Certificati per l'utilizzo di Kaspersky Security Center

Questa sezione contiene le informazioni sui certificati Kaspersky Security Center e descrive come emettere un certificato personalizzato per Administration Server.

Informazioni sui certificati di Kaspersky Security Center

Kaspersky Security Center utilizza i seguenti tipi di certificati per consentire un'interazione sicura tra i componenti dell'applicazione:

• Certificato di Administration Server
• Certificato mobile
• Certificato del server per dispositivi mobili MDM iOS
• Certificato del server Web di Kaspersky Security Center
• Certificato di Kaspersky Security Center Web Console

Per impostazione predefinita, Kaspersky Security Center utilizza certificati autofirmati (ovvero emessi da Kaspersky Security Center stesso), ma è possibile sostituirli con certificati personalizzati per soddisfare al meglio i requisiti della rete dell'organizzazione e rispettare gli standard di sicurezza. Quando Administration Server verifica che un certificato personalizzato soddisfa tutti i requisiti applicabili, il certificato assume lo stesso ambito funzionale di un certificato autofirmato. L'unica differenza è che un certificato personalizzato non viene riemesso automaticamente alla scadenza. È possibile sostituire i certificati con quelli personalizzati tramite l'utilità klsetsrvcert o la sezione delle proprietà di Administration Server in Administration Console, a seconda del tipo di certificato. Quando si utilizza l'utilità klsetsrvcert, è necessario specificare un tipo di certificato utilizzando uno dei seguenti valori:

• C: certificato comune per le porte 13000 e 13291.
• CR: certificato di riserva comune per le porte 13000 e 13291.
• M: certificato mobile per la porta 13292.
• MR: certificato di riserva mobile per la porta 13292.
• MCA: autorità di certificazione mobile per certificati utente generati automaticamente.

Non è necessario scaricare l'utilità klsetsrvcert. È inclusa nel kit di distribuzione di Kaspersky Security Center. L'utilità non è compatibile con le versioni precedenti di Kaspersky Security Center.

Il periodo di validità massimo di qualsiasi certificato di Administration Server non deve superare i 397 giorni.

Certificati di Administration Server

È necessario un certificato di Administration Server per l'autenticazione di Administration Server, nonché per l'interazione sicura tra Administration Server e Network Agent nei dispositivi gestiti o tra l'Administration Server primario e gli Administration Server secondari. Quando si connette Administration Console ad Administration Server per la prima volta, viene richiesto di confermare l'utilizzo del certificato di Administration Server corrente. Tale conferma è richiesta anche ogni volta che il certificato di Administration Server viene sostituito, dopo ogni reinstallazione di Administration Server e quando si collega un Administration Server secondario all'Administration Server primario. Questo certificato è denominato comune ("C").

Il certificato comune ("C") viene creato automaticamente durante l'installazione del componente Administration Server. Il certificato si compone di due parti:

• file klserver.cer; per impostazione predefinita, si trova nel dispositivo in cui è installato il componente Administration Server nella cartella C:\ProgramData\KasperskyLab\adminkit\1093\cert.
• Chiave segreta situata nell'archivio protetto di Windows.

Esiste inoltre un certificato di riserva comune ("CR"). Kaspersky Security Center genera automaticamente questo certificato 90 giorni prima della scadenza del certificato comune. Il certificato di riserva comune viene successivamente utilizzato per la sostituzione immediata del certificato di Administration Server. Quando il certificato comune sta per scadere, il certificato di riserva comune viene utilizzato per gestire la connessione con le istanze di Network Agent installate nei dispositivi gestiti. A tale scopo, il certificato di riserva comune diventa automaticamente il nuovo certificato comune 24 ore prima della scadenza del certificato comune precedente.

È inoltre possibile eseguire il backup del certificato di Administration Server separatamente dalle altre impostazioni di Administration Server per spostare Administration Server da un dispositivo all'altro senza perdite di dati.

Certificati mobili

Per l'autenticazione di Administration Server nei dispositivi mobili è richiesto un certificato mobile ("M"). L'utilizzo del certificato mobile viene configurato nel passaggio dedicato dell'Avvio rapido guidato.

