О сертификатах Kaspersky Security Center

30 мая 2024

ID 206479

Kaspersky Security Center использует следующие типы сертификатов для обеспечения безопасного взаимодействия между компонентами программы:

  • сертификат Сервера администрирования;
  • мобильный сертификат;
  • сертификат Сервера iOS MDM;
  • сертификат Веб-сервера Kaspersky Security Center;
  • сертификат Kaspersky Security Center Web Console.

По умолчанию Kaspersky Security Center использует самоподписанные сертификаты (то есть выданные самим Kaspersky Security Center). Если требуется, вы можете заменить самоподписанные сертификаты пользовательскими сертификатами, в соответствии со стандартами безопасности вашей организации. После того как Сервер администрирования проверит соответствие пользовательского сертификата всем применимым требованиям, этот сертификат приобретает такую же область действия, что и самоподписанный сертификат. Единственное отличие состоит в том, что пользовательский сертификат не перевыпускается автоматически по истечении срока действия. Вы заменяете сертификаты на пользовательские с помощью утилиты klsetsrvcert или в Консоли администрирования в свойствах Сервера администрирования, в зависимости от типа сертификата. При использовании утилиты klsetsrvcert необходимо указать тип сертификата, используя одно из следующих значений:

  • С – общий сертификат для портов 13000 и 13291;
  • CR – общий резервный сертификат для портов 13000 и 13291;
  • M – мобильный сертификат для порта 13292;
  • MR – мобильный резервный сертификат для порта 13292;
  • MCA – мобильный сертификат, полученный от доверенного центра сертификации для автоматической генерации пользовательских сертификатов.

Вам не нужно загружать утилиту klsetsrvcert. Утилита входит в состав комплекта поставки Kaspersky Security Center. Утилита несовместима с предыдущими версиями Kaspersky Security Center.

Максимальный срок действия любого сертификата Сервера администрирования не должен превышать 397 дней.

Сертификаты Сервера администрирования

Сертификат Сервера администрирования необходим для аутентификации Сервера администрирования, а также для безопасного взаимодействия Сервера администрирования и Агента администрирования на управляемых устройствах или между главным Сервером администрирования и подчиненными Серверами. При первом подключении Консоли администрирования к Серверу администрирования вам будет предложено подтвердить использование текущего сертификата Сервера администрирования. Такое подтверждение также требуется при каждой замене сертификата Сервера администрирования, после каждой переустановки Сервера администрирования и при подключении подчиненного Сервера администрирования к главному Серверу администрирования. Этот сертификат называется общим ("С").

Общий сертификат ("C") создается автоматически при установке компонента Сервера администрирования. Сертификат состоит из двух частей:

  • Файл klserver.cer; по умолчанию он находится на устройстве, на котором установлен компонент Сервера администрирования, в папке C:\ProgramData\KasperskyLab\adminkit\1093\cert.
  • Секретный ключ находится в защищенном хранилище Windows (Windows Protected Storage).

Также существует общий резервный сертификат ("CR"). Kaspersky Security Center автоматически генерирует этот сертификат за 90 дней до истечения срока действия общего сертификата. Общий резервный сертификат впоследствии используется для замены сертификата Сервера администрирования. Когда истекает срок действия общего сертификата, общий резервный сертификат используется для поддержания связи с экземплярами Агента администрирования, установленными на управляемых устройствах. С этой целью общий резервный сертификат автоматически становится новым общим сертификатом за 24 часа до истечения срока действия старого общего сертификата.

Вы также можете создать резервную копию сертификата Сервера администрирования отдельно от других параметров Сервера администрирования, чтобы перенести Сервер администрирования с одного устройства на другое без потери данных.

Мобильные сертификаты

Мобильный сертификат ("M") необходим для аутентификации Сервера администрирования на мобильных устройствах. Вы настраиваете использование мобильного сертификата на шаге мастера первоначальной настройки.

Также существует мобильный резервный сертификат ("MR"): он используется для замены мобильного сертификата. Когда истекает срок действия мобильного сертификата, мобильный резервный сертификат используется для поддержания связи с Агентами администрирования, установленными на управляемых мобильных устройствах. С этой целью мобильный резервный сертификат автоматически становится новым мобильным сертификатом за 24 часа до истечения срока действия старого мобильного сертификата.

