klsetsrvcert ユーティリティを使用した管理サーバー証明書の置換
管理サーバーの証明書を手動で置換するには:
コマンドラインから、次のユーティリティを実行します:
klsetsrvcert[-t <種別> {-i <入力ファイル> [-p <パスワード>] [-o <証明書の検証パラメータ>] | -g <DNS 名>}][-f <時刻>][-r <CA のリストファイル>][-l <ログファイル>]
klsetsrvcert ユーティリティをダウンロードする必要はありません。Kaspersky Security Center Linux の配布キットに含まれています。Kaspersky Security Center Linux の以前のバージョンとは互換性がありません。
klsetsrvcert ユーティリティのパラメータの説明を次の表に示します。
klsetsrvcert ユーティリティのパラメータ値
パラメータ | 値 |
---|---|
| 置換する証明書の種別。
|
| 証明書の変更の予定時刻。形式は「DD-MM-YYYY hh:mm」です(ポート 13000 と 13291 向け)。 有効期間の終了前に、共通証明書または予備の共通証明書を置換する場合は、このパラメータを使用します。 管理対象デバイスが新しい証明書で管理サーバーと同期する必要がある時間を指定します。 |
| PKCS#12 形式の証明書と秘密鍵を持つコンテナー(拡張子が .p12 または .pfx のファイル)。 |
| p12 コンテナーの保護に使用されるパスワード 証明書と秘密鍵はコンテナに保存されているため、コンテナでファイルを復号化するにはパスワードが必要です。 |
| 証明書の検証パラメータ(セミコロン区切り)。 証明書署名の権限なしにカスタム証明書を使用するには、klsetsrvcert ユーティリティで 証明書タイプ C または CR の暗号化鍵の長さを変更するには、klsetsrvcert ユーティリティで |
| 指定した DNS 名に対する新しい証明書が作成されます。 |
| 信頼済みのルート証明機関のリスト(PEM 形式)。 |
| 結果出力ファイル。既定では、出力は標準出力ストリームにリダイレクトされます |
例えば、カスタム管理サーバー証明書を指定するには、次のコマンドを使用します。
klsetsrvcert -t C -i <入力ファイル> -p <パスワード> -o NoCA
証明書が置換されると、SSL を介して管理サーバーに接続されているすべてのネットワークエージェントの接続は切断されます。復元するには、コマンドライン klmoverユーティリティを使用します。
ネットワークエージェントの接続が切断されないようにするには、次のコマンドを使用します:
- 新しい証明書をインストールするには、
klsetsrvcert -t CR -i <入力ファイル> -p <パスワード> -o NoCA
- 新しい証明書を適用する日付を指定するには、
klsetsrvcert -f "DD-MM-YYYY hh:mm"
"DD-MM-YYYY hh:mm"
は、現在より 3 ~ 4 週間先の日付です。時間を変えて証明書を新しいものに変更することにより、新しい証明書をすべてのネットワークエージェントに配信できます。