Настройка и распространение политик: подход, ориентированный на устройства

Настройка и распространение политик: подход, ориентированный на устройства Сертификаты
На чтение 8 мин. Просмотров 11 Опубликовано
Содержание
  1. Задание сертификата сервера администрирования
  2. Назначение точек распространения вручную
  3. О сертификатах kaspersky security center
  4. Сертификат сервера администрирования

Задание сертификата сервера администрирования

В случае необходимости можно задать Серверу администрирования специальный сертификат при помощи утилиты командной строки klsetsrvcert.

При замене сертификата все Агенты администрирования, ранее подключенные к Серверу администрирования по SSL, перестанут подключаться к Серверу с ошибкой “Ошибка аутентификации Сервера администрирования”. Чтобы указать новый сертификат и восстановить соединение, вы можете использовать утилиту klmover.

Чтобы указать новый сертификат и восстановить соединение,

в командной строке выполните следующую команду:

Klmover [-address <адрес сервера>] [-pn <номер порта>] [-ps <номер SSL-порта>] [-nossl] [-cert <путь к файлу сертификата>]

Сертификат Сервера администрирования часто помещают в пакеты Агента администрирования при их создании. В этом случае замена сертификата Сервера при помощи утилиты klsetsrvcert не приведет к замене сертификата Сервера администрирования в уже существующих пакетах Агента администрирования.

Целесообразно заменять сертификат сразу после инсталляции Сервера администрирования, до завершения работы мастера первоначальной настройки.

Если вы укажете срок действия сертификата Сервера администрирования более 397 дней, браузер вернет ошибку.

В некоторых случаях требуется замена сертификата.

Сертификат, указанный в утилите, должен включать всю цепочку доверия и соответствовать требованиям, перечисленным в таблице ниже.

Сертификаты, выпущенные аккредитованным центром сертификации (CA), не имеют разрешения на подписывание сертификатов, которое является обязательным для сертификата Сервера администрирования, и поэтому не могут быть использованы.

Требования к сертификатам Сервера администрирования

Назначение точек распространения вручную

Развернуть все | Свернуть все

Kaspersky Security Center позволяет вручную назначать устройства точками распространения.

Рекомендуется назначать точки распространения автоматически. В этом случае Kaspersky Security Center будет сам выбирать, какие устройства назначать точками распространения. Однако если вы по какой-то причине хотите отказаться от автоматического назначения точек распространения (например, если вы хотите использовать специально выделенные серверы), вы можете назначать точки распространения вручную, предварительно рассчитав их количество и конфигурацию.

Устройства, выполняющие роль точек распространения, должны быть защищены, в том числе физически, от любого типа несанкционированного доступа.

Чтобы вручную назначить устройство точкой распространения, выполните следующие действия:

  1. В главном окне программы нажмите на значок Параметры (settings_new) рядом с именем требуемого Сервера администрирования.

    Откроется окно свойств Сервера администрирования.

  2. На закладке Общие выберите раздел Точки распространения.
  3. Выберите параметр Вручную назначать точки распространения.
  4. Нажмите на кнопку Назначить.
  5. Выберите устройство, которое вы хотите сделать точкой распространения.

    При выборе устройства учитывайте особенности работы точек распространения и требования к устройству, которое выполняет роль точки распространения.

  6. Выберите группу администрирования, которую вы хотите включить в область действия выбранной точки распространения.
  7. Нажмите на кнопку Добавить.

    Добавленная точка распространения появится в списке точек распространения в разделе Точки распространения.

  8. Выберите в списке добавленную точку распространения, чтобы открыть окно ее свойств.
  9. В окне свойств настройте параметры точки распространения:
    • В разделе Общие укажите параметры взаимодействия точки распространения с клиентскими устройствами:
      • Номер SSL-порта
      • Использовать многоадресную IP-рассылку
      • Адрес IP-рассылки
      • Номер порта IP-рассылки
      • Распространять обновления
      • Распространять инсталляционные пакеты
    • В разделе Область действия укажите область, на которую точка распространения распространяет обновления (группы администрирования и / или сетевое местоположение).

