Utilizzo dei certificati dei dispositivi mobili

Questa sezione contiene informazioni sull'utilizzo dei certificati dei dispositivi mobili.

Il certificato root per i dispositivi mobili ha una scadenza fissa di 700 giorni dopo la generazione. Il certificato di riserva viene generato 60 giorni prima della data di scadenza. È possibile modificare il periodo di tempo per la generazione di un certificato di riserva con il seguente comando:

klscflag.exe -fset -pv klserver -n KLSRV_AKLWNGT_MDM_CERT_CHANGE_TIMEOUT -t d -v <timeout in secondi>

Il periodo di tempo per la generazione di un certificato di riserva deve essere sufficientemente lungo da consentire a tutti i dispositivi mobili gestiti di sincronizzarsi con Administration Server e recuperare il certificato.

L'utilità klscflag si trova nella cartella in cui è installato Administration Server. Il percorso di installazione predefinito è <Disco>:\Programmi (x86)\ Kaspersky Lab\ Kaspersky Security Center.

Il rinnovo manuale del certificato root per i dispositivi mobili non è supportato.

Avvio dell'Installazione guidata certificato

È possibile installare i seguenti tipi di certificati nel dispositivo mobile di un utente:

• Certificati condivisi per l'identificazione del dispositivo mobile
• Certificati di posta per la configurazione della posta aziendale nel dispositivo mobile
• Certificato VPN per la configurazione dell'accesso a una rete privata virtuale (VPN) nel dispositivo mobile

Per installare un certificato nel dispositivo mobile di un utente:

1. Nella struttura della console espandere la cartella Mobile Device Management, quindi selezionare la sottocartella Certificati.
2. Nell'area di lavoro della cartella Certificati fare clic sul collegamento Aggiungi certificato per eseguire l'Installazione guidata certificato.

Seguire le istruzioni della procedura guidata.

Al termine della procedura guidata, verrà creato un certificato che sarà aggiunto all'elenco dei certificati dell'utente; verrà inoltre inviata una notifica all'utente contenente un collegamento per il download e l'installazione del certificato nel dispositivo mobile. È possibile visualizzare l'elenco di tutti i certificati ed esportarlo in un file. È possibile eliminare e riemettere i certificati, nonché visualizzarne le proprietà.

Passaggio 1. Selezionare il tipo di certificato

Specificare il tipo di certificato che deve essere installato nel dispositivo mobile dell'utente:

• Certificato mobile: per l'identificazione del dispositivo mobile
• Certificato di posta: per la configurazione della posta aziendale nel dispositivo mobile
• Certificato VPN: per la configurazione dell'accesso a una rete privata virtuale (VPN) nel dispositivo mobile

Passaggio 2. Selezione del tipo di dispositivo

Questa finestra viene visualizzata solo se è stato selezionato Certificato di posta o Certificato VPN come tipo di certificato.

Specificare il tipo di sistema operativo nel dispositivo:

• Dispositivo MDM iOS. Selezionare questa opzione se è necessario installare un certificato in un dispositivo mobile connesso al server MDM iOS utilizzando il protocollo MDM iOS.
• Dispositivo KES gestito da Kaspersky Security for Mobile. Selezionare questa opzione se è necessario installare un certificato in un dispositivo KES. In questo caso, il certificato verrà utilizzato per l'identificazione dell'utente a ogni connessione all'Administration Server.
• Dispositivo KES connesso ad Administration Server senza l'autenticazione del certificato utente. Selezionare questa opzione se è necessario installare un certificato in un dispositivo KES senza l'utilizzo dell'autenticazione del certificato. In questo caso, durante il passaggio finale della procedura guidata, nella finestra Metodo di notifica all'utente l'amministratore deve selezionare il tipo di autenticazione utente utilizzato a ogni connessione ad Administration Server.

Passaggio 3. Selezione di un utente

Nell'elenco selezionare gli utenti, i gruppi di sicurezza o i gruppi di sicurezza Active Directory per cui è necessario installare il certificato.

Nella finestra Selezione utente è possibile eseguire una ricerca degli

Passaggio 4. Selezione dell'origine del certificato

In questa finestra è possibile selezionare l'origine del certificato che verrà utilizzato da Administration Server per identificare il dispositivo mobile. È possibile specificare un certificato utilizzando uno dei seguenti metodi:

• Creare un certificato automaticamente, tramite gli strumenti di Administration Server, quindi inviare il certificato al dispositivo.
• Specificare un file di certificato che è stato creato in precedenza. Questo metodo non è disponibile se sono stati selezionati più utenti nel passaggio precedente.

