Sommario
- Certificati per l’utilizzo di Kaspersky Security Center Linux
- Informazioni sui certificati di Kaspersky Security Center
- Requisiti per i certificati personalizzati utilizzati in Kaspersky Security Center Linux
- Riemissione del certificato per Kaspersky Security Center Web Console
- Sostituzione del certificato per Kaspersky Security Center Web Console
- Conversione di un certificato PFX nel formato PEM
- Scenario: Specificazione del certificato di Administration Server personalizzato
- Sostituzione del certificato di Administration Server con l'utilità klsetsrvcert
- Connessione dei Network Agent ad Administration Server con l'utilità klmover
Certificati per l’utilizzo di Kaspersky Security Center Linux
Questa sezione contiene informazioni sui certificati di Kaspersky Security Center Linux e descrive come emettere e sostituire certificati per Kaspersky Security Center Web Console e come rinnovare un certificato per Administration Server se il Server interagisce con Kaspersky Security Center Web Console.
Informazioni sui certificati di Kaspersky Security Center
Kaspersky Security Center utilizza i seguenti tipi di certificati per consentire un'interazione sicura tra i componenti dell'applicazione:
- Certificato di Administration Server
- Certificato Server Web
- Certificato di Kaspersky Security Center Web Console
Per impostazione predefinita, Kaspersky Security Center utilizza certificati autofirmati (ovvero emessi da Kaspersky Security Center stesso), ma è possibile sostituirli con certificati personalizzati per soddisfare al meglio i requisiti della rete dell'organizzazione e rispettare gli standard di sicurezza. Quando Administration Server verifica che un certificato personalizzato soddisfa tutti i requisiti applicabili, il certificato assume lo stesso ambito funzionale di un certificato autofirmato. L'unica differenza è che un certificato personalizzato non viene riemesso automaticamente alla scadenza. È possibile sostituire i certificati con quelli personalizzati tramite l'utilità klsetsrvcert o la sezione delle proprietà di Administration Server in Kaspersky Security Center Web Console, a seconda del tipo di certificato. Quando si utilizza l'utilità klsetsrvcert, è necessario specificare un tipo di certificato utilizzando uno dei seguenti valori:
- C: certificato comune per le porte 13000 e 13291.
- CR: certificato di riserva comune per le porte 13000 e 13291.
Il periodo di validità massimo di qualsiasi certificato di Administration Server non deve superare i 397 giorni.
Certificati di Administration Server
Un certificato di Administration Server è necessario per i seguenti scopi:
- Autenticazione di Administration Server durante la connessione a Kaspersky Security Center Web Console
- Interazione sicura tra Administration Server e Network Agent nei dispositivi gestiti
- Autenticazione quando gli Administration Server primari sono connessi agli Administration Server secondari
Il certificato di Administration Server viene creato automaticamente durante l'installazione del componente Administration Server e viene archiviato nella cartella /var/opt/kaspersky/klnagent_srv/1093/cert/. Specificare il certificato di Administration Server quando si crea un file di risposta per installare Kaspersky Security Center Web Console. Questo certificato è denominato comune ("C").
Il certificato di Administration Server è valido per 397 giorni. Kaspersky Security Center genera automaticamente un certificato ("CR") di riserva comune 90 giorni prima della scadenza del certificato comune. Il certificato di riserva comune viene successivamente utilizzato per la sostituzione immediata del certificato di Administration Server. Quando il certificato comune sta per scadere, il certificato di riserva comune viene utilizzato per gestire la connessione con le istanze di Network Agent installate nei dispositivi gestiti. A tale scopo, il certificato di riserva comune diventa automaticamente il nuovo certificato comune 24 ore prima della scadenza del certificato comune precedente.
Il periodo di validità massimo di qualsiasi certificato di Administration Server non deve superare i 397 giorni.
