替换 Integration Server 和 SVM 证书
2024年1月25日
ID 97888
Kaspersky Security 分发工包包括 certificate_manager
,这是一个用于管理 Integration Server 和 SVM 的证书的实用程序。与 Integration Server 建立安全连接以及加密 Protection Server 与 Light Agent 之间的通信通道时,将使用 Integration Server SSL 证书。
使用证书管理实用程序可以:
- 创建用于与 Integration Server 建立安全连接的 Integration Server SSL 证书。
- 更换在解决方案部署期间安装的自签名 Integration Server 证书。
替换 Integration Server 证书后,用于加密 Light Agent 和 Protection Server 之间的通信通道的 SVM 证书也会被自动替换。将根据 Integration Server 证书创建新的 SVM 证书。
在以下情况下,可能需要更换证书:
- 升级解决方案以将先前安装的证书更换为更安全的证书时。
- 如果使用的证书已过期或已被泄露。
- 如果安装 Integration Server 的设备的 IP 地址或域名发生变化。
您可以将 Integration Server 证书更换为使用实用程序或第三方工具创建的新证书。如果要使用第三方工具创建的 Integration Server 证书,请确保新证书满足实用程序的证书要求。
certificate_manager
实用程序位于 Integration Server 安装文件夹中:%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky VIISLA\。
使用该实用程序需要操作系统的管理员权限。
要使用该实用程序创建 Integration Server 证书:
在安装了 Integration Server 的设备上,运行以下命令:
% ProgramFiles (x86)%\Kaspersky Lab\Kaspersky VIISLA\certificate_manager.exe create-self-signed-certs --outputFolder <
证书文件夹路径
>
其中 <包含证书的文件夹的路径> 是将放置所创建的证书的文件夹的路径。该文件夹必须位于安装了 Integration Server 的设备上。
建议保护证书,防止未经授权的访问。例如,您可以将证书放在安全的文件夹中。
该命令使实用程序创建 Integration Server 证书(PFX 格式)并将其放在指定文件夹中。
要替换 Integration Server 和 SVM 证书:
在安装了 Integration Server 的设备上,运行以下命令:
% ProgramFiles (x86)%\Kaspersky Lab\Kaspersky VIISLA\certificate_manager.exe replace --certificatePath <
证书路径
>
其中 <证书路径> 是 Integration Server 证书(PFX 格式的文件)的路径。
执行该命令的结果是,实用程序执行以下操作:
- 根据位于指定文件夹中的证书创建 SVM 证书。
- 将之前安装的 Integration Server 证书和 SVM 证书替换为新证书。
- 重新启动 Integration Server 服务。
替换 Integration Server 和 SVM 证书后,您需要更新所有 Light Agent 策略和 SVM 策略,以便它们获得新证书的公钥。
证书管理实用程序运行时,可能会创建跟踪文件。