Управление сертификатами мобильных устройств

Kaspersky Security Center Web Console позволяет выпускать, обновлять или удалять мобильные, почтовые и VPN-сертификаты мобильных устройств.

В этом разделе содержится информация о том, как управлять сертификатами мобильных устройств и настраивать правила их выпуска.

Перевыпуск мобильного сертификата Сервера администрирования

Вам необходимо указать резервный мобильный сертификат Сервера администрирования, чтобы обеспечить соответствие требованиям безопасности вашей организации и поддержать постоянное соединение управляемых устройств с Сервером. Мобильный сертификат, выпущенный средствами Kaspersky Security Center, перевыпускается по умолчанию.

Мы рекомендуем указывать резервный сертификат при установке Сервера администрирования или не позднее, чем за 30 дней до истечения срока действия основного сертификата. Точное время истечения сертификата доступно в параметрах сертификата в поле Действителен до (в главном меню выберите → Общие → Сертификаты).

Максимальный срок действия любого сертификата Сервера администрирования – 397 дней.

Резервный сертификат доставляется на устройство при синхронизации и становится основным сразу после истечения срока действия основного сертификата. Если срок действия сертификата истек, а резервный сертификат не указан, связь между Сервером администрирования и Kaspersky Endpoint Security на управляемых устройствах будет потеряна. В этом случае для повторного подключения устройств нужно указать новый сертификат и переустановить Kaspersky Endpoint Security на каждом из управляемых устройств.

Чтобы перевыпустить сертификат Сервера администрирования с отложенной заменой (указать сертификат как резервный):

1. В главном меню нажмите на значок параметров () рядом с именем Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. В окне свойств Сервера администрирования выберите Общие → Сертификаты.
3. Если вы планируете и дальше использовать сертификат, выпущенный Kaspersky Security Center:
   1. Нажмите Перевыпустить.
   2. В открывшемся окне:
      1. В разделе Адрес подключения выберите пункт Оставить адрес подключения прежним или пункт Изменить адрес подключения на, если будет использован новый адрес подключения.
      2. В разделе Активировать новый сертификат выберите Через указанный срок (сут) и укажите количество дней, через которое сертификат станет активным.

         Мы рекомендуем указать срок активации сертификата не менее 30 дней, чтобы все устройства успели получить сертификат. Обратите внимание, что указанный период должен быть больше периода синхронизации устройств с Сервером администрирования. Подробная информация о настройке параметров синхронизации устройств с Сервером администрирования приведена в разделе Настройка параметров синхронизации.

      3. Нажмите OK.

   Если вы планируете использовать собственный сертификат:

   1. Проверьте, соответствует ли ваш сертификат требованиям Kaspersky Security Center и требованиям Apple к доверенным сертификатам. При необходимости измените сертификат.
   2. Выберите параметр Другой сертификат и нажмите Управление сертификатом.
   3. В открывшемся окне нажмите Обзор.
   4. В открывшемся окне выберите тип вашего сертификата и укажите расположение сертификата и параметры:
      • Если вы выбрали PKCS #12, нажмите на кнопку Обзор рядом с полем Открытый ключ и укажите файл сертификата на жестком диске. Если файл сертификата защищен паролем, введите пароль в поле Пароль закрытого ключа.
      • Если вы выбрали X.509, нажмите на кнопку Обзор рядом с полем Закрытый ключ и укажите закрытый ключ на жестком диске. Если закрытый ключ защищен паролем, введите пароль в поле Пароль закрытого ключа. Нажмите на кнопку Обзор рядом с полем Открытый ключ и укажите открытый ключ на жестком диске.
   5. В разделе Активировать новый сертификат выберите Через указанный срок (сут) и укажите количество дней, через которое сертификат станет активным.
   6. Нажмите Сохранить.
   7. Нажмите OK.
   8. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Сертификат перевыпущен в качестве резервного сертификата.

