.

Следуйте далее указаниям мастера.

В результате работы мастера сертификат будет создан, добавлен в список сертификатов пользователя, кроме того, будет отправлено уведомление пользователю со ссылкой для загрузки и установки сертификата на мобильное устройство. Список всех сертификатов можно просмотреть и экспортировать в файл. Можно удалять и перевыпускать сертификаты, а также просматривать их свойства.

Шаг 1. Выбор типа сертификата

Укажите тип сертификата, который необходимо установить на мобильное устройство пользователя:

• Мобильный сертификат – для идентификации мобильного устройства.
• Почтовый сертификат – для настройки на мобильном устройстве корпоративной почты.
• VPN-сертификат – для настройки на мобильном устройстве доступа к виртуальной частной сети.

Шаг 2. Выбор типа устройства

Это окно отображается, только если ранее был выбран тип сертификата Почтовый сертификат или VPN-сертификат.

Укажите тип операционной системы устройства:

• iOS MDM-устройство. Выберите этот вариант, если необходимо установить сертификат на мобильное устройство, которое подключается к Серверу iOS MDM по протоколу iOS MDM.
• KES-устройство под управлением Kaspersky Security для мобильных устройств. Выберите этот вариант, если необходимо установить сертификат на KES-устройство. В этом случае сертификат будет использоваться при подключении к Серверу администрирования для идентификации пользователя.
• KES-устройство, которое подключается к Серверу администрирования без аутентификации по пользовательскому сертификату. Выберите этот вариант, если необходимо установить сертификат на KES-устройство без аутентификации по сертификату. В этом случае на последнем шаге мастера в окне Способ уведомления пользователей администратор должен выбрать тип авторизации пользователя при подключении к Серверу администрирования.

Шаг 3. Выбор пользователя

Выберите в списке пользователей, группы безопасности или группы безопасности Active Directory, для которых вы хотите установить сертификат.

В окне Выбор пользователя можно выполнить поиск

Шаг 4. Выбор источника сертификата

В окне можно выбрать источник сертификата, с помощью которого Сервер администрирования идентифицирует мобильное устройство. Можно задать сертификат одним из следующих способов:

• Автоматически создать сертификат средствами Сервера администрирования и доставить сертификат на устройство.
• Укажите файл ранее созданного сертификата. Этот способ недоступен, если на предыдущем шаге было выбрано несколько пользователей.

Установите флажок Опубликовать сертификат, если необходимо отправить уведомление пользователю о создании сертификата для его мобильного устройства.

Если мобильное устройство пользователя уже было авторизовано по сертификату ранее и нет необходимости указывать имя учетной записи и пароль для получения нового сертификата, снимите флажок Опубликовать сертификат. В этом случае окно Способ уведомления пользователей отображаться не будет.

Шаг 5. Назначение тега сертификатам

Окно Тег сертификата отображается, если в поле Тип устройства выбрано значение iOS MDM-устройство.

В раскрывающемся списке вы можете назначить тег для сертификата iOS MDM-устройства пользователя. Сертификат с назначенным тегом может иметь специальные параметры, установленные для этого тега в свойствах политики Kaspersky Device Management для iOS.

Для выбора в раскрывающемся списке доступны теги Шаблон сертификата 1, Шаблон сертификата 2 и Шаблон сертификата 3, параметры которых могут быть настроены в следующих разделах: Вы можете настроить теги в следующих разделах:

• Если в окне Тип сертификата был выбран тип Почтовый сертификат, параметры тегов для него настраиваются в свойствах учетной записи Exchange ActiveSync для мобильных устройств (Управляемые устройства → Политики → Свойства политики Kaspersky Device Management для iOS → Раздел Exchange ActiveSync → Добавить → Дополнительно).
• Если в окне Тип сертификата был выбран тип VPN-сертификат, параметры тегов для него настраиваются в свойствах сети VPN для мобильных устройств (Управляемые устройства → Политики → Свойства политики Kaspersky Device Management для iOS → Раздел VPN → Добавить → Дополнительно). Настройка тегов, используемых для VPN-сертификатов, недоступна, если для сети VPN выбран тип соединения L2TP, PPTP, или IPSec (Cisco).

Шаг 6. Описание параметров публикации сертификата

Развернуть все | Свернуть все

В этом окне вы можете указать следующие параметры публикации сертификата:

• Не уведомлять пользователя о новом сертификате

  Включите этот параметр, если вы не хотите отправлять пользователю уведомление о создании сертификата для его мобильного устройства. В этом случае окно Способ уведомления пользователя отображаться не будет.

  Этот параметр применим только к устройствам с установленным приложением Kaspersky Endpoint Security для Android.

