Administrar los certificados de Kaspersky Thin Client a través de Web Console

En Kaspersky Security Center, puede acceder a funciones para administrar los certificados que permiten conectar los clientes ligeros a un servidor de registros o a un entorno remoto. En la interfaz de Kaspersky Security Center Web Console, puede ver, agregar y eliminar esos certificados.

Se recomienda configurar la conexión de un grupo de clientes ligeros a un servidor de registro o a un entorno remoto utilizando únicamente los certificados asignados por el administrador en Web Console. Esto ayudará a evitar que Kaspersky Thin Client se conecte a nodos que no sean de confianza.

Esta sección también proporciona instrucciones sobre cómo administrar certificados para conectar Kaspersky Thin Client a Kaspersky Security Center.

Acerca de los certificados para conectar Kaspersky Thin Client a Kaspersky Security Center

Kaspersky Thin Client utiliza un certificado móvil de usuario (en adelante, también denominado "certificado") para conectarse a Kaspersky Security Center. Para obtener información detallada sobre este y otros tipos de certificados utilizados por Kaspersky Security Center, consulte la sección Acerca de los certificados de la Ayuda en línea de Kaspersky Security Center.

Este certificado se crea a través del asistente de inicio rápido del Servidor de administración cuando concluye la instalación de Kaspersky Security Center. Por defecto, el certificado emitido tiene una validez de un año.

Los certificados móviles de usuario no se vuelven a emitir automáticamente.

Puede volver a emitir el certificado en Web Console o crear un nuevo certificado manualmente y cargarlo en Web Console.

Al migrar a un nuevo Servidor de administración de Kaspersky Security Center, cree manualmente un nuevo certificado para cargarlo al Servidor actual como certificado de reserva y luego al nuevo Servidor como certificado principal.

Emitir de nuevo un certificado para conectar Kaspersky Thin Client a Kaspersky Security Center mediante Web Console:

Kaspersky Thin Client utiliza un certificado móvil de usuario para conectarse con Kaspersky Security Center. Los certificados de este tipo no se vuelven a emitir automáticamente.

Para volver a emitir un certificado para conectar Kaspersky Thin Client a Kaspersky Security Center en la interfaz de Web Console:

1. En el menú de Kaspersky Security Center Web Console, haga clic en el ícono  ubicado junto al nombre del Servidor de administración de Kaspersky Security Center.

   Se abre la ventana Propiedades del Servidor de administración.

2. En la lista de subsecciones, elija Certificados.
3. En la ventana que se abre, en la sección Autenticación del Servidor de administración por dispositivos móviles, seleccione el certificado requerido y haga clic en Emitir nuevamente.
4. En la ventana que se abre, especifique la dirección del servidor e indique cuándo activar el certificado. Confirme su elección.
5. Haga clic en Guardar en la ventana que se abre.

El certificado para conectar Kaspersky Thin Client a Kaspersky Security Center se ha reemitido.

Los dispositivos administrados y los dispositivos incluidos en un grupo de administración recibirán el certificado reemitido para conectar Kaspersky Thin Client a Kaspersky Security Center cuando Kaspersky Thin Client se sincronice con Kaspersky Security Center. El certificado reemitido se guarda en el almacenamiento de certificados de Kaspersky Thin Client y se puede usar como certificado de reserva para conectar clientes ligeros a Kaspersky Security Center cuando caduque el certificado vigente.

También puede emitir manualmente un nuevo certificado para conectar Kaspersky Thin Client a Kaspersky Security Center.

Crear un certificado de usuario para conectar Kaspersky Thin Client a Kaspersky Security Center

También puede crear un certificado para conectar Kaspersky Thin Client a Kaspersky Security Center. El certificado creado se puede usar como principal o de reserva, por ejemplo, al migrar a un nuevo Servidor de administración de Kaspersky Security Center.

Le recomendamos que se familiarice con los requisitos de los certificados de Kaspersky Security Center indicados en la sección Requisitos para los certificados personalizados que se utilizan en Kaspersky Security Center de la Ayuda en línea de Kaspersky Security Center.

El certificado creado debe cargarse en Web Console.