Se necessario, è possibile assegnare un certificato personalizzato per Administration Server. Questo può ad esempio essere necessario per una migliore integrazione con l'infrastruttura PKI esistente dell'azienda o per la configurazione personalizzata dei campi dei certificati. Quando si sostituisce il certificato, tutti i Network Agent che sono stati precedentemente connessi ad Administration Server tramite SSL perderanno la connessione e restituiranno un errore di autenticazione di Administration Server. Per eliminare l'errore, sarà necessario ripristinare la connessione dopo la sostituzione del certificato.
In caso di smarrimento del certificato di Administration Server, è necessario reinstallare il componente Administration Server e ripristinare i dati per recuperarlo.
È inoltre possibile eseguire il backup del certificato di Administration Server separatamente dalle altre impostazioni di Administration Server per spostare Administration Server da un dispositivo all'altro senza perdite di dati.
Certificati mobili
Per l'autenticazione di Administration Server nei dispositivi mobili è richiesto un certificato mobile ("M"). Il certificato mobile viene specificato nelle proprietà di Administration Server.
Esiste inoltre un certificato di riserva mobile ("MR"): viene utilizzato per la sostituzione immediata del certificato mobile. Kaspersky Security Center genera automaticamente questo certificato 60 giorni prima della scadenza del certificato comune. Quando il certificato mobile sta per scadere, il certificato di riserva mobile viene utilizzato per gestire la connessione con le istanze di Network Agent installate nei dispositivi mobili gestiti. A tale scopo, il certificato di riserva mobile diventa automaticamente il nuovo certificato mobile 24 ore prima della scadenza del certificato mobile precedente.
Se lo scenario di connessione richiede l'utilizzo di un certificato client nei dispositivi mobili (connessione che implica l'autenticazione SSL bidirezionale), è possibile generare tali certificati tramite l'autorità di certificazione per i certificati utente generati automaticamente ("MCA"). Inoltre, nelle proprietà di Administration Server, è possibile specificare certificati client personalizzati emessi da un'altra autorità di certificazione, mentre l'integrazione con l'infrastruttura a chiave pubblica (PKI) del dominio dell'organizzazione consente di emettere certificati client tramite l'autorità di certificazione del dominio.
Certificato Server Web
Il server Web, un componente di Kaspersky Security Center Administration Server, utilizza un tipo speciale di certificato. Questo certificato è necessario per pubblicare i pacchetti di installazione di Network Agent che vengono successivamente scaricati nei dispositivi gestiti. A tale scopo, Server Web può utilizzare diversi certificati.
Server Web utilizza uno dei seguenti certificati, in ordine di priorità:
- Certificato Server Web personalizzato specificato manualmente tramite Kaspersky Security Center Web Console
- Certificato di Administration Server comune ("C")
Certificato di Kaspersky Security Center Web Console
Il server di Kaspersky Security Center Web Console (di seguito denominato Web Console) dispone di un proprio certificato. Quando si apre un sito Web, un browser verifica se la connessione è attendibile. Il certificato di Web Console consente di autenticare Web Console e viene utilizzato per criptare il traffico tra un browser e Web Console.
Quando si apre Web Console, il browser potrebbe informare che la connessione a Web Console non è privata e il certificato Web Console non è valido. Questo avviso viene visualizzato perché il certificato di Web Console è autofirmato e generato automaticamente da Kaspersky Security Center. Per rimuovere questo avviso è possibile eseguire una delle seguenti operazioni:
- Sostituire il certificato di Web Console con uno personalizzato (opzione consigliata). Creare un certificato attendibile nella propria infrastruttura e che soddisfi i requisiti per i certificati personalizzati.
- Aggiungere il certificato di Web Console all'elenco dei certificati del browser attendibili. È consigliabile utilizzare questa opzione solo se non è possibile creare un certificato personalizzato.
Requisiti per i certificati personalizzati utilizzati in Kaspersky Security Center Linux
La seguente tabella visualizza i requisiti per i certificati personalizzati specificati per i diversi componenti di Kaspersky Security Center Linux.