  Возможно, вы захотите включить этот параметр, например, если мобильное устройство пользователя уже было идентифицировано с помощью сертификата, поэтому нет необходимости указывать имя учетной записи и пароль для получения нового сертификата.

• Разрешить устройству получать один и тот же сертификат несколько раз (только для устройств с установленным Kaspersky Endpoint Security для Android)

  Включите этот параметр, чтобы Kaspersky Security Center автоматически повторно отправлял сертификат каждый раз, когда срок его действия истекает в ближайшее время или не найден на целевом устройстве.

  Сертификат автоматически отправляется повторно за несколько дней до истечения срока действия сертификата. Вы можете установить количество дней в окне Правила выпуска сертификатов.

  В некоторых случаях сертификаты не могут быть найдены на устройствах. Например, это может произойти, если пользователь заново установит приложение безопасности "Лаборатории Касперского" на устройство или сбросит настройки устройства до заводских. В этом случае Kaspersky Security Center проверяет идентификатор устройства при следующей попытке устройства подключиться к Серверу администрирования. Если устройство имеет такой же идентификатор, как и при выдаче сертификата, программа передает сертификат на устройство.

Шаг 7. Выбор способа уведомления пользователей

Развернуть все | Свернуть все

Это окно не отображается, если в качестве типа устройства выбран вариант iOS MDM-устройство или если выбран вариант Не уведомлять пользователя о новом сертификате.

В окне Способ уведомления пользователей можно настроить параметры уведомления пользователя об установке сертификата на мобильное устройство.

В поле Тип авторизации укажите тип аутентификации пользователя:

• Учетные данные (доменные или псевдонима)

  В этом случае пользователь использует доменный пароль или пароль внутреннего пользователя Kaspersky Security Center, для того чтобы получить новый сертификат.

• Одноразовый пароль

  В этом случае пользователь получит одноразовый пароль, который будет выслан на электронную почту или с помощью SMS. Этот пароль необходимо будет указать для получения нового сертификата.

  Этот параметр изменится на Пароль, если вы включили параметр Разрешить устройству получать один и тот же сертификат несколько раз (только для устройств с установленными приложениями безопасности "Лаборатории Касперского") в окне Параметры публикации сертификатов.

• Пароль

  В этом случае пароль используется каждый раз, когда сертификат отправляется пользователю.

  Этот параметр изменится на Одноразовый пароль, если вы включили параметр Разрешить устройству получать один и тот же сертификат несколько раз (только для устройств с установленными приложениями безопасности "Лаборатории Касперского") в окне Параметры публикации сертификатов.

Это поле отображается, если в окне Тип сертификата выбрано значение Мобильный сертификат или если в качестве типа устройства выбрано KES-устройство, которое подключается к Серверу администрирования без аутентификации по пользовательскому сертификату.

Выберите вариант уведомления пользователя:

• Показать пароль после завершения работы мастера

  Если вы выберете этот параметр, имя пользователя, SAM-имя пользователя (Security Account Manager) и пароль для получения сертификата для каждого из выбранных пользователей будут отображаться на последнем шаге мастера установки сертификата. Настройка параметров уведомления пользователя об установленном сертификате будет недоступна.

  Если вы добавляете сертификаты для нескольких пользователей, вы можете сохранить предоставленные учетные данные в файл, нажав на кнопку Экспорт на последнем шаге мастера установки сертификата.

  Этот параметр недоступен, если вы выбрали Учетные данные (доменные или псевдонима) на шаге Способ уведомления пользователя мастера установки сертификата.

• Сообщить пользователю о новом сертификате

  При выборе этого варианта вы можете настроить параметры уведомления пользователя о новом сертификате.

  • По электронной почте

    В блоке параметров По электронной почте вы можете настроить параметры уведомления пользователя об установке сертификата на его мобильное устройство с помощью сообщений электронной почты. Этот способ оповещения доступен, только если настроен SMTP-сервер.

    Перейдите по ссылке Изменить сообщение, чтобы просмотреть и изменить сообщение, если это необходимо.

  • С помощью SMS

    В этом блоке параметров вы можете настроить параметры уведомления пользователя об установке сертификата на его мобильное устройство с помощью SMS-сообщений. Этот способ оповещения доступен, только если настроено SMS-оповещение.

    Перейдите по ссылке Изменить сообщение, чтобы просмотреть и изменить сообщение, если это необходимо.

Шаг 8. Генерация сертификата

На этом шаге создается сертификат.

Вы можете нажать на кнопку Готово, чтобы выйти из мастера.

Сгенерированный сертификат отображается в списке сертификатов в рабочей области папки Сертификаты.

Настройка правил выпуска сертификатов

Сертификаты используются для аутентификации устройств на Сервере администрирования. Все управляемые мобильные устройства должны иметь сертификаты. Можно настроить способ выпуска сертификатов.

