Управление сертификатами Kaspersky Thin Client через Web Console

В Kaspersky Security Center доступны функции управления сертификатами для подключения тонких клиентов к серверу журналирования и к удаленной среде. В интерфейсе Kaspersky Security Center Web Console вы можете просматривать, добавлять или удалять такие сертификаты.

Рекомендуется настроить подключение группы тонких клиентов к серверу журналирования и к удаленной среде и только с применением сертификатов, назначенных администратором в Web Console. Это поможет предотвратить подключение Kaspersky Thin Client к недоверенным узлам.

В этом разделе также приведены инструкции по управлению сертификатами для подключения Kaspersky Thin Client к Kaspersky Security Center.

О сертификате для подключения Kaspersky Thin Client к Kaspersky Security Center

Kaspersky Thin Client использует для подключения к Kaspersky Security Center пользовательский мобильный сертификат (далее также: сертификат). Подробную информацию об этом и других типах сертификатов, используемых Kaspersky Security Center, см. в разделе О сертификатах онлайн-справки Kaspersky Security Center.

Сертификат создается с помощью Мастера первоначальной настройки Сервера администрирования после установки Kaspersky Security Center. По умолчанию срок действия выпущенного сертификата составляет один год.

Пользовательские мобильные сертификаты не перевыпускаются автоматически.

Вы можете перевыпустить сертификат в Web Console или создать новый сертификат вручную и загрузить его в Web Console.

При миграции на новый Сервер администрирования Kaspersky Security Center также необходимо создать новый сертификат вручную, чтобы затем загрузить его на текущий Сервер как резервный и на новый Сервер как основной.

Перевыпуск сертификата для подключения Kaspersky Thin Client к Kaspersky Security Center в Web Console

Kaspersky Thin Client использует для подключения к Kaspersky Security Center пользовательский мобильный сертификат. Данный тип сертификатов не перевыпускается автоматически.

Чтобы перевыпустить сертификат для подключения Kaspersky Thin Client к Kaspersky Security Center в интерфейсе Web Console:

1. В меню Kaspersky Security Center Web Console нажмите на значок рядом с именем Сервера администрирования Kaspersky Security Center.

   Откроется окно Свойства Сервера администрирования.

2. В списке подразделов выберите подраздел Сертификаты.
3. В открывшемся окне в блоке Аутентификация Сервера администрирования мобильными устройствами выберите необходимый сертификат и нажмите Перевыпустить.
4. В открывшемся окне задайте адрес Сервера и укажите, когда требуется активировать сертификат, затем подтвердите свой выбор.
5. Нажмите Сохранить в открывшемся окне.

Сертификат для подключения Kaspersky Thin Client к Kaspersky Security Center будет перевыпущен.

Управляемые устройства и устройства, входящие в группу администрирования, получат перевыпущенный сертификат для подключения к Kaspersky Security Center после синхронизации Kaspersky Thin Client и Kaspersky Security Center. Перевыпущенный сертификат сохраняется в хранилище сертификатов Kaspersky Thin Client и может быть использован в качестве резервного для подключения тонких клиентов к Kaspersky Security Center, когда закончится срок действия текущего используемого сертификата.

Вы также можете вручную выпустить новый сертификат для подключения Kaspersky Thin Client к Kaspersky Security Center.

Создание сертификата для подключения Kaspersky Thin Client к Kaspersky Security Center

Вы можете вручную создать сертификат для подключения Kaspersky Thin Client к Kaspersky Security Center. Созданный сертификат может быть использован в качестве основного или резервного (например, при миграции на новый Сервер администрирования Kaspersky Security Center.

Предварительно рекомендуется ознакомиться с требованиями, которые предъявляются к сертификатам Kaspersky Security Center, в разделе Требования к пользовательским сертификатам, используемым в Kaspersky Security Center в онлайн-справке Kaspersky Security Center.

Созданный сертификат необходимо загрузить в Web Console.

