Kaspersky Security Center の証明書について

2024年5月20日

ID 206479

Kaspersky Security Center では、次の種類の証明書を使用することで、製品コンポーネント間の安全な対話を可能にしています。

  • 管理サーバー証明書
  • Web サーバーの証明書
  • Kaspersky Security Center Web コンソールの証明書

既定では、Kaspersky Security Center は自己署名証明書(つまり、Kaspersky Security Center 自体によって発行された証明書)を使用しますが、組織のネットワークの要件をより適切に満たし、セキュリティ標準に準拠するために、それらをカスタム証明書に置換することができます。カスタム証明書が該当するすべての要件を満たしているかどうかを管理サーバーが検証し、その後、この証明書は自己署名証明書と同じ機能範囲があると判断されます。唯一の違いは、カスタム証明書は期限切れ時に自動的に再発行されないことです。証明書のタイプに応じて、klsetsrvcert ユーティリティを使用するか、Kaspersky Security Center Web コンソールの[管理サーバーのプロパティ]セクションを介して、証明書をカスタム証明書に置換します。Klsetsrvcert ユーティリティを使用している際には、次の値のいずれかを使用して証明書を指定する必要があります:

  • C:(ポート 13000 と 13291 に共通の証明書)
  • CR:(ポート 13000 と 13291 に共通の予備の証明書)

管理サーバー証明書の最大有効期間は 397 日以下である必要があります。

管理サーバー証明書

管理サーバー証明書は、次の目的のために必要です:

  • Kaspersky Security Center Web コンソールへの接続時における管理サーバーの認証
  • 管理対象デバイスでの管理サーバーとネットワークエージェントとの安全な連携
  • プライマリ管理サーバーがセカンダリ管理サーバーに接続されている場合の認証

管理サーバー証明書は、管理サーバーのインストール中に自動的に作成され、フォルダー「/var/opt/kaspersky/klnagent_srv/1093/cert/」に格納されます。Kaspersky Security Center Web コンソールをインストールするための応答ファイルを作成する際に管理サーバーの証明書を指定しています。この証明書は共通(「C」)と呼ばれます。

管理サーバーの証明書は 397 日間有効です。Kaspersky Security Center は、共通証明書の有効期限が切れる 90 日前に予備の共通証明書(「CR」)を自動的に生成します。その後、共通予備証明書を使用して、管理サーバー証明書はシームレスに置換されます。共通証明書の有効期限が近づくと、共通予備証明書を使用して、管理対象デバイスにインストールされているネットワークエージェントインスタンスとの接続が維持されます。この目的で、共通予備証明書は、古い共通証明書の有効期限が切れる 24 時間前に自動的に新しい共通証明書になります。

管理サーバー証明書の最大有効期間は 397 日以下である必要があります。

必要に応じて、カスタム証明書を管理サーバーに割り当てることができます。たとえば、企業の既存の PKI とのより容易な統合や、証明書フィールドの設定のカスタマイズなどの理由で、こうした操作が必要になる場合があります。証明書を置換すると、以前 SSL を介して管理サーバーに接続したすべてのネットワークエージェントの接続が切断され、「管理サーバー証明書エラー」が返されます。このエラーを解消するには、証明書の置換後に接続を復元する必要があります。

管理サーバー証明書を紛失した場合、その証明書を復元するには、管理サーバーを再インストールしてデータを復元する必要があります。

データを失うことなく管理サーバーをあるデバイスから別のデバイスに移動するために、他の管理サーバー設定とは別に管理サーバー証明書をバックアップすることもできます。

モバイル証明書

モバイルデバイスでの管理サーバーの認証には、モバイル証明書(「M」)が必要です。モバイル証明書は管理サーバーのプロパティで指定します。

また、モバイル予備(「MR」)証明書も存在します。これは、モバイル証明書のシームレスな置換に使用されます。Kaspersky Security Center は、共通証明書の有効期限が切れる 60 日前にこの証明書を自動的に生成します。モバイル証明書の有効期限が近づくと、モバイル予備証明書を使用して、管理対象のモバイルデバイスにインストールされているネットワークエージェントインスタンスとの接続が維持されます。この目的で、モバイル予備証明書は、古い証明書の有効期限が切れる 24 時間前に自動的に新しい証明書になります。

接続シナリオで、モバイルデバイスでクライアント証明書を使用する必要がある場合(双方向 SSL 認証を含む接続)、自動生成されたクライアント証明書(「MCA」)の認証局を使用してそれらの証明書を生成できます。また、管理サーバープロパティで、別の認証局によって発行されたカスタムクライアント証明書を指定できます。一方、組織のドメイン公開鍵インフラストラクチャ(PKI)と統合すると、ドメイン認証局を使用してクライアント証明書を発行できます。

Web サーバーの証明書

特別な種類の証明書は、Kaspersky Security Center 管理サーバーのコンポーネントである Web サーバーによって使用されます。この証明書は、後で管理対象デバイスにダウンロードするネットワークエージェントインストールパッケージの公開に必要です。この目的のために、Web サーバーは様々な証明書を使用できます。

Web サーバーは次の証明書を優先度順に使用します:

  1. Kaspersky Security Center Web コンソールを使用して手動で指定したカスタム Web サーバー証明書
  2. 共通管理サーバー証明書(「C」)

Kaspersky Security Center Web コンソールの証明書

Kaspersky Security Center Web コンソール(以降「Web コンソール」と表記)のサーバーには、独自の証明書があります。Web サイトを開く際に、ブラウザは接続が信頼できるかどうかを確認します。Web コンソール証明書を使用して、Web コンソールを認証できます。この証明書は、ブラウザーと Web コンソールの間のトラフィックの暗号化にも使用されます。

Web コンソールを開くと、ブラウザーから Web コンソールとの接続がプライベートでなく Web コンソールの証明書が無効であると通知される場合があります。この警告は、Web コンソールの証明書が自己署名で、Kaspersky Security Center によって自動で生成されているために表示されます。この警告が表示されないようにするには、次の操作のうち 1 つを実行します:

  • カスタム証明書と Web コンソールの証明書を置き換える(推奨)。企業のインフラストラクチャで信頼済みで、かつ、カスタム証明書の要件を満たす証明書を作成する。
  • ブラウザーの信頼済み証明書のリストに Web コンソールの証明書を追加する。カスタム証明書を作成できない場合には、この方法を推奨します。

関連項目:

Kaspersky Security Center Linux で使用されるカスタム証明書の要件

シナリオ:管理サーバーのカスタム証明書の指定

はじめに

管理サーバーの階層構造:プライマリ管理サーバーとセカンダリ管理サーバー

Web サーバー

この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。