Чтобы немедленно перевыпустить сертификат Сервера администрирования (не рекомендуется, если есть управляемые мобильные устройства):

Мы не рекомендуем выбирать Немедленно в случае, если у вас есть управляемые мобильные устройства. При выборе опции будет потеряна связь со всеми управляемыми устройствами, так как новый сертификат не будет доставлен на устройства, а ранее действующий сертификат потеряет силу.

1. В главном меню нажмите на значок параметров () рядом с именем Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. В окне свойств Сервера администрирования выберите Общие → Сертификаты.
3. Если вы планируете и дальше использовать сертификат, выпущенный Kaspersky Security Center:
   1. Нажмите Перевыпустить.
   2. В открывшемся окне:
      1. В разделе Адрес подключения выберите пункт Оставить адрес подключения прежним или пункт Изменить адрес подключения на, если будет использован новый адрес подключения.
      2. В разделе Активировать новый сертификат выберите Немедленно.
      3. Нажмите OK.

   Если вы планируете использовать собственный сертификат:

   1. Проверьте, соответствует ли ваш сертификат требованиям Kaspersky Security Center и требованиям Apple к доверенным сертификатам. При необходимости измените сертификат.
   2. Выберите параметр Другой сертификат и нажмите Управление сертификатом.
   3. В открывшемся окне нажмите Обзор.
   4. В открывшемся окне выберите тип вашего сертификата и укажите расположение сертификата и параметры:
      • Если вы выбрали PKCS #12, нажмите на кнопку Обзор рядом с полем Открытый ключ и укажите файл сертификата на жестком диске. Если файл сертификата защищен паролем, введите пароль в поле Пароль закрытого ключа.
      • Если вы выбрали X.509, нажмите на кнопку Обзор рядом с полем Закрытый ключ и укажите закрытый ключ на жестком диске. Если закрытый ключ защищен паролем, введите пароль в поле Пароль закрытого ключа. Нажмите на кнопку Обзор рядом с полем Открытый ключ и укажите открытый ключ на жестком диске.
   5. В разделе Активировать новый сертификат выберите Немедленно.
   6. Нажмите Сохранить.
   7. Нажмите OK.
   8. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Сертификат перевыпущен в качестве основного сертификата Сервера администрирования.

Дополнительная информация о сертификатах представлена в справке Kaspersky Security Center.

Настройка правил выпуска сертификатов

Kaspersky Security Center Web Console позволяет настраивать порядок выпуска, обновления и защиты сертификатов для мобильных устройств.

Чтобы настроить правила выпуска сертификатов:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Сертификаты.
2. В открывшемся списке сертификатов выберите Правила выпуска.
   • В разделе Параметры PKI:
     1. В блоке настроек Интеграция с PKI включите переключатель Интегрировать выпуск сертификатов с Microsoft Certification Authority (CA) через PKI для автоматического выпуска сертификатов.

        Нажмите Выбрать устройство и укажите устройство с установленным Агентом администрирования, которое будет подключаться к Microsoft CA.

        Подробная информация об интеграции с PKI приведена в разделе Интеграция с инфраструктурой открытых ключей.

     2. В блоке настроек Доменная учетная запись для передачи запросов на выпуск сертификатов укажите Имя учетной записи PKI (имя учетной записи пользователя, которая будет использоваться для интеграции с PKI в формате userPrincipalName@DNSDomainName) и Пароль (доменный пароль учетной записи).
     3. Нажмите Сохранить, чтобы сохранить изменения.
   • В разделе Мобильные сертификаты можно настроить следующие параметры:
     1. В блоке настроек Срок действия в поле Срок действия сертификата (дней) укажите срок действия сертификата в днях. Срок действия сертификата по умолчанию составляет 365 дней. По истечении этого срока мобильное устройство не сможет подключиться к Серверу администрирования.
     2. В разделе настроек Обновление в поле Обновить сертификат, когда осталось (дней) укажите количество дней до окончания срока действия текущего сертификата, когда Сервер администрирования должен выпустить новый сертификат. Например, если указано значение 4, Сервер администрирования выпускает новый сертификат за четыре дня до окончания срока действия текущего. По умолчанию указано значение 30.