Requisiti per i certificati di Kaspersky Security Center Linux
Tipo di certificato |
Requisiti |
Commenti |
|---|---|---|
Certificato comune, certificato di riserva comune ("C", "CR") |
Lunghezza minima della chiave: 2048. Vincoli di base:
Utilizzo chiave:
Utilizzo chiavi esteso (opzionale): autenticazione del server, autenticazione del client. |
Il parametro Utilizzo chiavi esteso è facoltativo. Il valore Vincolo lunghezza percorso può essere un valore intero diverso da "Nessuno", ma non inferiore a 1. |
Certificato Server Web |
Utilizzo chiavi esteso: autenticazione del server. Il contenitore PKCS #12 / PEM da cui viene specificato il certificato include l'intera catena di chiavi pubbliche. È presente il Nome alternativo soggetto del certificato; quindi il valore del campo Il certificato soddisfa i requisiti effettivi dei browser Web imposti ai certificati del server, nonché gli attuali requisiti di base del CA/Browser Forum. |
|
Certificato di Kaspersky Security Center Web Console |
Il contenitore PEM da cui viene specificato il certificato include l'intera catena di chiavi pubbliche. È presente il Nome alternativo soggetto del certificato; quindi il valore del campo Il certificato soddisfa i requisiti effettivi dei browser Web per i certificati del server, nonché gli attuali requisiti di base del CA/Browser Forum. |
I certificati criptati non sono supportati da Kaspersky Security Center Web Console. |
Riemissione del certificato per Kaspersky Security Center Web Console
La maggior parte dei browser impone un limite relativo al periodo di validità di un certificato. Per rientrare in questo limite, il periodo di validità del certificato di Kaspersky Security Center Web Console è limitato a 397 giorni. È possibile sostituire un certificato esistente ricevuto da un'autorità di certificazione (CA) emettendo manualmente un nuovo certificato autofirmato. In alternativa, è possibile riemettere il certificato scaduto di Kaspersky Security Center Web Console.
La riemissione automatica del certificato per Kaspersky Security Center Web Console non è supportata È necessario riemettere manualmente il certificato scaduto.
Quando si apre Kaspersky Security Center Web Console, il browser può segnalare che la connessione a Kaspersky Security Center Web Console non è privata e il certificato di Kaspersky Security Center Web Console non è valido. Questo avviso viene visualizzato perché il certificato di Web Console è autofirmato e generato automaticamente da Kaspersky Security Center Linux. Per rimuovere o impedire questo avviso, è possibile eseguire una delle seguenti operazioni:
- Specificare un certificato personalizzato quando lo si emette nuovamente (opzione consigliata). Creare un certificato attendibile nella propria infrastruttura e che soddisfi i requisiti per i certificati personalizzati.
- Aggiungere il certificato di Kaspersky Security Center Web Console all'elenco dei certificati del browser attendibili dopo la riemissione del certificato. È consigliabile utilizzare questa opzione solo se non è possibile creare un certificato personalizzato.
Per riemettere il certificato scaduto di Kaspersky Security Center Web Console:
Reinstallare Kaspersky Security Center Web Console eseguendo una delle seguenti operazioni:
- Se si desidera utilizzare lo stesso file di installazione di Kaspersky Security Center Web Console, rimuovere Kaspersky Security Center Web Console, quindi installare la stessa versione di Kaspersky Security Center Web Console.
- Se si desidera utilizzare un file di installazione di una versione aggiornata, eseguire il comando di upgrade.
Il certificato di Kaspersky Security Center Web Console viene riemesso per un altro periodo di validità di 397 giorni.
Inizio paginaSostituzione del certificato per Kaspersky Security Center Web Console
Per impostazione predefinita, quando si installa Kaspersky Security Center Web Console Server (anche noto come Kaspersky Security Center Web Console), viene generato automaticamente un certificato del browser per l'applicazione. È possibile sostituire il certificato generato automaticamente con uno personalizzato.
