klsetsrvcert ユーティリティを使用した管理サーバー証明書の置換

2024年8月9日

ID 227838

管理サーバーの証明書を手動で置換するには:

コマンドラインから、次のユーティリティを実行します:

klsetsrvcert[-t <種別> {-i <入力ファイル> [-p <パスワード>] [-o <証明書の検証パラメータ>] | -g <DNS 名>}][-f <時刻>][-r <CA のリストファイル>][-l <ログファイル>]

klsetsrvcert ユーティリティをダウンロードする必要はありません。Kaspersky Security Center Linux の配布キットに含まれています。Kaspersky Security Center Linux の以前のバージョンとは互換性がありません。

klsetsrvcert ユーティリティのパラメータの説明を次の表に示します。

klsetsrvcert ユーティリティのパラメータ値

パラメータ

-t <種別>

置換する証明書の種別。<種別>パラメータに指定可能な値:

  • C:ポート 13000 と 13291 の共通証明書を置換
  • CR:ポート 13000 と 13291 の予備の証明書を置換

-f <時刻>

証明書の変更の予定時刻。形式は「DD-MM-YYYY hh:mm」です(ポート 13000 と 13291 向け)。

有効期間の終了前に、共通証明書または予備の共通証明書を置換する場合は、このパラメータを使用します。

管理対象デバイスが新しい証明書で管理サーバーと同期する必要がある時間を指定します。

-i <入力ファイル>

PKCS#12 形式の証明書と秘密鍵を持つコンテナー(拡張子が .p12 または .pfx のファイル)。

-p <パスワード>

p12 コンテナーの保護に使用されるパスワード

証明書と秘密鍵はコンテナに保存されているため、コンテナでファイルを復号化するにはパスワードが必要です。

-o <証明書の検証パラメータ>

証明書の検証パラメータ(セミコロン区切り)。

証明書署名の権限なしにカスタム証明書を使用するには、klsetsrvcert ユーティリティで -o NoCA を指定します。これは、パブリック認証局(CA)によって発行された証明書に役立ちます。

証明書タイプ C または CR の暗号化鍵の長さを変更するには、klsetsrvcert ユーティリティで-o RsaKeyLen:<鍵長>を指定します。ここで、<鍵長>パラメータは必要な鍵の長さの値です。それ以外の場合は、現在の証明書の鍵の長さが使用されます。

-g <DNS 名>

指定した DNS 名に対する新しい証明書が作成されます。

-r <CA のリストファイル>

信頼済みのルート証明機関のリスト(PEM 形式)。

-l <ログファイル>

結果出力ファイル。既定では、出力は標準出力ストリームにリダイレクトされます

例えば、カスタム管理サーバー証明書を指定するには、次のコマンドを使用します。

klsetsrvcert -t C -i <入力ファイル> -p <パスワード> -o NoCA

証明書が置換されると、SSL を介して管理サーバーに接続されているすべてのネットワークエージェントの接続は切断されます。復元するには、コマンドライン klmoverユーティリティを使用します。

ネットワークエージェントの接続が切断されないようにするには、次のコマンドを使用します:

  1. 新しい証明書をインストールするには、

    klsetsrvcert -t CR -i <入力ファイル> -p <パスワード> -o NoCA

  2. 新しい証明書を適用する日付を指定するには、

    klsetsrvcert -f "DD-MM-YYYY hh:mm"

"DD-MM-YYYY hh:mm" は、現在より 3 ~ 4 週間先の日付です。時間を変えて証明書を新しいものに変更することにより、新しい証明書をすべてのネットワークエージェントに配信できます。

関連項目:

シナリオ:管理サーバーのカスタム証明書の指定

この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。