Замена сертификата Сервера администрирования с помощью утилиты klsetsrvcert

05 февраля 2024

ID 227838

Чтобы заменить сертификат Сервера администрирования:

В командной строке выполните следующую команду:

klsetsrvcert [-t <type> {-i <inputfile> [-p <password>] [-o <chkopt>] | -g <dnsname>}][-f <time>][-r <calistfile>][-l <logfile>]

Вам не нужно загружать утилиту klsetsrvcert. Утилита входит в состав комплекта поставки Kaspersky Security Center. Она несовместима с предыдущими версиями Kaspersky Security Center.

Описание параметров утилиты klsetsrvcert представлено в таблице ниже.

Значения параметров утилиты klsetsrvcert

Параметр

Значение

-t <type>

Тип сертификата, который следует заменить. Возможные значения параметра <type>:

  • C – заменить общий сертификат для портов 13000 и 13291.
  • CR – заменить общий резервный сертификат для портов 13000 и 13291.
  • M – заменить сертификат для мобильных устройств порта 13292.
  • MR – заменить мобильный резервный сертификат для порта 13292.
  • MCA – мобильный сертификат, полученный от доверенного центра сертификации для автоматической генерации пользовательских сертификатов.

-f <time>

Расписание замены сертификата использует формат "ДД-ММ-ГГГГ ЧЧ:ММ" (для портов 13000 и 13291).

Используйте этот параметр, если вы хотите заменить общий или общий резервный сертификат до истечения срока его действия.

Укажите время, когда управляемые устройства должны синхронизироваться с Сервером администрирования с использованием нового сертификата.

-i <inputfile>

Контейнер с сертификатом и закрытый ключ в формате PKCS#12 (файл с расширением p12 или pfx).

-p <password>

Пароль, при помощи которого защищен p12-контейнер.

Сертификат и закрытый ключ хранятся в контейнере, поэтому для расшифровки файла с контейнером требуется пароль.

-o <chkopt>

Параметры проверки сертификата (разделенные точкой с запятой).

Чтобы использовать пользовательский сертификат без разрешения на подпись, в утилите klsetsrvcert укажите -o NoCA. Это полезно для сертификатов, выпущенных доверенным центром сертификации (англ. certificate authority, CA).

-g <dnsname>

Сертификат будет создан с указанным DNS-именем.

-r <calistfile>

Список доверенных корневых сертификатов, подписанных доверенным центром сертификации, в формате PEM.

-l <logfile>

Файл вывода результатов. По умолчанию вывод осуществляется в стандартный поток вывода.

Например, для указания пользовательского сертификата Сервера администрирования, используйте следующую команду:

klsetsrvcert -t C -i <inputfile> -p <password> -o NoCA

После замены сертификата все Агенты администрирования, подключенные к Серверу администрирования по протоколу SSL, теряют связь. Чтобы восстановить связь, используйте командную строку утилиты klmover.

Автоматический перевыпуск мобильных сертификатов не поддерживается. Рекомендуется указать новый мобильный сертификат, когда срок действия существующего подходит к концу. Если срок действия мобильного сертификата истек, а мобильный резервный сертификат не указан, связь между Сервером администрирования и экземплярами Агента администрирования, установленными на управляемых мобильных устройствах, будет потеряна. В этом случае для повторного подключения управляемых мобильных устройств необходимо указать новый мобильный сертификат и переустановить Kaspersky Security для мобильных устройств на каждом управляемом мобильном устройстве.

Чтобы не потерять соединения Агентов администрирования, используйте следующую команду:

klsetsrvcert.exe -f "DD-MM-YYYY hh:mm" -t CR -i <inputfile> -p <password> -o NoCA

где дата "DD-MM-YYYY hh:mm" на 3–4 недели раньше текущей. Сдвиг времени замены сертификата на резервный позволит распространить новый сертификат на все Агенты администрирования.

См. также:

Сценарий: Задание пользовательского сертификата Сервера администрирования

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!