Kaspersky Security Center の証明書について

2024年3月18日

ID 206479

Kaspersky Security Center では、次の種類の証明書を使用することで、製品コンポーネント間の安全な対話を可能にしています。

  • 管理サーバー証明書
  • モバイル証明書
  • iOS MDM サーバー証明書
  • Kaspersky Security Center Web サーバーの証明書
  • Kaspersky Security Center Web コンソールの証明書

既定では、Kaspersky Security Center は自己署名証明書(つまり、Kaspersky Security Center 自体によって発行された証明書)を使用しますが、組織のネットワークの要件をより適切に満たし、セキュリティ標準に準拠するために、それらをカスタム証明書に置換することができます。カスタム証明書が該当するすべての要件を満たしているかどうかを管理サーバーが検証し、その後、この証明書は自己署名証明書と同じ機能範囲があると判断されます。唯一の違いは、カスタム証明書は期限切れ時に自動的に再発行されないことです。証明書のタイプに応じて、klsetsrvcert ユーティリティを使用するか、管理コンソールの[管理サーバーのプロパティ]セクションを介して、証明書をカスタム証明書に置換します。Klsetsrvcert ユーティリティを使用している際には、次の値のいずれかを使用して証明書を指定する必要があります:

  • C:(ポート 13000 と 13291 に共通の証明書)
  • CR:(ポート 13000 と 13291 に共通の予備の証明書)
  • M:(ポート 13292 のモバイル証明書)
  • MR:(ポート 13292 のモバイル予備証明書)
  • MCA:(自動生成されたユーザー証明書のモバイル認証局)

klsetsrvcert ユーティリティをダウンロードする必要はありません。Kaspersky Security Center の配布キットに含まれています。このユーティリティには、Kaspersky Security Center の以前のバージョンとの互換性はありません。

管理サーバー証明書の最大有効期間は 397 日以下である必要があります。

管理サーバー証明書

管理サーバー証明書は、管理サーバーの認証、および管理サーバーと管理対象デバイス上のネットワークエージェント間、またはプライマリ管理サーバーとセカンダリ管理サーバー間のセキュアな対話に必要です。管理コンソールと管理サーバーの初回接続時に、現在の管理サーバー証明書の使用の確認が要求されます。このような確認は、管理サーバー証明書を交換するたび、管理サーバーを再インストールするたび、およびセカンダリ管理サーバーをプライマリ管理サーバーに接続する時にも必要です。この証明書は共通(「C」)と呼ばれます。

共通 (「C」)証明書は、管理サーバーコンポーネントのインストール時に自動的に作成されます。証明書には次の 2 つの要素があります:

  • klserver.cer ファイルは、既定では管理サーバーコンポーネントがインストールされたデバイスの[C:\ProgramData\KasperskyLab\adminkit\1093\cert]フォルダーにあります。
  • Windows 保護ストレージにある秘密鍵。

また、共通予備(「CR」)証明書も存在します。Kaspersky Security Center は、共通証明書の有効期限が切れる 90 日前にこの証明書を自動的に生成します。その後、共通予備証明書を使用して、管理サーバー証明書はシームレスに置換されます。共通証明書の有効期限が近づくと、共通予備証明書を使用して、管理対象デバイスにインストールされているネットワークエージェントインスタンスとの接続が維持されます。この目的で、共通予備証明書は、古い共通証明書の有効期限が切れる 24 時間前に自動的に新しい共通証明書になります。

データを失うことなく管理サーバーをあるデバイスから別のデバイスに移動するために、他の管理サーバー設定とは別に管理サーバー証明書をバックアップすることもできます。

モバイル証明書

モバイルデバイスでの管理サーバーの認証には、モバイル証明書(「M」)が必要です。モバイル証明書の使用は、クイックスタートウィザードの専用の手順で設定します。

また、モバイル予備(「MR」)証明書も存在します。これは、モバイル証明書のシームレスな置換に使用されます。モバイル証明書の有効期限が近づくと、モバイル予備証明書を使用して、管理対象のモバイルデバイスにインストールされているネットワークエージェントインスタンスとの接続が維持されます。この目的で、モバイル予備証明書は、古い証明書の有効期限が切れる 24 時間前に自動的に新しい証明書になります。

