Замена сертификата Сервера администрирования с помощью утилиты klsetsrvcert

10 февраля 2024

ID 227838

Чтобы заменить сертификат Сервера администрирования:

В командной строке выполните следующую команду:

klsetsrvcert [-t <type> {-i <inputfile> [-p <password>] [-o <chkopt>] | -g <dnsname>}][-f <time>][-r <calistfile>][-l <logfile>]

Вам не нужно загружать утилиту klsetsrvcert. Утилита входит в состав комплекта поставки Kaspersky Security Center Linux. Она несовместима с предыдущими версиями Kaspersky Security Center Linux.

Описание параметров утилиты klsetsrvcert представлено в таблице ниже.

Значения параметров утилиты klsetsrvcert

Параметр

Значение

-t <type>

Тип сертификата, который следует заменить. Возможные значения параметра <type>:

  • C – заменить общий сертификат для портов 13000 и 13291.
  • CR – заменить общий резервный сертификат для портов 13000 и 13291.

-f <time>

Расписание замены сертификата использует формат "ДД-ММ-ГГГГ ЧЧ:ММ" (для портов 13000 и 13291).

Используйте этот параметр, если вы хотите заменить общий или общий резервный сертификат до истечения срока его действия.

Укажите время, когда управляемые устройства должны синхронизироваться с Сервером администрирования с использованием нового сертификата.

-i <inputfile>

Контейнер с сертификатом и закрытый ключ в формате PKCS#12 (файл с расширением p12 или pfx).

-p <password>

Пароль, при помощи которого защищен p12-контейнер.

Сертификат и закрытый ключ хранятся в контейнере, поэтому для расшифровки файла с контейнером требуется пароль.

-o <chkopt>

Параметры проверки сертификата (разделенные точкой с запятой).

Чтобы использовать пользовательский сертификат без разрешения на подпись, в утилите klsetsrvcert укажите -o NoCA. Это полезно для сертификатов, выпущенных доверенным центром сертификации (англ. certificate authority, CA).

-g <dnsname>

Сертификат будет создан с указанным DNS-именем.

-r <calistfile>

Список доверенных корневых сертификатов, подписанных доверенным центром сертификации, в формате PEM.

-l <logfile>

Файл вывода результатов. По умолчанию вывод осуществляется в стандартный поток вывода.

Например, для указания пользовательского сертификата Сервера администрирования, используйте следующую команду:

klsetsrvcert -t C -i <inputfile> -p <password> -o NoCA

После замены сертификата все Агенты администрирования, подключенные к Серверу администрирования по протоколу SSL, теряют связь. Чтобы восстановить связь, используйте командную строку утилиты klmover.

Чтобы не потерять соединения Агентов администрирования, используйте следующую команду:

klsetsrvcert -f "DD-MM-YYYY hh:mm" -t CR -i <inputfile> -p <password> -o NoCA

где дата "DD-MM-YYYY hh:mm" на 3–4 недели раньше текущей. Сдвиг времени замены сертификата на резервный позволит распространить новый сертификат на все Агенты администрирования.

См. также:

Сценарий: Задание пользовательского сертификата Сервера администрирования

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!