Автоматический перевыпуск мобильных сертификатов не поддерживается. Рекомендуется указать новый мобильный сертификат, когда срок действия существующего подходит к концу. Если срок действия мобильного сертификата истек, а мобильный резервный сертификат не указан, связь между Сервером администрирования и экземплярами Агента администрирования, установленными на управляемых мобильных устройствах, будет потеряна. В этом случае для повторного подключения управляемых мобильных устройств необходимо указать новый мобильный сертификат и переустановить Kaspersky Security для мобильных устройств на каждом управляемом мобильном устройстве.

Если сценарий подключения требует использования сертификата клиента на мобильных устройствах (подключение с двусторонней SSL-аутентификация), вы генерируете эти сертификаты с помощью доверенного центра сертификации для автоматически сгенерированных пользовательских сертификатов ("MCA"). Кроме того, мастер первоначальной настройки позволяет вам начать использовать пользовательские сертификаты, выпущенные другим доверенного центром сертификации, а интеграция с инфраструктурой открытых ключей (PKI) вашей организации позволяет выпускать сертификаты клиентов с помощью центра сертификации домена.

Сертификат Сервера iOS MDM

Сертификат Сервера iOS MDM необходим для аутентификации Сервера администрирования на мобильных устройствах под управлением операционной системы iOS. Взаимодействие с этими устройствами осуществляется через протокол Apple Mobile Device Management (MDM), в котором не используется Агент администрирования. Вместо этого вы устанавливаете специальный iOS MDM-профиль, содержащий клиентский сертификат, на каждом устройстве, чтобы обеспечить двустороннюю SSL-аутентификацию.

Кроме того, мастер первоначальной настройки позволяет вам начать использовать пользовательские сертификаты, выпущенные другим доверенным центром сертификации, а интеграция с инфраструктурой открытых ключей (PKI) вашей организации позволяет выпускать сертификаты клиентов с помощью центра сертификации домена.

Клиентские сертификаты передаются на устройства iOS, когда вы загружаете эти iOS MDM-профили. Пользовательский сертификат Сервера iOS MDM уникален для каждого управляемого устройства iOS. Вы генерируете все клиентские сертификаты Сервера iOS MDM с помощью доверенного центра сертификации для автоматически сгенерированных пользовательских сертификатов ("MCA").

Сертификат Веб-сервера Kaspersky Security Center

Специальный тип сертификата использует Веб-сервер Kaspersky Security Center (далее также Веб-сервер) – компонент Сервера администрирования Kaspersky Security Center. Этот сертификат необходим для публикации инсталляционных пакетов Агента администрирования, которые вы впоследствии загружаете на управляемые устройства, а также для публикации iOS MDM-профилей, приложений iOS и инсталляционных пакетов Kaspersky Security для мобильных устройств. Для этого Веб-сервер может использовать различные сертификаты.

Если поддержка мобильных устройств отключена, Веб-сервер использует один из следующих сертификатов в порядке приоритета:

  1. Пользовательский сертификат Веб-сервера, который вы указали вручную с помощью Консоли администрирования.
  2. Общий сертификат Сервера администрирования ("C").

Если поддержка мобильных устройств включена, Веб-сервер использует один из следующих сертификатов в порядке приоритета:

  1. Пользовательский сертификат Веб-сервера, который вы указали вручную с помощью Консоли администрирования.
  2. Пользовательский мобильный сертификат.
  3. Самоподписанный мобильный сертификат ("M").
  4. Общий сертификат Сервера администрирования ("C").

Сертификат Kaspersky Security Center Web Console

Сервер Kaspersky Security Center Web Console (далее также Web Console) имеет собственный сертификат. Когда вы открываете сайт, браузер проверяет, является ли ваше соединение надежным. Сертификат Web Console позволяет аутентифицировать Web Console и используется для шифрования трафика между браузером и Web Console.

Когда вы открываете Web Console, браузер может информировать вас о том, что подключение к Web Console не является приватным и что сертификат Web Console недействителен. Это предупреждение появляется потому, что сертификат Kaspersky Security Center Web Console является самоподписанным и автоматически генерируется Kaspersky Security Center. Чтобы удалить это предупреждение, можно выполнить одно из следующих действий:

См. также:

Требования к пользовательским сертификатам, используемым в Kaspersky Security Center

Сценарий: Задание пользовательского сертификата Сервера администрирования

Основной сценарий установки

Аутентификация Сервера при подключении Консоли администрирования

Иерархия Серверов администрирования: главный Сервер администрирования и подчиненный Сервер администрирования

Резервное копирование и восстановление данных в интерактивном режиме

Работа с сертификатами для мобильных устройств

Мастер первоначальной настройки Сервера администрирования

Добавление мобильных устройств iOS в список управляемых устройств

Подписание iOS MDM-профиля сертификатом

Веб-сервер

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!