Esiste inoltre un certificato di riserva mobile ("MR"): viene utilizzato per la sostituzione immediata del certificato mobile. Quando il certificato mobile sta per scadere, il certificato di riserva mobile viene utilizzato per gestire la connessione con le istanze di Network Agent installate nei dispositivi mobili gestiti. A tale scopo, il certificato di riserva mobile diventa automaticamente il nuovo certificato mobile 24 ore prima della scadenza del certificato mobile precedente.

La riemissione automatica dei certificati mobili non è supportata. Si consiglia di specificare un nuovo certificato mobile quando quello esistente sta per scadere. Se il certificato mobile scade e il certificato di riserva mobile non è specificato, la connessione tra le istanze di Administration Server e Network Agent installate nei dispositivi mobili gestiti andrà persa. In questo caso, per riconnettere i dispositivi mobili gestiti, è necessario specificare un nuovo certificato mobile e reinstallare Kaspersky Security for Mobile in ciascun dispositivo mobile gestito.

Se lo scenario di connessione richiede l'utilizzo di un certificato client nei dispositivi mobili (connessione che implica l'autenticazione SSL bidirezionale), è necessario generare tali certificati tramite l'autorità di certificazione per i certificati utente generati automaticamente ("MCA"). L'Avvio rapido guidato consente inoltre di iniziare a utilizzare certificati client personalizzati emessi da un'autorità di certificazione diversa, mentre l'integrazione con l'infrastruttura a chiave pubblica (PKI) del dominio dell'organizzazione consente di emettere certificati client tramite l'autorità di certificazione del dominio.

Certificato del server per dispositivi mobili MDM iOS

È necessario un certificato del server per dispositivi mobili MDM iOS per l'autenticazione di Administration Server nei dispositivi mobili che eseguono il sistema operativo iOS. L'interazione con questi dispositivi viene eseguita tramite il protocollo MDM (Mobile Device Management) di Apple che non coinvolge Network Agent. È invece necessario installare uno speciale profilo MDM iOS contenente un certificato client in ogni dispositivo, per garantire l'autenticazione SSL bidirezionale.

L'Avvio rapido guidato consente inoltre di iniziare a utilizzare certificati client personalizzati emessi da un'autorità di certificazione diversa, mentre l'integrazione con l'infrastruttura a chiave pubblica (PKI) del dominio dell'organizzazione consente di emettere certificati client tramite l'autorità di certificazione del dominio.

I certificati client vengono trasmessi ai dispositivi iOS quando si scaricano i profili MDM iOS. Un certificato client del server per dispositivi mobili MDM iOS è univoco per ogni dispositivo iOS gestito. Tutti i certificati client del server per dispositivi mobili MDM iOS vengono generati tramite l'autorità di certificazione per i certificati utente generati automaticamente ("MCA").

Certificato del server Web di Kaspersky Security Center

Server Web di Kaspersky Security Center (di seguito denominato server Web), un componente di Kaspersky Security Center Administration Server, utilizza un tipo speciale di certificato. Questo certificato è necessario per pubblicare i pacchetti di installazione di Network Agent scaricati successivamente nei dispositivi gestiti, nonché per pubblicare profili MDM iOS, app iOS e pacchetti di installazione di Kaspersky Security for Mobile. A tale scopo, Server Web può utilizzare diversi certificati.

Se il supporto dei dispositivi mobili è disabilitato, Server Web utilizza uno dei seguenti certificati, in ordine di priorità:

1. Certificato Server Web personalizzato specificato manualmente tramite Administration Console
2. Certificato di Administration Server comune ("C")

Se il supporto dei dispositivi mobili è abilitato, Server Web utilizza uno dei seguenti certificati, in ordine di priorità:

1. Certificato Server Web personalizzato specificato manualmente tramite Administration Console
2. Certificato mobile personalizzato
3. Certificato mobile autofirmato ("M")
4. Certificato di Administration Server comune ("C")

Certificato di Kaspersky Security Center Web Console

Il server di Kaspersky Security Center Web Console (di seguito denominato Web Console) dispone di un proprio certificato. Quando si apre un sito Web, un browser verifica se la connessione è attendibile. Il certificato di Web Console consente di autenticare Web Console e viene utilizzato per criptare il traffico tra un browser e Web Console.