        Установите флажок Обновлять сертификат автоматически для автоматического выпуска сертификатов. Если флажок не установлен, сертификаты необходимо обновлять вручную по мере истечения срока их действия. По умолчанию флажок установлен.

     3. В блоке настроек Защита паролем установите флажок Запрашивать пароль при установке сертификата для запроса пароля у пользователя при установке сертификата на мобильное устройство. Пароль используется только один раз — при установке сертификата на мобильное устройство. Пароль будет автоматически сгенерирован Сервером администрирования и отправлен пользователю по электронной почте. В поле Длина пароля можно указать длину пароля.

        Защита паролем доступна только для мобильных сертификатов.

     4. Нажмите Сохранить, чтобы сохранить изменения.
   • В разделах Почтовые сертификаты и VPN-сертификаты, если настроена интеграция с PKI:
     1. В блоке настроек Обновление в поле Обновить сертификат, когда осталось (дней) укажите количество дней до окончания срока действия текущего сертификата, когда Сервер администрирования должен выпустить новый сертификат. Например, если указано значение 4, Сервер администрирования выпускает новый сертификат за четыре дня до окончания срока действия текущего.

        Установите флажок Обновлять сертификат автоматически для автоматического выпуска сертификатов. Если флажок не установлен, сертификаты необходимо обновлять вручную по мере истечения срока их действия. По умолчанию флажок установлен.

     2. В блоке настроек Параметры PKI укажите Имя шаблона сертификата в системе PKI (шаблон сертификата, который будет использоваться для выпуска сертификатов доменным пользователям).

        Под указанной учетной записью на устройстве, которое подключается к CA, запускается служба Агента администрирования для Windows. Эта служба отвечает за выпуск доменных сертификатов пользователей. Служба запускается, когда происходит загрузка списка шаблонов сертификатов по кнопке Обновить список, или при выпуске сертификата.

        При подключении к Kaspersky Security Center любого мобильного устройства (под управлением Android или iOS), владельцем которого является недоменный пользователь, попытка выписки сертификата может завершиться ошибкой.

     3. В блоках настроек Автоматический выпуск почтового сертификата при подключении устройства или Автоматический выпуск VPN-сертификата при подключении устройства установите флажки Выпускать для устройств под управлением Kaspersky Endpoint Security для Android или Выпускать для iOS MDM-устройств для включения автоматического выпуска почтового или VPN-сертификата при подключении устройств к Kaspersky Security Center.

        Если вы установили флажок Выпускать для iOS MDM-устройств, выберите псевдоним сертификата в раскрывающемся списке. Псевдоним сертификата - это имя, которое идентифицирует сертификат. Вы можете настроить дальнейшее использование выбранного псевдонима для выпуска сертификата в следующих разделах:

        • Для почтовых сертификатов: в разделах Настройка почтового ящика на iOS MDM-устройствах и Настройка почтового ящика Exchange на iOS MDM-устройствах.
        • Для VPN-сертификатов: в разделах Настройка VPN на iOS MDM-устройствах и Подключение iOS MDM-устройств к сети Wi-Fi.

        Вы также можете изменить псевдоним для одного или нескольких почтовых и VPN-сертификатов, нажав кнопку Изменить псевдоним в списке сертификатов (Активы (Устройства) → Мобильные → Сертификаты).

     4. Нажмите Сохранить, чтобы сохранить изменения.

Указанные параметры будут использоваться Kaspersky Security Center для выпуска, обновления и защиты сертификатов мобильных устройств.

Выпуск сертификатов для мобильных устройств

Вы можете выпускать мобильные, почтовые или VPN-сертификаты для мобильных устройств.

Чтобы выпустить сертификат:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Сертификаты.
2. В открывшемся списке сертификатов нажмите Добавить.

   Запустится Мастер выпуска сертификата. Нажмите Начать и продолжайте работу мастера с помощью кнопок Назад и Далее.

Добро пожаловать

На экране приветствия можно прочитать краткое описание шагов Мастера выпуска сертификата.

