Scenario: Specificazione del certificato di Administration Server personalizzato

È possibile assegnare il certificato di Administration Server personalizzato, ad esempio per una migliore integrazione con l'infrastruttura a chiave pubblica (PKI) esistente dell'azienda o per la configurazione personalizzata dei campi del certificato. È consigliabile sostituire il certificato subito dopo l'installazione di Administration Server e prima del completamento dell'Avvio rapido guidato.

Il periodo di validità massimo di qualsiasi certificato di Administration Server non deve superare i 397 giorni.

Prerequisiti

Il nuovo certificato deve essere creato nel formato PKCS#12 (ad esempio tramite l'infrastruttura PKI dell'organizzazione) e deve essere rilasciato da un'autorità di certificazione (CA) attendibile. Inoltre, il nuovo certificato deve includere l'intera catena di attendibilità e una chiave privata, che deve essere archiviata nel file con estensione pfx o p12. Per il nuovo certificato devono essere soddisfatti i requisiti elencati di seguito.

Tipo di certificato: certificato comune, certificato di riserva comune ("C", "CR")

Requisiti:

• Lunghezza minima della chiave: 2048
• Vincoli di base:
  • CA: true
  • Vincolo lunghezza percorso: nessuno

    Il valore Vincolo lunghezza percorso può essere un valore intero diverso da "Nessuno" ma non inferiore a 1.

• Utilizzo chiave:
  • Firma digitale
  • Firma del certificato
  • Cifratura chiave
  • Firma CRL
• EKU (Extended Key Usage): autenticazione del server e autenticazione del client. Il parametro EKU è facoltativo, ma se il certificato lo contiene, i dati di autenticazione del server e del client devono essere specificati nell'EKU.

I certificati rilasciati da un'autorità di certificazione pubblica non dispongono dell'autorizzazione di firma del certificato. Per utilizzare tali certificati, assicurarsi di aver installato Network Agent versione 13 o successiva nei punti di distribuzione o nei gateway di connessione della rete. In caso contrario, non sarà possibile utilizzare i certificati senza l'autorizzazione di firma.

Passaggi

Sono necessari alcuni passaggi per specificare il certificato di Administration Server:

1. Sostituzione del certificato di Administration Server

   A tale scopo, utilizzare la riga di comando utilità klsetsrvcert.

2. Specificazione di un nuovo certificato e ripristino della connessione dei Network Agent ad Administration Server

   Quando il certificato viene sostituito, tutti i Network Agent precedentemente connessi ad Administration Server tramite SSL perdono la connessione e restituiscono un errore di autenticazione di Administration Server. Per specificare il nuovo certificato e ripristinare la connessione, utilizzare l'utilità klmover della riga di comando.

Risultati

Al termine dello scenario, il certificato di Administration Server viene sostituito e il server viene autenticato dai Network Agent nei dispositivi gestiti.