Para crear un certificado para conectar Kaspersky Thin Client a Kaspersky Security Center con la herramienta OpenSSL:

1. Abra la consola y vaya a la carpeta en la que desee crear el certificado.
2. En la consola, inicie la herramienta OpenSSL y ejecute el siguiente comando:

   openssl req -x509 -newkey rsa:2048 -keyout key.pem -out server.pem -days 397 -subj '/CN=mydomain.ru/C=RU/L=Moscow/O=My Organization Name/OU=My Organization Unit Name' -addext "keyUsage = digitalSignature, keyEncipherment, dataEncipherment, cRLSign, keyCertSign" -addext "extendedKeyUsage = serverAuth, clientAuth"

   donde:

   • -keyout key.pem es el nombre del archivo en el que se guardará la clave privada del certificado creado.
   • -out server.pem es el nombre del archivo en el que se guardará el certificado creado.
   • -days es un parámetro que define el plazo de validez, en días, del certificado creado. Recomendamos que el plazo de validez del certificado no sea superior a 397 días.
   • -subj '/CN=mydomain.ru/C=RU/L=Moscow/O=My Organization Name/OU=My Organization Unit Name' son datos de su organización: nombre de dominio, ubicación y nombre.
3. Ingrese y confirme la contraseña para la clave privada del certificado. Deberá introducir esta contraseña cuando cargue el certificado de usuario como certificado para dispositivos móviles en Web Console. Longitud mínima de la contraseña: 8 caracteres.

Como resultado, se crearán los siguientes dos archivos en la carpeta en la que haya ejecutado el comando:

• server.pem, el archivo del certificado para conectar Kaspersky Thin Client a Kaspersky Security Center.
• key.pem, la clave privada del certificado para conectar Kaspersky Thin Client a Kaspersky Security Center.

De ser necesario, puede convertir el archivo del certificado del formato PEM al formato DER.

Subir un certificado para conectar Kaspersky Thin Client a Kaspersky Security Center mediante Web Console

Después de crear un certificado para conectar Kaspersky Thin Client a Kaspersky Security Center, cargue este certificado en Web Console para transferirlo a los clientes ligeros administrados.

Recomendamos que se familiarice con los requisitos de los certificados de Kaspersky Security Center indicados en la sección Requisitos para los certificados personalizados que se utilizan en Kaspersky Security Center de la Ayuda en línea de Kaspersky Security Center.

Para cargar en Web Console un certificado para conectar Kaspersky Thin Client a Kaspersky Security Center:

1. En el menú de Kaspersky Security Center Web Console, haga clic en el ícono  ubicado junto al nombre del Servidor de administración de Kaspersky Security Center.

   Se abre la ventana Propiedades del Servidor de administración.

2. En la lista de subsecciones, elija Certificados.
3. En la ventana que se abre, en el bloque Autenticación del Servidor de administración por dispositivos móviles, seleccione Otro certificado y haga clic en el botón Administrar certificado.
4. En el panel que se abre a la derecha, haga clic en Examinar y realice las siguientes acciones:
   1. En la lista desplegable Tipo de certificado, seleccione Certificado X.509.
   2. Si el certificado de usuario está protegido con contraseña, ingrese la contraseña.
   3. Haga clic en el botón Examinar del bloque Certificado y seleccione el archivo del certificado de usuario.
   4. Haga clic en el botón Examinar del bloque Clave privada y seleccione la clave privada del certificado de usuario.
5. Haga clic en Guardar para guardar el certificado que desea agregar.
6. Haga clic en Guardar para guardar los cambios realizados en la subsección Certificados.

El certificado para conectar Kaspersky Thin Client a Kaspersky Security Center se cargará en Web Console. Los dispositivos administrados y los dispositivos incluidos en el grupo de administración reciben el nuevo certificado después de que Kaspersky Thin Client se sincroniza con Kaspersky Security Center.

Agregar nuevos certificados en Web Console

A través de Web Console, puede agregar certificados que permitan que los clientes ligeros de un

Cuando se agrega un certificado para un cliente ligero en Web Console, todos los certificados aceptados antes por el usuario se eliminan del almacén de certificados del dispositivo.

Para agregar nuevos certificados a través de Web Console:

1. En la ventana principal de Web Console, seleccione Dispositivos → Directivas y perfiles.
2. Haga clic en el nombre de la directiva del complemento web Kaspersky Security Management Suite.
3. En la ventana que se abre, seleccione la pestaña Configuración de la aplicación.
4. Elija la sección Certificados.
5. En la parte superior de la tabla Certificados válidos, haga clic en el botón Agregar.
6. En el panel que se abre a la derecha, seleccione todos los certificados que se hayan cargado anteriormente y seleccione los nuevos certificados. El tamaño total de los archivos cargados no debe ser superior a 1 MB. Los certificados deben estar en formato DER. Cada archivo de certificado debe contener un solo certificado. De ser necesario, puede convertir sus certificados de formato PEM a DER por adelantado.
7. Haga clic en Aceptar para confirmar la carga de los certificados seleccionados.