Quando si apre Web Console, il browser potrebbe informare che la connessione a Web Console non è privata e il certificato Web Console non è valido. Questo avviso viene visualizzato perché il certificato di Web Console è autofirmato e generato automaticamente da Kaspersky Security Center. Per rimuovere questo avviso è possibile eseguire una delle seguenti operazioni:

• Sostituire il certificato di Web Console con uno personalizzato (opzione consigliata). Creare un certificato attendibile nella propria infrastruttura e che soddisfi i requisiti per i certificati personalizzati.
• Aggiungere il certificato di Web Console all'elenco dei certificati del browser attendibili. È consigliabile utilizzare questa opzione solo se non è possibile creare un certificato personalizzato.

Informazioni sul certificato di Administration Server

Vengono eseguite due operazioni in base al certificato di Administration Server: l'autenticazione di Administration Server durante la connessione di Administration Console e lo scambio dei dati con i dispositivi. Il certificato è inoltre utilizzato per l'autenticazione durante la connessione degli Administration Server primari agli Administration Server secondari.

Certificato rilasciato da Kaspersky

Il certificato di Administration Server viene creato automaticamente durante l'installazione del componente Administration Server e viene archiviato nella cartella %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\1093\cert.

Il certificato di Administration Server è valido per cinque anni, se è stato generato da Administration Server versione 12.2 o precedente. In caso contrario il periodo di validità del certificato è limitato a 397 giorni. Un nuovo certificato viene generato da Administration Server come certificato di riserva 90 giorni prima della data di scadenza del certificato corrente. Successivamente, il nuovo certificato sostituisce automaticamente il certificato corrente un giorno prima della data di scadenza. Tutti i Network Agent nei dispositivi client vengono riconfigurati automaticamente per l'autenticazione di Administration Server con il nuovo certificato.

Certificati personalizzati

Se necessario, è possibile assegnare un certificato personalizzato per Administration Server. Questo può ad esempio essere necessario per una migliore integrazione con l'infrastruttura PKI esistente dell'azienda o per la configurazione personalizzata dei campi dei certificati.

Il periodo di validità massimo di qualsiasi certificato di Administration Server non deve superare i 397 giorni.

Quando si sostituisce il certificato, tutti i Network Agent che sono stati precedentemente connessi ad Administration Server tramite SSL perderanno la connessione e restituiranno un errore di autenticazione di Administration Server. Per eliminare l'errore, sarà necessario ripristinare la connessione dopo la sostituzione del certificato.

In caso di smarrimento del certificato di Administration Server, è necessario reinstallare il componente Administration Server e ripristinare i dati per recuperarlo.

Se si apre Kaspersky Security Center Web Console in browser diversi e si scarica il file del certificato dell'Administration Server nella finestra delle proprietà dell'Administration Server, i file scaricati hanno nomi diversi.

Requisiti per i certificati personalizzati utilizzati in Kaspersky Security Center

La seguente tabella visualizza i requisiti per i certificati personalizzati specificati per i diversi componenti di Kaspersky Security Center.

Requisiti per i certificati di Kaspersky Security Center

Scenario: Specificazione del certificato di Administration Server personalizzato

È possibile assegnare il certificato di Administration Server personalizzato, ad esempio per una migliore integrazione con l'infrastruttura a chiave pubblica (PKI) esistente dell'azienda o per la configurazione personalizzata dei campi del certificato. È consigliabile sostituire il certificato subito dopo l'installazione di Administration Server e prima del completamento dell'Avvio rapido guidato.

Il periodo di validità massimo di qualsiasi certificato di Administration Server non deve superare i 397 giorni.

Prerequisiti

Devono essere soddisfatte le seguenti condizioni:

• Il nuovo certificato deve essere creato nel formato PKCS#12 (ad esempio tramite il PKI dell'organizzazione).
• Per il nuovo certificato devono essere soddisfatti i requisiti elencati nella tabella di seguito.
• Nella tabella seguente, prestare attenzione al requisito "CA: true", che significa che il nuovo certificato deve essere emesso da un'autorità di certificazione (CA) attendibile. Il nuovo certificato con il requisito "CA: true" deve includere l'intera catena di attendibilità e una chiave privata, che deve essere archiviata nel file con estensione pfx o p12.