      Только устройства под управлением операционной системы Windows могут определять свое сетевое местоположение. Определение сетевого местоположения недоступно для устройств под управлением других операционных систем.

    • В разделе Прокси-сервер KSN вы можете настроить программу так, чтобы точка распространения использовалась для пересылки KSN запросов от управляемых устройств:
      • Включить прокси-сервер KSN на стороне точки распространения
      • Переслать KSN запрос Серверу администрирования
      • Доступ к облачной-службе KSN / Локальному KSN непосредственно через интернет
      • Игнорировать параметры прокси-сервера для подключения к Локальному KSN

        Установите этот флажок, если параметры прокси-сервера настроены в свойствах точки распространения или политики Агента администрирования, но ваша архитектура сети требует, чтобы вы использовали Локальный KSN напрямую. В противном случае запрос от управляемой программы не будет передан в Локальный KSN.

      • TCP-порт

        Номер TCP-порта, который управляемые устройства используют для подключения к прокси-серверу KSN. По умолчанию установлен порт 13111.

      • UDP-порт

        Чтобы Сервер администрирования подключался к прокси-серверу KSN через UDP-порт, установите флажок Использовать UDP-порт и в поле UDP-порт укажите номер порта. По умолчанию параметр включен. По умолчанию подключение к прокси-серверу KSN выполняется через UDP-порт 15111.

    • Настройте опрос доменов Windows, Active Directory и IP-диапазонов точкой распространения:
    • В разделе Дополнительно укажите папку, которую точка распространения должна использовать для хранения распространяемых данных:
  10. Нажмите на кнопку ОК.
Про сертификаты:  Оформить сертификат на трубы в Москве|SERTIFIKA | SERTIFIKA

В результате выбранные устройства будут выполнять роль точек распространения.

О сертификатах kaspersky security center

Kaspersky Security Center использует следующие типы сертификатов для обеспечения безопасного взаимодействия между компонентами программы:

По умолчанию Kaspersky Security Center использует самоподписанные сертификаты (то есть выданные самим Kaspersky Security Center). Если требуется, вы можете заменить самоподписанные сертификаты пользовательскими сертификатами, в соответствии со стандартами безопасности вашей организации. После того как Сервер администрирования проверит соответствие пользовательского сертификата всем применимым требованиям, этот сертификат приобретает такую же область действия, что и самоподписанный сертификат. Единственное отличие состоит в том, что пользовательский сертификат не перевыпускается автоматически по истечении срока действия. Вы заменяете сертификаты на пользовательские с помощью утилиты klsetsrvcert или в Консоли администрирования в свойствах Сервера администрирования, в зависимости от типа сертификата. Индексы типов сертификатов, описанные ниже, основаны на возможных значениях параметра -t certtype в утилите klsetsrvcert:

Сертификаты Сервера администрирования

Сертификат Сервера администрирования необходим для аутентификации Сервера администрирования, а также для безопасного взаимодействия Сервера администрирования и Агента администрирования на управляемых устройствах. При первом подключении Консоли администрирования к Серверу администрирования вам будет предложено подтвердить использование текущего сертификата Сервера администрирования. Такое подтверждение также требуется при каждой замене сертификата Сервера администрирования, после каждой переустановки Сервера администрирования и при подключении подчиненного Сервера администрирования к главному Серверу администрирования. Этот сертификат называется общим (“С”).

Также существует общий резервный сертификат (“CR”). Kaspersky Security Center автоматически генерирует этот сертификат за 90 дней до истечения срока действия общего сертификата. Общий резервный сертификат впоследствии используется для замены сертификата Сервера администрирования. Когда истекает срок действия общего сертификата, общий резервный сертификат используется для поддержания связи с экземплярами Агента администрирования, установленными на управляемых устройствах. С этой целью общий резервный сертификат автоматически становится новым общим сертификатом за 24 часа до истечения срока действия старого общего сертификата.

Про сертификаты:  Ужин в ресторане «Едим Руками» - купить сертификат по цене от 1 000 р в СПБ

Вы также можете создать резервную копию сертификата Сервера администрирования отдельно от других параметров Сервера администрирования, чтобы перенести Сервер администрирования с одного устройства на другое без потери данных.