Обратите внимание, что нумерация и набор шагов могут различаться в зависимости от типа сертификата, операционной системы и правил выпуска, указанных в разделе Правила выпуска.

Шаг 1. Тип сертификата

На этом шаге выберите сертификат для выпуска.

• Почтовый сертификат (для корпоративной почты на устройствах).
• VPN-сертификат (для доступа к частным сетям и корпоративным веб-ресурсам).
• Мобильный сертификат (для идентификации мобильных устройств на Сервере администрирования).

Шаг 2. Операционная система

На этом шаге выберите операционную систему устройств, для которых будет выпущен сертификат.

• Android
• iOS

Шаг 3. Способ подключения

Этот шаг отображается только в случае, если вы выбрали Почтовый сертификат или VPN-сертификат в качестве типа сертификата и Android в качестве операционной системы устройств, для которых будет выпущен сертификат.

На этом шаге выберите способ подключения устройств к Серверу администрирования.

• Подключение с помощью аутентификации по мобильному сертификату

  Выберите этот параметр, чтобы мобильный сертификат использовался для идентификации пользователя при подключении к Серверу администрирования.

• Подключение без аутентификации по мобильному сертификату

  Выберите этот вариант, если вы хотите установить сертификат на устройство без аутентификации по сертификату.

Шаг 4. Пользователи

На этом этапе выберите пользователей, которые получат информацию для установки сертификатов. Если пользователя нет в списке, можно добавить новую учетную запись, не выходя из мастера.

• Чтобы выбрать существующего пользователя, установите флажки рядом с соответствующими именами пользователей.
• Чтобы добавить нового пользователя, нажмите Добавить пользователя.
  1. Укажите учетные данные пользователя в разделе настроек Учетные данные.
     • Имя пользователя
     • Пароль

       Пароль должен соответствовать следующим требованиям сложности:

       • Пароль должен содержать от 8 до 16 символов.
       • Пароль должен содержать символы как минимум трех групп: верхний регистр (A-Z), нижний регистр (A-Z) (a-z), числа (0-9), специальные символы (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;).
  2. При необходимости укажите дополнительные данные в разделе параметров Необязательная информация.
     • Полное имя пользователя
     • Описание
     • Адрес электронной почты
     • Номер телефона
  3. Нажмите ОК, чтобы сохранить изменения.

     Новый пользователь будет добавлен и отображен в списке пользователей.

• Чтобы изменить информацию о пользователе, нажмите Изменить пользователя.

Поля, доступные для редактирования, зависят от подтипа пользователя - внутренний или доменный.

Шаг 5. Псевдоним и источник сертификата

На этом шаге выберите псевдоним и источник загрузки сертификата.

• Псевдоним сертификата

  Псевдоним сертификата – это имя, которое идентифицирует сертификат. Вы можете настроить дальнейшее использование выбранного псевдонима в разделах политики: Настройка почтового ящика на iOS MDM-устройствах; Настройка почтового ящика Exchange на iOS MDM-устройствах; Настройка VPN на iOS MDM-устройствах; Подключение iOS MDM-устройств к сети Wi-Fi.

  Этот шаг доступен только в случае, если вы выбрали Почтовый сертификат или VPN-сертификат в качестве типа сертификата.

• Интегрировать выпуск с Microsoft CA через PKI

  Для этого параметра в поле Шаблон PKI укажите один из доступных шаблонов, импортированных из Microsoft CA.

  Этот параметр доступен только в случае, если на вкладке Правила выпуска настроена интеграция с PKI.

• Загрузить файл

  Для этого параметра укажите Формат сертификата:

  • Для формата PKCS #12 в поле Файл сертификата нажмите Выбрать и укажите файл в формате P12 или PFX.
  • Для формата X.509 в поле Файл приватного ключа нажмите Выбрать и укажите файл в формате PRK или PEM.

    В поле Файл сертификата нажмите Выбрать и укажите файл в формате CER, CRT или CERT.