Per sostituire il certificato per Kaspersky Security Center Web Console con uno personalizzato:
- Creare un nuovo file di risposta richiesto per l'installazione di Kaspersky Security Center Web Console.
- In questo file specificare i percorsi del file di certificato personalizzato e del file chiave utilizzando il parametro
certPathe il parametrokeyPath. - Reinstallare Kaspersky Security Center Web Console specificando il nuovo file di risposta. Eseguire una delle seguenti operazioni:
- Se si desidera utilizzare lo stesso file di installazione di Kaspersky Security Center Web Console, rimuovere Kaspersky Security Center Web Console, quindi installare la stessa versione di Kaspersky Security Center Web Console.
- Se si desidera utilizzare un file di installazione di una versione aggiornata, eseguire il comando di upgrade.
Kaspersky Security Center Web Console funziona con il certificato specificato.
Inizio paginaConversione di un certificato PFX nel formato PEM
Per utilizzare un certificato PFX in Kaspersky Security Center Web Console, è prima necessario convertirlo nel formato PEM utilizzando un’utilità multipiattaforma basata su OpenSSL.
Per convertire un certificato PFX nel formato PEM nel sistema operativo Linux:
- In un'utilità multipiattaforma basata su OpenSSL, eseguire i seguenti comandi:
openssl pkcs12 -in <filename.pfx> -clcerts -nokeys | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > server.crtopenssl pkcs12 -in <filename.pfx> -nocerts -nodes | sed -ne '/-BEGIN PRIVATE KEY-/,/-END PRIVATE KEY-/p' > key.pem - Assicurarsi che il file del certificato e la chiave privata siano generati nella stessa directory in cui è archiviato il file .pfx.
- Kaspersky Security Center Web Console non supporta i certificati protetti da passphrase. Pertanto, eseguire il comando seguente in un'utilità multipiattaforma basata su OpenSSL per rimuovere una passphrase dal file .pem:
openssl rsa -in key.pem -out key-without-passphrase.pemNon utilizzare lo stesso nome per i file .pem di input e output.
Di conseguenza, il nuovo file .pem non risulta criptato. Non è necessario inserire una passphrase per utilizzarlo.
I file .crt e .pem sono pronti per l'uso e possono essere specificati nel programma di installazione di Kaspersky Security Center Web Console.
Inizio paginaScenario: Specificazione del certificato di Administration Server personalizzato
È possibile assegnare il certificato di Administration Server personalizzato, ad esempio per una migliore integrazione con l'infrastruttura a chiave pubblica (PKI) esistente dell'azienda o per la configurazione personalizzata dei campi del certificato. È consigliabile sostituire il certificato subito dopo l'installazione di Administration Server e prima del completamento dell'Avvio rapido guidato.
Il periodo di validità massimo di qualsiasi certificato di Administration Server non deve superare i 397 giorni.
Prerequisiti
Il nuovo certificato deve essere creato nel formato PKCS#12 (ad esempio tramite l'infrastruttura PKI dell'organizzazione) e deve essere rilasciato da un'autorità di certificazione (CA) attendibile. Inoltre, il nuovo certificato deve includere l'intera catena di attendibilità e una chiave privata, che deve essere archiviata nel file con estensione pfx o p12. Per il nuovo certificato devono essere soddisfatti i requisiti elencati di seguito.
Tipo di certificato: certificato comune, certificato di riserva comune ("C", "CR")
Requisiti:
- Lunghezza minima della chiave: 2048
- Vincoli di base:
- CA: true
- Vincolo lunghezza percorso: nessuno
Il valore Vincolo lunghezza percorso può essere un valore intero diverso da "Nessuno" ma non inferiore a 1.