  Requisiti per i certificati di Administration Server

  Tipo di certificato	Requisiti
  Certificato comune, certificato di riserva comune ("C", "CR")	Lunghezza minima della chiave: 2048. Vincoli di base: Vincolo lunghezza percorso: nessuno Il valore Vincolo lunghezza percorso può essere un valore intero diverso da "Nessuno", ma non inferiore a 1. Utilizzo chiave: Firma digitale Firma del certificato Criptaggio chiavi Firma CRL EKU (Extended Key Usage): autenticazione del server e autenticazione del client. Il parametro EKU è facoltativo, ma se il certificato lo contiene, i dati di autenticazione del server e del client devono essere specificati nell'EKU.
  Certificato mobile, certificato di riserva mobile ("M", "MR")	Lunghezza minima della chiave: 2048. Vincoli di base: CA: true Vincolo lunghezza percorso: nessuno Il valore Vincolo lunghezza percorso può essere un valore intero diverso da "Nessuno" se il certificato comune ha un valore Vincolo lunghezza percorso non inferiore a 1. Utilizzo chiave: Firma digitale Firma del certificato Criptaggio chiavi Firma CRL EKU (Extended Key Usage): autenticazione del server. L'EKU è facoltativo, ma se il certificato lo contiene, i dati di autenticazione del server devono essere specificati nell'EKU.
  CA certificato per certificati utente generati automaticamente ("MCA")	Lunghezza minima della chiave: 2048. Vincoli di base: CA: true Vincolo lunghezza percorso: nessuno Il valore Vincolo lunghezza percorso può essere un valore intero diverso da "Nessuno" se il certificato comune ha un valore Vincolo lunghezza percorso non inferiore a 1. Utilizzo chiave: Firma digitale Firma del certificato Criptaggio chiavi Firma CRL EKU (Extended Key Usage): autenticazione del client. L'EKU è facoltativo, ma se il certificato lo contiene, i dati di autenticazione del client devono essere specificati nell'EKU.

I certificati rilasciati da un'autorità di certificazione pubblica non dispongono dell'autorizzazione di firma del certificato. Per utilizzare tali certificati, assicurarsi di aver installato Network Agent versione 13 o successiva nei punti di distribuzione o nei gateway di connessione della rete. In caso contrario, non sarà possibile utilizzare i certificati senza l'autorizzazione di firma.

Passaggi

Sono necessari alcuni passaggi per specificare il certificato di Administration Server:

1. Sostituzione del certificato di Administration Server

   A tale scopo, utilizzare la riga di comando utilità klsetsrvcert.

2. Specificazione di un nuovo certificato e ripristino della connessione dei Network Agent ad Administration Server

   Quando il certificato viene sostituito, tutti i Network Agent precedentemente connessi ad Administration Server tramite SSL perdono la connessione e restituiscono un errore di autenticazione di Administration Server. Per specificare il nuovo certificato e ripristinare la connessione, utilizzare l'utilità klmover della riga di comando.

3. Specifica di un nuovo certificato nelle impostazioni di Kaspersky Security Center Web Console

   Dopo aver sostituito il certificato, specificarlo nelle impostazioni di Kaspersky Security Center Web Console. In caso contrario, Kaspersky Security Center Web Console non sarà in grado di connettersi all'Administration Server.

Risultati

Al termine dello scenario, il certificato di Administration Server viene sostituito e il server viene autenticato dai Network Agent nei dispositivi gestiti.

Sostituzione del certificato di Administration Server con l'utilità klsetsrvcert

Per sostituire il certificato di Administration Server:

Dalla riga di comando eseguire la seguente utilità:

klsetsrvcert [-t <type> {-i <inputfile> [-p <password>] [-o <chkopt>] | -g <dnsname>}][-f <time>][-r <calistfile>][-l <logfile>]

Non è necessario scaricare l'utilità klsetsrvcert. È inclusa nel kit di distribuzione di Kaspersky Security Center. Non è compatibile con le versioni precedenti di Kaspersky Security Center.

La descrizione dei parametri dell'utilità klsetsrvcert è contenuta nella seguente tabella.