Los certificados seleccionados se cargarán y se agregará información sobre ellos en la tabla Certificados válidos.

Si el certificado agregado es un certificado raíz, la conexión solo podrá establecerse utilizando el nombre de dominio del servidor.

Eliminar certificados de Web Console

Puede utilizar Web Console para eliminar los certificados de los clientes ligeros que formen parte de un grupo de administración.

Si elimina todos los certificados asignados a un grupo de clientes ligeros, los dispositivos de dicho grupo podrán conectarse a cualquier servidor, incluidos aquellos que no tengan asignado ningún certificado.

Para eliminar certificados:

1. En la ventana principal de Web Console, seleccione Dispositivos → Directivas y perfiles.
2. Haga clic en el nombre de la directiva del complemento web Kaspersky Security Management Suite.
3. En la ventana que se abre, seleccione la pestaña Configuración de la aplicación.
4. Elija la sección Certificados.
5. En la tabla Certificados válidos, marque las casillas ubicadas junto a los certificados que desee eliminar.
6. Haga clic en Eliminar y confirme la eliminación.

Se eliminarán los certificados seleccionados.

Convertir un certificado del formato PEM al formato DER

Kaspersky Security Management Suite solo permite cargar certificados en formato DER. Puede convertir un archivo de certificado del formato PEM al formato DER.

Para llevar a cabo estas instrucciones en una computadora local, debe contar con la herramienta OpenSSL.

Para convertir un archivo de certificado del formato PEM al formato DER:

1. Inicie la consola en una computadora local.
2. Vaya a la carpeta que contenga el archivo del certificado en formato PEM y ejecute el siguiente comando para convertir el archivo:

   openssl x509 -outform der -in <nombre del archivo del certificado>.pem -out <nombre del archivo del certificado>.der

   donde:

   • <nombre del archivo del certificado>.pem es el nombre del archivo del certificado original en formato PEM.
   • <nombre del archivo del certificado>.der es el nombre del archivo del certificado convertido al formato DER.

El archivo del certificado en formato DER se generará en la misma carpeta.

Actualizar un certificado al migrar a un nuevo servidor de Kaspersky Security Center

Para migrar clientes ligeros a un nuevo Servidor de administración de Kaspersky Security Center, emita un certificado, guárdelo en el Servidor de Kaspersky Security Center actual como uno de reserva y luego utilícelo en el nuevo Servidor como certificado principal.

Para emitir y preparar un nuevo certificado:

1. Abra la consola y vaya a la carpeta en la que desee crear el certificado.
2. Ejecute la utilidad OpenSSL y emita el certificado con el siguiente comando:

   openssl req -x509 -sha256 -nodes -days 397 -newkey rsa:2048 -keyout <nombre del archivo de clave>.key -out <nombre del archivo de certificado>.crt

   El certificado generado y los archivos de clave se guardan localmente.

3. Empaquete el certificado y la clave en un contenedor usando el siguiente comando:

   openssl pkcs12 -export -out -<nombre del contenedor>.pfx -inkey <nombre del archivo de clave>.key -in <nombre del archivo de certificado>.crt

4. Ingrese y repita la contraseña del contenedor. Esta contraseña es necesaria para cargar el certificado en los servidores.

Como resultado, el archivo de contenedor en formato PFX se guarda localmente.

Para cargar un certificado en el servidor de Kaspersky Security Center actual como uno de reserva:

1. Vaya a la carpeta donde está instalado Kaspersky Security Center e inicie la consola.
2. Ejecute la utilidad klsetsrvcert e ingrese el siguiente comando:

   klsetsrvcert -t MR -i <ruta al contenedor> -p <contraseña del contenedor> -o NoCA

   No es necesario que descargue la utilidad klsetsrvcert. La utilidad está incluida en el kit de distribución de Kaspersky Security Center.

   Tras ejecutarse el comando, Kaspersky Security Center se reinicia.

El certificado de reserva se carga en Web Console.

Para cargar el certificado en un nuevo servidor de Kaspersky Security Center como principal:

En la consola, inicie la utilidad klsetsrvcert y ejecute el siguiente comando:

klsetsrvcert -t M -i <ruta al contenedor> -p <contraseña del contenedor> -o NoCA

Una vez ejecutadas estas instrucciones, el certificado para conectarse al nuevo Servidor de administración de Kaspersky Security Center se actualiza.