- Utilizzo chiave:
- Firma digitale
- Firma del certificato
- Cifratura chiave
- Firma CRL
- EKU (Extended Key Usage): autenticazione del server e autenticazione del client. Il parametro EKU è facoltativo, ma se il certificato lo contiene, i dati di autenticazione del server e del client devono essere specificati nell'EKU.
I certificati rilasciati da un'autorità di certificazione pubblica non dispongono dell'autorizzazione di firma del certificato. Per utilizzare tali certificati, assicurarsi di aver installato Network Agent versione 13 o successiva nei punti di distribuzione o nei gateway di connessione della rete. In caso contrario, non sarà possibile utilizzare i certificati senza l'autorizzazione di firma.
Passaggi
Sono necessari alcuni passaggi per specificare il certificato di Administration Server:
- Sostituzione del certificato di Administration Server
A tale scopo, utilizzare la riga di comando utilità klsetsrvcert.
- Specificazione di un nuovo certificato e ripristino della connessione dei Network Agent ad Administration Server
Quando il certificato viene sostituito, tutti i Network Agent precedentemente connessi ad Administration Server tramite SSL perdono la connessione e restituiscono un errore di autenticazione di Administration Server. Per specificare il nuovo certificato e ripristinare la connessione, utilizzare l'utilità klmover della riga di comando.
Risultati
Al termine dello scenario, il certificato di Administration Server viene sostituito e il server viene autenticato dai Network Agent nei dispositivi gestiti.
Sostituzione del certificato di Administration Server con l'utilità klsetsrvcert
Per sostituire il certificato di Administration Server:
Dalla riga di comando eseguire la seguente utilità:
Non è necessario scaricare l'utilità klsetsrvcert. È inclusa nel kit di distribuzione di Kaspersky Security Center Linux. Non è compatibile con le versioni precedenti di Kaspersky Security Center Linux.
La descrizione dei parametri dell'utilità klsetsrvcert è contenuta nella seguente tabella.
Valori dei parametri dell'utilità klsetsrvcert
Parametro |
Valore |
|---|---|
|
Tipo del certificato da sostituire. Possibili valori del parametro
|
|
Pianificazione per la modifica del certificato, utilizzando il formato "GG-MM-AAAA hh:mm" (per le porte 13000 e 13291). Utilizzare questo parametro se si desidera sostituire il certificato comune con il certificato di riserva comune prima della scadenza del certificato comune. Specificare l'ora in cui i dispositivi gestiti devono sincronizzarsi con Administration Server in un nuovo certificato. |
|
Contenitore con il certificato e una chiave privata nel formato PKCS#12 (file con estensione p12 o pfx). |
|
Password utilizzata per la protezione del contenitore p12. Il certificato e una chiave privata vengono archiviati nel contenitore, pertanto è necessaria la password per decriptare il file con il contenitore. |
|
Parametri di convalida del certificato (separati da punto e virgola). Per utilizzare un certificato personalizzato senza l'autorizzazione di firma, specificare Per modificare la lunghezza della chiave di criptaggio per i tipi di certificato C o CR, specificare |
|
Verrà creato un nuovo certificato per il nome DNS specificato. |
|
Elenco delle autorità di certificazione radice attendibili, formato PEM. |
|
File di output dei risultati. Per impostazione predefinita, l'output viene reindirizzato nel flusso di output standard. |
Per specificare il certificato personalizzato di Administration Server, utilizzare ad esempio il seguente comando:
Dopo la sostituzione del certificato, tutti i Network Agent connessi ad Administration Server tramite SSL perdono la connessione. Per ripristinarla, utilizzare l'utilità klmover della riga di comando.
Per evitare di perdere le connessioni di Network Agent, utilizzare i seguenti comandi:
- Per installare il nuovo certificato,klsetsrvcert -t CR -i <inputfile> -p <password> -o NoCA
- Per specificare la data in cui verrà applicato il nuovo certificato,klsetsrvcert -f "DD-MM-YYYY hh:mm"
dove "DD-MM-YYYY hh:mm" è la data di 3-4 settimane successive alla data attuale. Lo slittamento temporale per la modifica del certificato in uno nuovo consentirà la distribuzione del nuovo certificato a tutti i Network Agent.