Se è necessario inviare a un utente una notifica relativa alla creazione di un certificato per il dispositivo mobile, selezionare la casella di controllo Pubblica certificato.

Se il dispositivo mobile dell'utente è già stato autenticato in precedenza tramite un certificato, quindi non è necessario specificare il nome di un account e la password per ricevere un nuovo certificato, deselezionare la casella di controllo Pubblica certificato. In questo caso, la finestra Metodo di notifica all'utente non verrà visualizzata.

Passaggio 5. Assegnazione di un tag al certificato

La finestra Tag certificato viene visualizzata se Dispositivo MDM iOS è stato selezionato in Tipo di dispositivo.

Nell'elenco a discesa è possibile assegnare un tag al certificato del dispositivo MDM iOS dell'utente. Il certificato con il tag assegnato può avere specifici parametri impostati per il tag nelle proprietà del criterio di Kaspersky Device Management for iOS.

L'elenco a discesa richiede di selezionare il tag Modello di certificato 1, Modello di certificato 2 o Modello di certificato 3. È possibile configurare i tag nelle seguenti sezioni:

• Se è stato selezionato Certificato di posta nella finestra Tipo di certificato, i relativi tag possono essere configurati nelle proprietà dell'account Exchange ActiveSync per i dispositivi mobili (Dispositivi gestiti → Criteri → Proprietà del criterio di Kaspersky Device Management for iOS → sezione Exchange ActiveSync → Aggiungi → Avanzate).
• Se è stato selezionato Certificato VPN nella finestra Tipo di certificato, i relativi tag possono essere configurati nelle proprietà della VPN per i dispositivi mobili (Dispositivi gestiti → Criteri → Proprietà del criterio di Kaspersky Device Management for iOS → sezione VPN → Aggiungi →Avanzate). Non è possibile configurare i tag utilizzati per i certificati VPN se è selezionato il tipo di connessione L2TP, PPTP o IPSec (Cisco) per la VPN.

Passaggio 6. Specificazione delle impostazioni di pubblicazione del certificato

Espandi tutto | Comprimi tutto

In questa finestra è possibile specificare le seguenti impostazioni di pubblicazione del certificato:

• Non inviare una notifica all'utente su un nuovo certificato

  Abilitare questa opzione se non si desidera inviare a un utente una notifica sulla creazione di un certificato per il dispositivo mobile dell'utente. In questo caso, la finestra Metodo di notifica all'utente non verrà visualizzata.

  Questa opzione è disponibile solo per i dispositivi in cui è installato Kaspersky Endpoint Security for Android.

  È consigliabile abilitare questa opzione, ad esempio se il dispositivo mobile dell'utente è già stato precedentemente autenticato tramite un certificato, in modo da evitare di dover specificare un nome account e la password per ricevere un nuovo certificato.

• Consenti al dispositivo di avere più ricezioni di un singolo certificato (solo per i dispositivi in cui è installato Kaspersky Endpoint Security for Android)

  Abilitare questa opzione se si desidera che Kaspersky Security Center reinvii automaticamente il certificato ogni volta che sta per scadere o quando non viene trovato nel dispositivo di destinazione.

  Il certificato viene reinviato automaticamente diversi giorni prima della data di scadenza del certificato. È possibile impostare il numero di giorni nella finestra Regole di emissione certificati.

  In alcuni casi, è impossibile trovare il certificato nel dispositivo. Questo può ad esempio verificarsi quando l'utente reinstalla l'applicazione di protezione Kaspersky nel dispositivo o reimposta le impostazioni e i dati del dispositivo alle impostazioni predefinite. In questo caso, Kaspersky Security Center controlla l'ID dispositivo al successivo tentativo del dispositivo di connettersi all'Administration Server. Se il dispositivo ha lo stesso ID che aveva nel momento in cui è stato emesso il certificato, l'applicazione reinvia il certificato al dispositivo.

Passaggio 7. Selezione del metodo di notifica all'utente

Espandi tutto | Comprimi tutto

Questa finestra non viene visualizzata se è stato selezionato Dispositivo MDM iOS come tipo di dispositivo o se è stata selezionata l'opzione Non inviare una notifica all'utente su un nuovo certificato.

Nella finestra Metodo di notifica all'utente è possibile configurare la notifica utente in merito all'installazione del certificato nel dispositivo mobile.

