关于 Kaspersky Security Center 证书
Kaspersky Security Center 使用以下类型的证书来启用应用程序组件之间的安全交互:
- 管理服务器证书
- Web 服务器证书
- Kaspersky Security Center Web Console 证书
默认情况下,Kaspersky Security Center 使用自签名证书(即,由 Kaspersky Security Center 自身颁发),但是您可以将其替换为自定义证书,以更好地满足组织网络的要求并符合安全标准。在管理服务器验证自定义证书是否满足所有适用要求之后,该证书将承担与自签名证书相同的功能范围。唯一的区别是自定义证书不会在到期后自动重新颁发。您可以通过 klsetsrvcert 实用程序或通过 Kaspersky Security Center Web Console 中的管理服务器属性区域将证书替换为自定义证书,具体取决于证书类型。使用 klsetsrvcert 实用程序时,需要使用以下值之一指定证书类型:
- C—端口 13000 和 13291 的通用证书。
- CR—端口 13000 和 13291 的通用备用证书。
管理服务器证书的最长有效期不得超过 397 天。
管理服务器证书
出于以下目的需要管理服务器证书:
- 连接到 Kaspersky Security Center Web Console 时的管理服务器身份验证
- 受管理设备上管理服务器和网络代理之间的安全交互
- 主管理服务器连接到从属管理服务器时的身份验证
管理服务器证书是在安装管理服务器组件时自动生成的,并保存在 /var/opt/kaspersky/klnagent_srv/1093/cert/ 文件夹下。在创建响应文件以安装 Kaspersky Security Center Web Console 时,指定管理服务器证书。此证书称为通用(“C”)证书。
管理服务器证书的有效期为 397 天。Kaspersky Security Center 会在普通证书到期前 90 天自动生成普通备用 ("CR") 证书。通用备用证书随后用于无缝替换管理服务器证书。当通用证书即将到期时,通用备用证书用于保持与受管理设备上安装的网络代理实例的连接。为此,通用备用证书会在旧的通用证书到期前 24 小时自动成为新的通用证书。
管理服务器证书的最长有效期不得超过 397 天。
如果必要,您可以为管理服务器分配自定义证书。例如,为了更好的整合您企业的现有 PKI 或为了证书字段的自定义配置,这可能是必要的。当替换证书时,所有先前通过 SSL 连接到管理服务器的网络代理将丢失它们的连接,并将返回“管理服务器身份验证错误“。要消除该错误,您将必须在证书替换后恢复连接。
如果丢失了管理服务器证书,要想恢复该证书,必须重新安装管理服务器组件,然后还原数据。
您还可以将管理服务器证书与其他管理服务器设置分开备份,以将管理服务器从一台设备移动到另一台设备而不丢失数据。
Web 服务器证书
一种特殊类型的证书,由 Kaspersky Security Center 管理服务器的 Web 服务器组件使用。发布您后续下载到受管理设备的网络代理安装包需要此证书。为此,Web 服务器可以使用各种证书。
Web Server 按优先顺序使用以下证书之一:
- 通过 Kaspersky Security Center Web Console 手动指定的自定义 Web 服务器证书
- 通用管理服务器证书(“C”)
Kaspersky Security Center Web Console 证书
Kaspersky Security Center Web Console(以下简称 Web Console)的服务器有自己的证书。当您打开网站时,浏览器会验证您的连接是否可信。Web Console 证书允许您对 Web Console 进行身份验证,并用于加密浏览器和 Web Console 之间的流量。
当您打开 Web Console 时,浏览器可能会通知您与 Web Console 的连接不是私有连接,并且 Web Console 证书无效。出现此警告是因为 Web Console 证书是自签名的,并且由 Kaspersky Security Center 自动生成。要移除此警告,可以执行以下操作之一:
- 将 Web Console 证书替换为自定义证书(推荐选项)。创建在您的基础架构中受信任且满足自定义证书要求的证书。
- 将 Web Console 证书添加到受信任浏览器证书列表中。我们建议您仅在无法创建自定义证书时才使用此选项。