Мобильные сертификаты

Мобильный сертификат (“M”) необходим для аутентификации Сервера администрирования на мобильных устройствах. Вы настраиваете использование мобильного сертификата на шаге мастера первоначальной настройки.

Также существует мобильный резервный сертификат (“MR”): он используется для замены мобильного сертификата. Когда истекает срок действия мобильного сертификата, мобильный резервный сертификат используется для поддержания связи с Агентами администрирования, установленными на управляемых мобильных устройствах. С этой целью мобильный резервный сертификат автоматически становится новым мобильным сертификатом за 24 часа до истечения срока действия старого мобильного сертификата.

Если сценарий подключения требует использования сертификата клиента на мобильных устройствах (подключение с двусторонней SSL-аутентификация), вы генерируете эти сертификаты с помощью аккредитованного центра сертификации для автоматически сгенерированных пользовательских сертификатов (“MCA”). Кроме того, мастер первоначальной настройки позволяет вам начать использовать пользовательские сертификаты, выпущенные другим аккредитованным центром сертификации, а интеграция с инфраструктурой открытых ключей (PKI) вашей организации позволяет выпускать сертификаты клиентов с помощью центра сертификации домена.

Сертификат Сервера iOS MDM

Сертификат Сервера iOS MDM необходим для аутентификации Сервера администрирования на мобильных устройствах под управлением операционной системы iOS. Взаимодействие с этими устройствами осуществляется через протокол Apple Mobile Device Management (MDM), в котором не используется Агент администрирования. Вместо этого вы устанавливаете специальный iOS MDM-профиль, содержащий клиентский сертификат, на каждом устройстве, чтобы обеспечить двустороннюю SSL-аутентификацию.

Кроме того, мастер первоначальной настройки позволяет вам начать использовать пользовательские сертификаты, выпущенные другим аккредитованным центром сертификации, а интеграция с инфраструктурой открытых ключей (PKI) вашей организации позволяет выпускать сертификаты клиентов с помощью центра сертификации домена.

Про сертификаты:  Химия для бассейна Динотек - купить в Одинцово: цены и характеристики

Клиентские сертификаты передаются на устройства iOS, когда вы загружаете эти iOS MDM-профили. Каждый клиентский сертификат Сервера iOS MDM уникален. Вы генерируете все клиентские сертификаты Сервера iOS MDM с помощью аккредитованного центра сертификации для автоматически сгенерированных пользовательских сертификатов (“MCA”).

Сертификат Веб-сервера

Специальный тип сертификата используется Веб-сервером, входящим в состав Сервера администрирования Kaspersky Security Center. Этот сертификат необходим для публикации инсталляционных пакетов Агента администрирования, которые вы впоследствии загружаете на управляемые устройства, а также для публикации iOS MDM-профилей, приложений iOS и инсталляционных пакетов Kaspersky Security для мобильных устройств. Для этого Веб-сервер может использовать различные сертификаты.

Если поддержка мобильных устройств отключена, Веб-сервер использует один из следующих сертификатов в порядке приоритета:

  1. Пользовательский сертификат Веб-сервера, который вы указали вручную с помощью Консоли администрирования.
  2. Общий сертификат Сервера администрирования (“C”).

Если поддержка мобильных устройств включена, Веб-сервер использует один из следующих сертификатов в порядке приоритета:

  1. Пользовательский сертификат Веб-сервера, который вы указали вручную с помощью Консоли администрирования.
  2. Пользовательский мобильный сертификат.
  3. Самоподписанный мобильный сертификат (“M”).
  4. Общий сертификат Сервера администрирования (“C”).

В начало

Сертификат сервера администрирования

Две операции, аутентификация Сервера администрирования при подключении к нему Консоли администрирования и обмен информацией с устройствами, осуществляются на основании сертификата Сервера администрирования. Сертификат используется также для аутентификации, когда главные Серверы администрирования подключены к подчиненным Серверам администрирования.

Сертификаты, выписанные “Лабораторией Касперского”

Оцените статью
Мой сертификат
Добавить комментарий

© 2025 Мой сертификат