    После загрузки файлов вы также можете ввести пароль в поле Пароль сертификата.

Шаг 6. Способ аутентификации

Этот шаг отображается только в случае, если вы указали Мобильный сертификат в качестве типа сертификата, или если вы выбрали Почтовый сертификат или VPN-сертификат для Android-устройств и указали Подключение без аутентификации по мобильному сертификату в качестве способа подключения.

На этом шаге выберите способ аутентификации пользователя для получения сертификата.

• Доменные или внутренние учетные данные пользователя. Пользователи получат доступ к сертификату, используя доменные или внутренние учетные данные. Пользователям будет необходимо указать логин на мобильных устройствах в одном из форматов:
  • userPrincipalName@DNSDomainName
  • sAMAccountName
  • sAMADomain\sAMAccountName
• Пароль. Пользователи получат доступ к сертификату с помощью пароля, полученного по электронной почте или отображенного после завершения работы мастера.

В блоке настроек Использование сертификата на устройстве установите флажок Разрешить повторное использование сертификата на одном устройстве (только для устройств с установленным приложением Kaspersky Endpoint Security для Android), если вы хотите разрешить использование одного сертификата несколько раз на одном устройстве.

Флажок доступен только в случае, если Android указан в качестве операционной системы устройств, для которых будет выпущен сертификат.

Шаг 7. Передача информации о сертификате

На этом шаге выберите способ отправки информации для установки сертификата. Вы можете выбрать один из следующих способов:

• Отправить письмо на адреса электронной почты пользователей

  Выберите этот способ, чтобы отправить сведения для установки сертификата по электронной почте выбранным пользователям. Эти электронные адреса должны быть указаны в параметрах учетных записей пользователей в Kaspersky Security Center.
  
  Если вы хотите отправить сведения для установки сертификата на электронную почту, не указанную в учетных данных в Kaspersky Security Center, установите флажок Отправить копию письма на дополнительный адрес электронной почты и укажите нужный адрес.

• Показать информацию после завершения мастера

  Выберите этот параметр, чтобы отобразить сведения для установки сертификата на последнем этапе работы Мастера выпуска сертификата.

Шаг 8. Подтверждение

На этом шаге проверьте данные для выпуска сертификата, указанные на предыдущих шагах, и нажмите Подтвердить и выпустить сертификат для подтверждения операции.

Готово

На экране "Готово":

• Если вы выбрали Отправить письмо на адреса электронной почты пользователей, указанные пользователи получат электронные письма со сведениями для установки сертификата.
• Если вы выбрали Показать информацию после завершения мастера, сведения для установки сертификата будут отображены на экране "Готово". Информацию можно просмотреть на экране мастера или нажать Скачать список, чтобы получить файл с данными для подключения.

Нажмите Закрыть, чтобы выйти из мастера.

После завершения Мастера выпуска сертификата сертификаты будут выпущены и добавлены в список сертификатов. Вы можете удалять или обновлять выпущенные сертификаты, а также просматривать их свойства.

Обновление сертификатов мобильных устройств

Если срок действия одного из сертификатов истекает, вы можете продлить его с помощью Kaspersky Security Center Web Console.

Выполнив действия, описанные ниже, вы можете обновить мобильный сертификат, а также почтовый или VPN-сертификат, выпущенный через PKI.

Чтобы обновить сертификат:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Сертификаты.
2. В открывшемся списке сертификатов выберите сертификат, который вы хотите обновить, и нажмите Обновить.

Статус сертификата изменился на Сертификат обновлен.

Удаление сертификатов мобильных устройств

Вы можете удалить сертификаты мобильных устройств с помощью Kaspersky Security Center Web Console.

Обратите внимание, что в случае удаления мобильного сертификата устройство больше не сможет синхронизироваться с Сервером администрирования и им нельзя будет управлять средствами Kaspersky Security Center.

Сертификат удаляется только из Kaspersky Security Center Web Console и больше не обновляется, но остается на устройстве. Чтобы удалить сертификат с iOS MDM-устройств, корпоративных устройств или устройств с корпоративным контейнером, необходимо отправить команду Удалить корпоративные данные. На личных Android-устройствах пользователям необходимо удалить сертификат вручную.