Nel campo Metodo di autenticazione specificare il tipo di autenticazione utente:

• Credenziali (dominio o alias)

  In questo caso, l'utente utilizza la password di dominio o la password di un utente interno di Kaspersky Security Center per ricevere un nuovo certificato.

• Password monouso

  In questo caso, l'utente riceve una password monouso che verrà inviata tramite e-mail o SMS. È necessario immettere questa password per ricevere un nuovo certificato.

  Questa opzione diventa Password se è stata abilitata (selezionata) l'opzione Consenti al dispositivo più ricezioni di un singolo certificato (solo per i dispositivi in cui sono installate applicazioni di protezione Kaspersky per dispositivi mobili) nella finestra Impostazioni di pubblicazione del certificato.

• Password

  In questo caso, la password viene utilizzata ogni volta che il certificato viene inviato all'utente.

  Questa opzione diventa Password monouso se è stata disabilitata (deselezionata) l'opzione Consenti al dispositivo più ricezioni di un singolo certificato (solo per i dispositivi in cui sono installate applicazioni di protezione Kaspersky per dispositivi mobili) nella finestra Impostazioni di pubblicazione del certificato.

Questo campo viene visualizzato se è stato selezionato Certificato mobile nella finestra Tipo di certificato o se è stato selezionato Dispositivo KES connesso ad Administration Server senza l'autenticazione del certificato utente come tipo di dispositivo.

Selezionare l'opzione per la notifica all'utente:

• Mostra la password di autenticazione al termine della procedura guidata

  Se si seleziona questa opzione, nel passaggio finale dell'Installazione guidata certificato verranno visualizzati il nome utente, il nome utente in Security Account Manager (SAM) e la password per il recupero del certificato per ogni utente selezionato. La configurazione della notifica all'utente dell'installazione di un certificato non sarà disponibile.

  Quando si aggiungono certificati per più utenti, è possibile salvare le credenziali specificate in un file facendo clic sul pulsante Esporta durante l'ultimo passaggio dell'Installazione guidata certificato.

  Questa opzione non è disponibile se è stata selezionata l'opzione Credenziali (dominio o alias) durante il passaggio Metodo di notifica all'utente dell'Installazione guidata certificato.

• Invia una notifica all'utente sul nuovo certificato

  Se si seleziona questa opzione, è possibile configurare la notifica all'utente su un nuovo certificato.

  • Tramite e-mail

    In questo gruppo di impostazioni è possibile configurare la notifica all'utente dell'installazione di un nuovo certificato nel dispositivo mobile tramite messaggi e-mail. Questo metodo di notifica è disponibile solo se l'opzione Server SMTP è abilitata.

    Fare clic sul collegamento Modifica messaggio per visualizzare e modificare il messaggio di notifica, se necessario.

  • Tramite SMS

    In questo gruppo di impostazioni è possibile configurare la notifica all'utente sull'utilizzo di un SMS per l'installazione di un certificato nei dispositivi mobili. Questo metodo di notifica è disponibile solo se l'opzione Notifica tramite SMS è abilitata.

    Fare clic sul collegamento Modifica messaggio per visualizzare e modificare il messaggio di notifica, se necessario.

Passaggio 8. Generazione del certificato

In questo passaggio viene creato il certificato.

È possibile fare clic su Fine per uscire dalla procedura guidata.

Il certificato viene generato e visualizzato nell'elenco dei certificati nell'area di lavoro della cartella Certificati.

Configurazione delle regole di emissione dei certificati

I certificati vengono utilizzati per l'autenticazione dei dispositivi in Administration Server. Tutti i dispositivi mobili gestiti devono disporre di certificati. È possibile configurare la modalità di emissione dei certificati.

Per configurare le regole di emissione dei certificati:

1. Nella struttura della console espandere la cartella Mobile Device Management, quindi selezionare la sottocartella Certificati.
2. Nell'area di lavoro della cartella Certificati fare clic sul pulsante Configura regole di emissione certificati per aprire la finestra Regole di emissione certificati.
3. Passare alla sezione con il nome di un tipo di certificato:

   Emissione di certificati mobili: per configurare l'emissione dei certificati per i dispositivi mobili.

   Emissione di certificati di posta: per configurare l'emissione dei certificati di posta.

   Emissione di certificati VPN: per configurare l'emissione dei certificati VPN.

4. Nella sezione Impostazioni di emissione configurare l'emissione del certificato:
   • Specificare la durata del certificato in giorni.

     I certificati per i dispositivi mobili sono limitati dalla data di scadenza del certificato root. Se si specifica una durata del certificato più lunga della data di scadenza del certificato root, la durata del certificato verrà adattata automaticamente al momento della generazione.

