Sostituzione del certificato di Administration Server con l'utilità klsetsrvcert

27 febbraio 2024

ID 227838

Per sostituire il certificato di Administration Server:

Dalla riga di comando eseguire la seguente utilità:

klsetsrvcert [-t <type> {-i <inputfile> [-p <password>] [-o <chkopt>] | -g <dnsname>}][-f <time>][-r <calistfile>][-l <logfile>]

Non è necessario scaricare l'utilità klsetsrvcert. È inclusa nel kit di distribuzione di Kaspersky Security Center. Non è compatibile con le versioni precedenti di Kaspersky Security Center.

La descrizione dei parametri dell'utilità klsetsrvcert è contenuta nella seguente tabella.

Valori dei parametri dell'utilità klsetsrvcert

Parametro

Valore

-t <type>

Tipo del certificato da sostituire. Possibili valori del parametro <type>:

  • C– Sostituire il certificato comune per le porte 13000 e 13291.
  • CR– Sostituire il certificato di riserva comune per le porte 13000 e 13291.
  • M– Sostituire il certificato per i dispositivi mobili sulla porta 13292.
  • MR– Sostituire il certificato di riserva mobile per la porta 13292.
  • MCA– Mobile Client CA per certificati utente generati automaticamente.

-f <time>

Pianificazione per la modifica del certificato, utilizzando il formato "GG-MM-AAAA hh:mm" (per le porte 13000 e 13291).

Utilizzare questo parametro se si desidera sostituire il certificato comune o il certificato di riserva comune prima della scadenza.

Specificare l'ora in cui i dispositivi gestiti devono sincronizzarsi con Administration Server in un nuovo certificato.

-i <inputfile>

Contenitore con il certificato e una chiave privata nel formato PKCS#12 (file con estensione p12 o pfx).

-p <password>

Password utilizzata per la protezione del contenitore p12.

Il certificato e una chiave privata vengono archiviati nel contenitore, pertanto è necessaria la password per decriptare il file con il contenitore.

-o <chkopt>

Parametri di convalida del certificato (separati da punto e virgola).

Per utilizzare un certificato personalizzato senza l'autorizzazione di firma, specificare -o NoCA nell'utilità klsetsrvcert. Questo è utile per i certificati rilasciati da un'autorità di certificazione pubblica.

-g <dnsname>

Verrà creato un nuovo certificato per il nome DNS specificato.

-r <calistfile>

Elenco delle autorità di certificazione radice attendibili, formato PEM.

-l <logfile>

File di output dei risultati. Per impostazione predefinita, l'output viene reindirizzato nel flusso di output standard.

Per specificare il certificato personalizzato di Administration Server, utilizzare ad esempio il seguente comando:

klsetsrvcert -t C -i <inputfile> -p <password> -o NoCA

Dopo la sostituzione del certificato, tutti i Network Agent connessi ad Administration Server tramite SSL perdono la connessione. Per ripristinarla, utilizzare l'utilità klmover della riga di comando.

La riemissione automatica dei certificati mobili non è supportata. Si consiglia di specificare un nuovo certificato mobile quando quello esistente sta per scadere. Se il certificato mobile scade e il certificato di riserva mobile non è specificato, la connessione tra le istanze di Administration Server e Network Agent installate nei dispositivi mobili gestiti andrà persa. In questo caso, per riconnettere i dispositivi mobili gestiti, è necessario specificare un nuovo certificato mobile e reinstallare Kaspersky Security for Mobile in ciascun dispositivo mobile gestito.

Per evitare di perdere le connessioni di Network Agent, utilizzare il seguente comando:

klsetsrvcert.exe -f "DD-MM-YYYY hh:mm" -t CR -i <inputfile> -p <password> -o NoCA

dove "DD-MM-YYYY hh:mm" è la data risalente a 3-4 settimane prima della data attuale. Lo slittamento temporale per la modifica del certificato in uno di backup consentirà la distribuzione di un nuovo certificato a tutti i Network Agent.

Vedere anche:

Scenario: Specificazione del certificato di Administration Server personalizzato

Hai trovato utile questo articolo?
Cosa pensi che potremmo migliorare?
Grazie per il feedback! Ci stai aiutando a migliorare.
Grazie per il feedback! Ci stai aiutando a migliorare.