При удалении мобильного сертификата iOS MDM-устройства устройство не удаляется из Kaspersky Security Center Web Console, но теряет возможность синхронизации с Сервером iOS MDM и ему присваивается статус "Неактивно". В этом случае необходимо удалить это устройство из списка управляемых устройств в Kaspersky Security Center Web Console, а затем подключить его заново с помощью Мастера подключения мобильного устройства.

Чтобы удалить сертификат из Kaspersky Security Center Web Console:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Сертификаты.
2. В открывшемся списке сертификатов выберите сертификат, который вы хотите удалить, и нажмите Удалить.

Сертификат удален и больше не отображается в списке сертификатов.

Интеграция с инфраструктурой открытых ключей

Вы можете интегрировать выпуск сертификатов с Microsoft Certification Authority (CA) через инфраструктуру открытых ключей (PKI). Интеграция с PKI в первую очередь предназначена для упрощения выпуска доменных пользовательских сертификатов Сервером администрирования. В результате интеграции выписка сертификатов происходит автоматически.

Вы можете указать настройки для интеграции с PKI и назначить PKI в качестве источника сертификатов для определенных типов сертификатов. Параметры PKI задаются на вкладке Правила выпуска и позволяют выбрать индивидуальный шаблон по умолчанию для всех типов сертификатов.

Особенности использования интеграции c PKI для выпуска сертификатов:

• По умолчанию интеграция с PKI выключена. Ее можно включить используя переключатель Интегрировать выпуск сертификатов с Microsoft Certification Authority (CA) через PKI. Подробная информация о включении и настройке параметров PKI приведена в разделе Настройка правил выпуска сертификатов.
• Выпуск сертификатов осуществляется с помощью Агента администрирования для Windows, который обеспечивает интеграцию между Сервером администрирования и Microsoft CA. Поскольку устройств с установленным Агентом администрирования может быть несколько, вы можете указать конкретное устройство, которое будет подключаться к Microsoft CA, на вкладке Правила выпуска. На этом устройстве в хранилище сертификатов учетной записи, под которой выполняется интеграция с PKI, должен быть установлен сертификат Enrollment Agent (EA). Его предоставляет администратор доменного Центра сертификации.
• Учетная запись, под которой выполняется интеграция с PKI, должна принадлежать доменному пользователю и обладать разрешением на Вход в качестве службы.
• Kaspersky Security Center может одновременно работать только с одной интеграцией PKI (Microsoft CA).

Подробная информация о настройке интеграции с PKI для выпуска сертификатов приведена в разделе Настройка правил выпуска сертификатов.

Просмотр списка сертификатов мобильных устройств

Kaspersky Security Center Web Console позволяет просматривать выпущенные сертификаты мобильных устройств и их свойства.

Чтобы просмотреть список всех сертификатов и их свойства:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Сертификаты.
2. В открывшемся окне вы можете просмотреть список всех созданных сертификатов и их свойства в таблице.

Чтобы просмотреть свойства отдельного сертификата:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Сертификаты.
2. В открывшемся списке сертификатов выберите сертификат, свойства которого вы хотите просмотреть.
3. В окне Информация о сертификате просмотрите свойства сертификата:
   • Имя пользователя
   • Статус
   • Тип
   • Протокол
   • Источник
   • Дата истечения
   • Дата выпуска
   • Последнее изменение статуса
   • Псевдоним
   • Автоматическое обновление выключено
   • Отпечаток

Чтобы просмотреть сертификаты, установленные на iOS MDM устройстве:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Устройства.
2. В открывшемся списке устройств выберите устройство, сертификаты которого вы хотите просмотреть.
3. В открывшемся окне свойств устройства выберите раздел Сертификаты.

   Отобразится список установленных на устройстве сертификатов и их свойства.

   • Имя сертификата
   • Сертификат пользователя
   • Отпечаток сертификата