   • Selezionare un'origine certificato (Administration Server o Certificati specificati manualmente).

     Administration Server è selezionato come origine predefinita dei certificati.

   • Specificare un modello di certificato (Modello predefinito, Altro modello).

     La configurazione dei modelli è disponibile se nella sezione Integrazione con PKI è abilitata l'integrazione con infrastruttura a chiave pubblica (PKI).

5. Nella sezione Impostazioni degli aggiornamenti automatici configurare gli aggiornamenti automatici del certificato:
   • Nel campo Rinnova quando la scadenza del certificato è prevista tra (giorni) specificare con quanti giorni di anticipo prima della scadenza deve essere rinnovato il certificato.
   • Per abilitare gli aggiornamenti automatici dei certificati, selezionare la casella di controllo Riemetti automaticamente il certificato se possibile.
6. Nella sezione Protezione tramite password abilitare e configurare l'utilizzo di una password durante il decriptaggio dei certificati.

   Protezione tramite password è disponibile solo per i certificati mobili.

   1. Selezionare la casella di controllo Richiedi la password durante l'installazione del certificato.
   2. Utilizzare l'indicatore scorrevole per definire il numero massimo di simboli nella password per il criptaggio.
7. Fare clic su OK.

Integrazione con PKI (Public Key Infrastructure)

Per semplificare l'emissione dei certificati di dominio agli utenti è richiesta l'integrazione dell'applicazione con PKI (Public Key Infrastructure). In seguito all'integrazione, i certificati vengono rilasciati automaticamente.

La versione minima supportata del server PKI è Windows Server 2008.

È necessario configurare l'account per l'integrazione con PKI. L'account deve soddisfare i seguenti requisiti:

• Essere un utente di dominio e un amministratore in un dispositivo in cui è installato Administration Server.
• Disporre del privilegio SeServiceLogonRight nel dispositivo in cui è installato Administration Server.

Per creare un profilo utente permanente, eseguire l'accesso almeno una volta utilizzando l'account configurato nel dispositivo in cui è installato Administration Server. Nell'archivio dei certificati dell'utente nel dispositivo Administration Server installare l'Enrollment Agent Certificate fornito dagli amministratori del dominio.

Per configurare l'integrazione con PKI (Public Keys Infrastructure):

1. Nella struttura della console espandere la cartella Mobile Device Management, quindi selezionare la sottocartella Certificati.
2. Nell'area di lavoro fare clic sul pulsante Integra con infrastruttura a chiave pubblica (PKI) per aprire la sezione Integrazione con PKI della finestra Regole di emissione certificati.

   Verrà visualizzata la sezione Integrazione con PKI della finestra Regole di emissione certificati.

3. Selezionare la casella di controllo Integra emissione certificati con PKI.
4. Nel campo Account specificare il nome dell'account utente da utilizzare per l'integrazione con l'infrastruttura a chiave pubblica (PKI).
5. Nel campo Password immettere la password di dominio per l'account.
6. Nell'elenco Nome del modello di certificato nel sistema PKI selezionare il modello di certificato che verrà utilizzato per l'emissione dei certificati per gli utenti di dominio.

   In Kaspersky Security Center verrà eseguito un servizio dedicato con l'account specificato. Tale servizio si occupa dell'emissione dei certificati di dominio degli utenti. Il servizio viene eseguito quando l'elenco dei modelli di certificato viene caricato facendo clic sul pulsante Aggiorna elenco o quando si genera un certificato.

7. Fare clic su OK per salvare le impostazioni.

In seguito all'integrazione, i certificati vengono rilasciati automaticamente.

Abilitazione del supporto per la delega vincolata Kerberos

L'applicazione supporta l'utilizzo della delega vincolata Kerberos.

Per abilitare il supporto per la delega vincolata Kerberos:

1. Nella struttura della console aprire la cartella Mobile Device Management.
2. Nella cartella Mobile Device Management della struttura della console selezionare la sottocartella Server per dispositivi mobili.
3. Nell'area di lavoro della cartella Server per dispositivi mobili selezionare un server per dispositivi mobili MDM iOS.
4. Nel menu di scelta rapida del server per dispositivi mobili MDM iOS selezionare Proprietà.
5. Nella finestra delle proprietà del server per dispositivi mobili MDM iOS selezionare la sezione Impostazioni.
6. Nella sezione Impostazioni selezionare la casella di controllo Assicura la compatibilità con la delega vincolata Kerberos.
7. Fare clic su OK.