Connessione dei Network Agent ad Administration Server con l'utilità klmover
È possibile utilizzare l'utilità klmover per ripristinare la connessione da dispositivi non controllati ad Administration Server, ad esempio dopo un errore di Administration Server, se non è possibile eseguire il ripristino da un backup.
Per ripristinare la connessione eseguire l'utilità klmover dalla riga di comando:
- Per Linux:
- Per i sistemi a 32 bit:
/opt/kaspersky/klnagent/bin/klmover [-address <indirizzo server>] [-pn <numero porta>] [-ps <numero porta SSL>] [-nossl] [-cert <percorso del file di certificato>] - Per i sistemi a 64 bit:
/opt/kaspersky/klnagent64/bin/klmover [-address <server address>] [-pn <port number>] [-ps <SSL port number>] [-nossl] [-cert <path to certificate file>]
- Per i sistemi a 32 bit:
- Per Windows:
- Per i sistemi a 32 bit:
<percorso>\klmover.exe [-address <indirizzo server>] [-pn <numero porta>] [-ps <numero porta SSL>] [-nossl] [-cert <percorso del file di certificato>] - Per i sistemi a 64 bit:
<percorso>\klmover.exe [-address <indirizzo server>] [-pn <numero porta>] [-ps <numero porta SSL>] [-nossl] [-cert <percorso del file di certificato>]
- Per i sistemi a 32 bit:
dove <percorso > è il percorso di installazione predefinito per Network Agent oppure il percorso di installazione specificato dall'utente nelle impostazioni del pacchetto di installazione di Network Agent.
Per impedire agli intrusi di spostare i dispositivi fuori dal controllo di Administration Server, si consiglia di abilitare la protezione tramite password per l'esecuzione dell'utilità klmover. Per abilitare la protezione con password, selezionare l'opzione Usa password di disinstallazione nelle impostazioni dei criteri di Network Agent.
Se si perde o si dimentica la password di Network Agent protetto da password installato nel dispositivo che non è più sotto la gestione di Kaspersky Security Center Linux, non è possibile rimuovere Network Agent utilizzando l'utilità klmover o il prompt dei comandi. In questo caso, è necessario reinstallare il sistema operativo nel dispositivo in cui è installato Network Agent protetto da password.
L'utilità klmover richiede i diritti di amministratore locale.
L'abilitazione dell'opzione Usa password di disinstallazione nei dispositivi Windows consente anche di abilitare la protezione tramite password per lo strumento Cleaner (cleaner.exe).
Non è possibile utilizzare l'utilità klmover per i dispositivi client connessi ad Administration Server tramite gateway di connessione. Per tali dispositivi è necessario riconfigurare Network Agent o reinstallarlo e specificare il gateway di connessione.
La descrizione dei parametri dell'utilità klmover è contenuta nella seguente tabella.
Valori dei parametri dell'utilità klmover
Parametro |
Valore |
|---|---|
|
Indirizzo di Administration Server per la connessione. È possibile specificare un indirizzo IP o il nome DNS. |
|
Numero della porta tramite la quale viene stabilita la connessione non criptata ad Administration Server. Il numero di porta predefinito è 14000. |
|
Numero della porta SSL tramite la quale viene stabilita la connessione criptata ad Administration Server utilizzando il protocollo SSL. Il numero di porta predefinito è 13000. |
|
Utilizza la connessione non criptata ad Administration Server. Se la chiave non è in uso, Network Agent è connesso ad Administration Server tramite il protocollo SSL criptato. |
|
Utilizzare il file di certificato specificato per l'autenticazione dell'accesso ad Administration Server. |