Использование сертификатов для публичных служб Kaspersky SMP
Для работы с публичными службами Kaspersky SMP вы можете использовать самоподписанные или пользовательские сертификаты. По умолчанию Kaspersky SMP использует самоподписанные сертификаты.
Сертификаты необходимы для следующих публичных служб Kaspersky SMP:
- console.<smp_domain> – доступ к функционалу консоли Kaspersky SMP.
- admsrv.<smp_domain> – доступ к функционалу Сервера администрирования.
- api.<smp_domain> – доступ к функциональности Kaspersky SMP API.
Список адресов публичных служб Kaspersky SMP, для которых при развертывании определяются самоподписанные или пользовательские сертификаты, указывается в параметре установки pki_fqdn_list.
Пользовательский сертификат должен быть указан как файл в формате PEM, содержащий полную цепочку сертификатов (или только один сертификат) и незашифрованный закрытый ключ.
Вы можете указать промежуточный сертификат из инфраструктуры закрытых ключей (PKI) вашей организации. Пользовательские сертификаты для публичных служб Kaspersky SMP выдаются из этого пользовательского промежуточного сертификата. Также вы можете указать конечные сертификаты для каждой публичной службы. Если конечные сертификаты указаны только для части публичных служб, то для остальных публичных служб выдаются самоподписанные сертификаты.
Для публичных служб console.<smp_domain> и api.<smp_domain> пользовательские сертификаты можно указать только перед развертыванием в конфигурационном файле. Чтобы использовать пользовательский промежуточный сертификат, укажите параметры установки intermediate_bundle и intermediate_enabled.
Если вы хотите использовать конечные пользовательские сертификаты для работы с публичными службами Kaspersky SMP, укажите соответствующие параметры установки console_bundle, admsrv_bundle и api_bundle. Установите для параметра intermediate_enabled значение false и не указывайте параметр intermediate_bundle.
Для службы admsrv.<smp_domain> вы можете заменить выданный самоподписанный сертификат Сервера администрирования пользовательским сертификатом с помощью утилиты klsetsrvcert.
Автоматическая ротация сертификатов не поддерживается. Примите во внимание срок действия сертификата и обновите сертификат, когда срок его действия истечет.
Чтобы обновить пользовательские сертификаты:
- На устройство администратора экспортируйте текущую версию конфигурационного файла.
- В экспортированном конфигурационном файле укажите путь к новому пользовательскому промежуточному сертификату в параметре установки
intermediate_bundle. Если вы используете конечные пользовательские сертификаты для каждой публичной службы, укажите параметры установкиconsole_bundle,admsrv_bundleиapi_bundle. - Выполните следующую команду и укажите путь к измененному конфигурационному файлу:
./kdt apply -i <path_to_configuration_file>
Пользовательские сертификаты обновлены.