Valori dei parametri dell'utilità klsetsrvcert

Per specificare il certificato personalizzato di Administration Server, utilizzare ad esempio il seguente comando:

klsetsrvcert -t C -i <inputfile> -p <password> -o NoCA

Dopo la sostituzione del certificato, tutti i Network Agent connessi ad Administration Server tramite SSL perdono la connessione. Per ripristinarla, utilizzare l'utilità klmover della riga di comando.

Per evitare di perdere le connessioni di Network Agent, utilizzare i seguenti comandi:

1. Per installare il nuovo certificato,
   klsetsrvcert.exe -t CR -i <inputfile> -p <password> -o NoCA
2. Per specificare la data in cui verrà applicato il nuovo certificato,
   klsetsrvcert.exe -f "DD-MM-YYYY hh:mm"

dove "DD-MM-YYYY hh:mm" è la data di 3-4 settimane successive alla data attuale. Lo slittamento temporale per la modifica del certificato in uno nuovo consentirà la distribuzione del nuovo certificato a tutti i Network Agent.

Connessione dei Network Agent ad Administration Server con l'utilità klmover

Dopo aver sostituito il certificato di Administration Server utilizzando l'utilità klsetsrvcert della riga di comando, è necessario stabilire la connessione SSL tra Network Agent e Administration Server in quanto la connessione è interrotta.

Per specificare il nuovo certificato di Administration Server e ripristinare la connessione:

Dalla riga di comando eseguire la seguente utilità:

klmover [-address <indirizzo server>] [-pn <numero porta>] [-ps <numero porta SSL>] [-nossl] [-cert <percorso del file di certificato>]

I diritti di amministratore sono necessari per eseguire l'utilità.

Questa utilità viene copiata automaticamente nella cartella di installazione di Network Agent, quando Network Agent viene installato in un dispositivo client.

Se l'opzione Usa password di disinstallazione è abilitata nelle impostazioni dei criteri di Network Agent e viene utilizzata la versione 15 di Network Agent, l'utilità klmover richiede la password corrispondente. È possibile utilizzare l'utilità klcsngtgui ubicata nella cartella di installazione di Network Agent per verificare la versione di Network Agent.

Non è possibile utilizzare l'utilità klmover per i dispositivi client connessi ad Administration Server tramite gateway di connessione. Per tali dispositivi è necessario riconfigurare Network Agent o reinstallarlo e specificare il gateway di connessione.

La descrizione dei parametri dell'utilità klmover è contenuta nella seguente tabella.

Valori dei parametri dell'utilità klmover

Ad esempio, per connettere Network Agent ad Administration Server, eseguire il seguente comando:

klmover -address kscserver.mycompany.com -logfile klmover.log

Riemissione del certificato del server Web

Il certificato Server Web utilizzato in Kaspersky Security Center è necessario per pubblicare i pacchetti di installazione di Network Agent scaricati successivamente nei dispositivi gestiti, nonché per pubblicare profili MDM iOS, app iOS e pacchetti di installazione di Kaspersky Endpoint Security for Mobile. A seconda della configurazione dell'applicazione corrente, vari certificati possono funzionare come certificato del Server Web (per ulteriori dettagli, vedere Informazioni sui certificati di Kaspersky Security Center).

Potrebbe essere necessario riemettere il certificato del Server Web per soddisfare i requisiti di sicurezza specifici della propria organizzazione o per mantenere la connessione continua dei dispositivi gestiti prima di avviare l'aggiornamento dell'applicazione. Kaspersky Security Center offre due modi per riemettere il certificato del Server Web; la scelta tra i due metodi dipende dal fatto che si disponga di dispositivi mobili connessi e gestiti tramite protocollo mobile (ovvero utilizzando il certificato mobile).

Se non è stato mai specificato il certificato personalizzato come certificato del Server Web nella sezione Server Web della finestra delle proprietà di Administration Server, il certificato mobile funge da certificato del Server Web. In questo caso, la riemissione del certificato del Server Web viene eseguita attraverso la riemissione del protocollo mobile stesso.