Чтобы создать сертификат для подключения Kaspersky Thin Client к Kaspersky Security Center с помощью утилиты OpenSSL:

1. Запустите консоль и перейдите в директорию, в которой вы хотите создать сертификат.
2. В консоли запустите утилиту OpenSSL и выполните следующую команду:

   openssl req -x509 -newkey rsa:2048 -keyout key.pem -out server.pem -days 397 -subj '/CN=mydomain.ru/C=RU/L=Moscow/O=My Organization Name/OU=My Organization Unit Name' -addext "keyUsage = digitalSignature, keyEncipherment, dataEncipherment, cRLSign, keyCertSign" -addext "extendedKeyUsage = serverAuth, clientAuth"

   где:

   • -keyout key.pem – имя файла, в котором будет сохранен закрытый ключ созданного сертификата.
   • -out server.pem – имя файла, в котором будет сохранен созданный сертификат.
   • -days – параметр, определяющий срок действия созданного сертификата в днях. Рекомендуется указывать срок действия сертификата не более 397 дней.
   • -subj '/CN=mydomain.ru/C=RU/L=Moscow/O=My Organization Name/OU=My Organization Unit Name' – данные вашей организации: доменное имя, месторасположение, название.
3. Введите и повторите пароль для закрытого ключа сертификата. Этот пароль потребуется ввести при загрузке пользовательского сертификата в Web Console в качестве мобильного сертификата. Минимальная длина пароля – 8 символов.

В результате в директории, в которой вы запустили команду, будет создано два файла:

• server.pem – файл сертификата для подключения Kaspersky Thin Client к Kaspersky Security Center;
• key.pem – закрытый ключ сертификата для подключения Kaspersky Thin Client к Kaspersky Security Center.

При необходимости вы можете конвертировать файл сертификата из формата PEM в формат DER.

Загрузка сертификата для подключения Kaspersky Thin Client к Kaspersky Security Center в Web Console

Если вы создали сертификат для подключения Kaspersky Thin Client к Kaspersky Security Center, необходимо загрузить такой сертификат в Web Console для передачи на управляемые тонкие клиенты.

Предварительно рекомендуется ознакомиться с требованиями, которые предъявляются к сертификатам Kaspersky Security Center, в разделе Требования к пользовательским сертификатам, используемым в Kaspersky Security Center в онлайн-справке Kaspersky Security Center.

Чтобы загрузить в Web Console сертификат для подключения Kaspersky Thin Client к Kaspersky Security Center:

1. В меню Kaspersky Security Center Web Console нажмите на значок рядом с именем Сервера администрирования Kaspersky Security Center.

   Откроется окно Свойства Сервера администрирования.

2. В списке подразделов выберите подраздел Сертификаты.
3. В открывшемся окне в блоке Аутентификация Сервера администрирования мобильными устройствами выберите Другой сертификат и нажмите на кнопку Управление сертификатом.
4. В открывшейся справа панели нажмите Обзор и выполните следующие действия:
   1. В раскрывающемся списке Тип сертификата выберите X.509-сертификат.
   2. Введите пароль, если пользовательский сертификат защищен паролем.
   3. Выберите файл пользовательского сертификата, нажав на кнопку Обзор в блоке Сертификат.
   4. Выберите закрытый ключ для пользовательского сертификата, нажав на кнопку Обзор в блоке Приватный ключ.
5. Нажмите на кнопку Сохранить, чтобы сохранить добавление сертификата.
6. Нажмите на кнопку Сохранить, чтобы сохранить изменения в подразделе Сертификаты.

Сертификат для подключения Kaspersky Thin Client к Kaspersky Security Center будет загружен в Web Console. Управляемые устройства и устройства, входящие в группу администрирования, получат новый сертификат после синхронизации Kaspersky Thin Client и Kaspersky Security Center.

Добавление новых сертификатов в Web Console

Для тонких клиентов, которые входят в

После добавления сертификата для тонкого клиента в Web Console все сертификаты, принятые пользователем ранее, будут удалены из хранилища устройства.

Чтобы добавить новые сертификаты через Web Console:

1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на имя политики для веб-плагина управления Kaspersky Security Management Suite.
3. В открывшемся окне выберите вкладку Параметры программы.
4. Выберите раздел Сертификаты.
5. В таблице Действительные сертификаты нажмите на кнопку Добавить в верхней части таблицы сертификатов.
6. В открывшейся справа панели выберите все сертификаты, которые были загружены ранее и новые сертификаты. Общий размер загружаемых файлов не должен превышать 1 MБ. Вы можете загрузить сертификаты только в формате DER. Файл сертификата должен содержать только один сертификат. Если требуется, вы можете предварительно конвертировать сертификат из формата PEM в формат DER.
7. Нажмите на кнопку ОК, для подтверждения загрузки выбранных сертификатов.