Чтобы настроить правила выпуска сертификатов:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Сертификаты.
2. В рабочей области папки Сертификаты по кнопке Настроить правила выпуска сертификатов откройте окно Правила выпуска сертификатов.
3. Перейдите в раздел с названием типа сертификата:

   Выпуск мобильных сертификатов – для настройки выпуска сертификатов для мобильных устройств.

   Выпуск почтовых сертификатов – для настройки выпуска почтовых сертификатов.

   Выпуск VPN-сертификатов – для настройки выпуска VPN-сертификатов.

4. В блоке Параметры выпуска настройте выпуск сертификата:
   • Укажите срок действия сертификата в днях.

     Сертификаты для мобильных устройств ограничены сроком действия корневого сертификата. Если вы укажете срок действия сертификата дольше, чем срок действия корневого сертификата, срок действия сертификата будет автоматически изменен при создании.

   • Выберите источник сертификатов (Сервер администрирования или Сертификаты задаются вручную).

     По умолчанию источником сертификатов выбран Сервер администрирования.

   • Задайте шаблон сертификатов (Шаблон по умолчанию, Другой шаблон).

     Настройка шаблонов доступна, если в разделе Интеграция с PKI настроена интеграция с инфраструктурой открытых ключей.

5. В блоке Параметры автоматического обновления настройте автоматическое обновление сертификата:
   • В поле Обновлять, когда до истечения срока действия осталось (сут) укажите, за какое количество дней до истечения срока действия нужно обновлять сертификат.
   • Чтобы включить автоматическое обновление сертификатов, установите флажок Автоматически перевыпускать сертификат, если это возможно.
6. В блоке Защита паролем включите и настройте использование пароля при расшифровке сертификатов.

   Защита паролем доступна только для мобильных сертификатов.

   1. Установите флажок Запрашивать пароль при установке сертификата.
   2. С помощью ползунка настройте максимальное количество символов в пароле для шифрования.
7. Нажмите на кнопку ОК.

Интеграция с инфраструктурой открытых ключей

Интеграция программы с инфраструктурой открытых ключей (Public Key Infrastructure, PKI) необходима для упрощения выписки доменных сертификатов пользователей. В результате интеграции выписка сертификатов происходит автоматически.

Минимально поддерживаемая версия сервера PKI – Windows Server 2008.

Для интеграции с PKI необходимо настроить учетную запись. Учетная запись должна соответствовать следующим требованиям:

• быть доменным пользователем и администратором устройства, на котором установлен Сервер администрирования;
• иметь привилегию SeServiceLogonRight на устройстве с установленным Сервером администрирования.

Под настроенной учетной записью нужно хотя бы один раз выполнить вход на устройстве с установленным Сервером администрирования для того, чтобы создать постоянный профиль пользователя. В хранилище сертификатов этого пользователя, на устройстве с Сервером администрирования, необходимо установить сертификат агента регистрации, предоставленный администраторами домена.

Чтобы настроить интеграцию с инфраструктурой открытых ключей:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Сертификаты.
2. В рабочей области нажмите на кнопку Интегрировать с инфраструктурой открытых ключей, чтобы открыть раздел Интеграция с PKI окна Правила выпуска сертификатов.

   Откроется раздел Интеграция с PKI окна Правила выпуска сертификатов.

3. Установите флажок Интегрировать выписку сертификатов с PKI.
4. В поле Учетная запись укажите имя учетной записи пользователя, которая будет использоваться для интеграции с инфраструктурой открытых ключей.
5. В поле Пароль укажите доменный пароль учетной записи.
6. В списке Имя шаблона сертификата в системе PKI выберите шаблон сертификата, который будет использоваться для выпуска сертификатов пользователям домена.

   Под указанной учетной записью в Kaspersky Security Center запускается специализированная служба. Эта служба отвечает за выпуск доменных сертификатов пользователей. Служба запускается, когда происходит загрузка списка шаблонов сертификатов по кнопке Обновить список, или при выпуске сертификата.

7. Нажмите на кнопку ОК, чтобы сохранить параметры.

В результате интеграции выписка сертификатов происходит автоматически.

Включение поддержки Kerberos Constrained Delegation

Программа поддерживает использование Kerberos Constrained Delegation.

Чтобы включить поддержку Kerberos Constrained Delegation:

1. В дереве консоли откройте папку Управление мобильными устройствами.
2. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Серверы мобильных устройств.
3. В рабочей области папки Серверы мобильных устройств выберите Сервер iOS MDM.
4. В контекстном меню Сервера iOS MDM выберите пункт Свойства.
5. В окне свойств Сервера iOS MDM выберите раздел Параметры.
6. В разделе Параметры установите флажок Обеспечить совместимость с Kerberos constrained delegation.
7. Нажмите на кнопку ОК.