Per riemettere il certificato del Server Web quando non si dispone di dispositivi mobili gestiti tramite il protocollo mobile:

1. Nella struttura della console fare clic con il pulsante destro del mouse sul nome dell'Administration Server pertinente e nel menu di scelta rapida selezionare Proprietà.
2. Nella finestra delle proprietà di Administration Server visualizzata, nel riquadro a sinistra selezionare la sezione Impostazioni di connessione di Administration Server.
3. Nell'elenco delle sottosezioni selezionare la sottosezione Certificati.
4. Se si prevede di continuare a utilizzare il certificato emesso da Kaspersky Security Center, procedere come segue:
   1. Nel riquadro di destra, nel gruppo di impostazioni Autenticazione Administration Server da parte dei dispositivi mobili, selezionare l'opzione Certificato emesso tramite Administration Server e fare clic sul pulsante Riemetti.
   2. Nella finestra Riemetti certificato visualizzata, nel gruppo di impostazioni Indirizzo di connessione e Termine di attivazione, selezionare le opzioni pertinenti e fare clic su OK.
   3. Nella finestra di conferma fare clic su Sì.

   In alternativa, se si prevede di utilizzare il proprio certificato personalizzato, procedere come segue:

   1. Verificare se il certificato personalizzato soddisfa i requisiti di Kaspersky Security Center e i requisiti per i certificati attendibili di Apple. Se necessario, modificare il certificato.
   2. Selezionare l'opzione Altro certificato e fare clic sul pulsante Sfoglia.
   3. Nella finestra Certificato visualizzata, nel campo Tipo di certificato, selezionare il tipo di certificato, quindi specificare le impostazioni e la posizione del certificato:
      • Se è stato selezionato Contenitore PKCS #12, fare clic sul pulsante Sfoglia accanto al campo File di certificato e specificare il file del certificato nel disco rigido. Se il file del certificato è protetto da password, immettere la password nel campo Password (se presente).
      • Se è stato selezionato Certificato X.509, fare clic sul pulsante Sfoglia accanto al campo Chiave privata (.prk, .pem) e specificare la chiave privata nel disco rigido. Se la chiave privata è protetta da password, immettere la password nel campo Password (se presente). Quindi fare clic sul pulsante Sfoglia accanto al campo Chiave pubblica (.cer) e specificare la chiave privata nel disco rigido.
   4. Nella finestra Certificato fare clic su OK.
   5. Nella finestra di conferma fare clic su Sì.

   Il certificato mobile viene riemesso per essere utilizzato come certificato del Server Web.

Per riemettere il certificato del Server Web quando si dispone di dispositivi mobili gestiti tramite il protocollo mobile:

1. Generare il certificato personalizzato e preparalo per l'utilizzo in Kaspersky Security Center. Verificare se il certificato personalizzato soddisfa i requisiti di Kaspersky Security Center e i requisiti per i certificati attendibili di Apple. Se necessario, modificare il certificato.

   È possibile utilizzare l'utilità kliossrvcertgen.exe per la generazione del certificato.

2. Nella struttura della console fare clic con il pulsante destro del mouse sul nome dell'Administration Server pertinente e nel menu di scelta rapida selezionare Proprietà.
3. Nel riquadro a sinistra della finestra delle proprietà di Administration Server visualizzata selezionare la sezione Server Web.
4. Nel menu Tramite HTTPS selezionare l'opzione Specifica un altro certificato.
5. Nel menu Tramite HTTPS fare clic sul pulsante Cambia.
6. Nella finestra Certificato visualizzata, nel campo Tipo di certificato selezionare il tipo di certificato:
   • Se è stato selezionato Contenitore PKCS #12, fare clic sul pulsante Sfoglia accanto al campo File di certificato e specificare il file del certificato nel disco rigido. Se il file del certificato è protetto da password, immettere la password nel campo Password (se presente).
   • Se è stato selezionato Certificato X.509, fare clic sul pulsante Sfoglia accanto al campo Chiave privata (.prk, .pem) e specificare la chiave privata nel disco rigido. Se la chiave privata è protetta da password, immettere la password nel campo Password (se presente). Quindi fare clic sul pulsante Sfoglia accanto al campo Chiave pubblica (.cer) e specificare la chiave privata nel disco rigido.
7. Nella finestra Certificato fare clic su OK.
8. Se necessario, nella finestra delle proprietà di Administration Server, nel campo Porta HTTPS del server Web modificare il numero della porta HTTPS per il Server Web. Fare clic su OK.

   Il certificato del Server Web viene riemesso.