Выбранные сертификаты загрузятся и информация о них отобразится в таблице Действительные сертификаты.

Если добавленный сертификат является корневым (root), то подключение будет осуществляться только по доменному имени сервера.

Удаление сертификатов в Web Console

В Web Console вы можете удалять сертификаты для тонких клиентов, которые входят в группу администрирования.

При удалении всех сертификатов, назначенных группе тонких клиентов, устройства из такой группы смогут быть подключены к любым серверам, в том числе к тем, для которых не были назначены сертификаты.

Чтобы удалить сертификаты:

1. В главном окне Web Console выберите Устройства → Политики и профили политик.
2. Нажмите на имя политики для веб-плагина управления Kaspersky Security Management Suite.
3. В открывшемся окне выберите вкладку Параметры программы.
4. Выберите раздел Сертификаты.
5. В таблице Действительные сертификаты установите флажки около тех сертификатов, которые требуется удалить.
6. Нажмите на кнопку Удалить и подтвердите свои действия.

Выбранные сертификаты будут удалены.

Конвертация сертификата из формата PEM в формат DER

Kaspersky Security Management Suite поддерживает загрузку сертификатов только в формате DER. Вы можете выполнить конвертацию файла сертификата из формата PEM в формат DER.

Для выполнения инструкции на локальном компьютере требуется наличие утилиты OpenSSL.

Чтобы конвертировать файл сертификата из формата PEM в формат DER:

1. На локальном компьютере запустите консоль.
2. Перейдите в директорию, в которой расположен файл сертификата в формате PEM и выполните команду конвертации файла:

   openssl x509 -outform der -in <имя файла сертификата>.pem -out <имя файла сертификата>.der

   где:

   • <имя файла сертификата>.pem – название исходного файла сертификата в формате PEM.
   • <имя файла сертификата>.der – название конвертированного файла сертификата в формате DER.

Новый файл сертификата в формате DER будет располагаться в той же директории.

Обновление сертификата при миграции на новый Сервер Kaspersky Security Center

Для миграции тонких клиентов на новый Сервер администрирования Kaspersky Security Center необходимо выпустить сертификат, который будет сохранен на текущем Сервере Kaspersky Security Center как резервный и затем будет использован на новом Сервере как основной.

Чтобы выпустить и подготовить новый сертификат:

1. Запустите консоль и перейдите в папку, в которой вы хотите создать сертификат.
2. Запустите утилиту OpenSSL и выпустите сертификат с помощью следующей команды:

   openssl req -x509 -sha256 -nodes -days 397 -newkey rsa:2048 -keyout <название файла ключа>.key -out <название файла сертификата>.crt

   Созданные файлы сертификата и ключа будут сохранены локально.

3. Упакуйте сертификат и ключ в контейнер с помощью следующей команды:

   openssl pkcs12 -export -out -<название контейнера>.pfx -inkey <название файла ключа>.key -in <название файла сертификата>.crt

4. Введите и повторите пароль от контейнера. Этот пароль потребуется ввести при загрузке сертификата на серверы.

В результате файл контейнера в формате PFX будет сохранен локально.

Чтобы загрузить сертификат на текущий Сервер Kaspersky Security Center в качестве резервного:

1. Перейдите в папку с установленной программой Kaspersky Security Center и запустите консоль.
2. Запустите утилиту klsetsrvcert и введите следующую команду:

   klsetsrvcert -t MR -i <путь к контейнеру> -p <пароль от контейнера> -o NoCA

   Вам не нужно загружать утилиту klsetsrvcert. Утилита входит в состав комплекта поставки Kaspersky Security Center.

   После выполнения команды произойдет перезагрузка Kaspersky Security Center.

Резервный сертификат будет загружен в Web Console.

Чтобы загрузить сертификат на новый Сервер Kaspersky Security Center в качестве основного:

в консоли запустите утилиту klsetsrvcert и выполните следующую команду:

klsetsrvcert -t M -i <путь к контейнеру> -p <пароль от контейнера> -o NoCA

В результате выполнения инструкций, приведенных выше, сертификат для подключения к новому Серверу администрирования Kaspersky Security Center будет обновлен.