モバイル証明書の自動再発行はサポートされていません。既存のモバイル証明書の有効期限が近づいたら、新しいモバイル証明書を指定することを推奨します。モバイル証明書の有効期限が切れ、モバイル予約証明書が指定されていない場合、管理サーバーと管理対象モバイルデバイスにインストールされているネットワークエージェントのインスタンス間の接続が失われます。この場合、管理対象モバイルデバイスを再接続するには、新しいモバイル証明書を指定し、各管理対象モバイルデバイスに Kaspersky Security for Mobile を再インストールする必要があります。

接続シナリオで、モバイルデバイスでクライアント証明書を使用する必要がある場合(双方向 SSL 認証を含む接続)、自動生成されたユーザー証明書(「MCA」)の認証局を使用してそれらの証明書を生成します。また、クイックスタートウィザードを使用すると、別の認証局によって発行されたカスタムクライアント証明書の使用を開始できます。一方、組織のドメイン公開鍵インフラストラクチャ(PKI)と統合すると、ドメイン認証局を使用してクライアント証明書を発行できます。

iOS MDM サーバー証明書

iOS オペレーティングシステムで動作しているモバイルデバイスでの管理サーバーの認証には、iOS MDM サーバー証明書が必要です。これらのデバイスとのインタラクションは、ネットワークエージェントを含まない Apple モバイルデバイス管理(MDM)プロトコルを介して実行されます。代わりに、クライアント証明書を含む特別な iOS MDM プロファイルを各デバイスにインストールして、双方向 SSL 認証を保証します。

また、クイックスタートウィザードを使用すると、別の認証局によって発行されたカスタムクライアント証明書の使用を開始できます。一方、組織のドメイン公開鍵インフラストラクチャ(PKI)と統合すると、ドメイン認証局を使用してクライアント証明書を発行できます。

これらの iOS MDM プロファイルをダウンロードすると、クライアント証明書が iOS デバイスに送信されます。iOS MDM Server クライアント証明書は、管理対象の iOS デバイスごとに一意です。自動生成されたユーザー証明書(「MCA」)の認証局を使用して、すべての iOS MDM Server クライアント証明書を生成します。

Kaspersky Security Center Web サーバーの証明書

特別な種類の証明書は、Kaspersky Security Center 管理サーバーのコンポーネントである Kaspersky Security Center Web サーバー(以降「Web サーバー」と表記)によって使用されます。この証明書は、後で管理対象デバイスにダウンロードするネットワークエージェントインストールパッケージの公開、および iOS MDM プロファイル、iOS アプリ、Kaspersky Security for Mobile インストールパッケージの公開に必要です。この目的のために、Web サーバーは様々な証明書を使用できます。

モバイルデバイスのサポートが無効になっている場合、Web サーバーは優先度の高い順に次の証明書のいずれかを使用します:

  1. 管理コンソールを使用して手動で指定したカスタム Web サーバー証明書
  2. 共通管理サーバー証明書(「C」)

モバイルデバイスのサポートが有効になっている場合、Web サーバーは優先度の高い順に次の証明書のいずれかを使用します:

  1. 管理コンソールを使用して手動で指定したカスタム Web サーバー証明書
  2. カスタムモバイル証明書
  3. 自己署名モバイル証明書(「M」)
  4. 共通管理サーバー証明書(「C」)

Kaspersky Security Center Web コンソールの証明書

Kaspersky Security Center Web コンソール(以降「Web コンソール」と表記)のサーバーには、独自の証明書があります。Web サイトを開く際に、ブラウザは接続が信頼できるかどうかを確認します。Web コンソール証明書を使用して、Web コンソールを認証できます。この証明書は、ブラウザーと Web コンソールの間のトラフィックの暗号化にも使用されます。

Web コンソールを開くと、ブラウザーから Web コンソールとの接続がプライベートでなく Web コンソールの証明書が無効であると通知される場合があります。この警告は、Web コンソールの証明書が自己署名で、Kaspersky Security Center によって自動で生成されているために表示されます。この警告が表示されないようにするには、次の操作のうち 1 つを実行します:

  • カスタム証明書と Web コンソールの証明書を置き換える(推奨)。企業のインフラストラクチャで信頼済みで、かつ、カスタム証明書の要件を満たす証明書を作成する。
  • ブラウザーの信頼済み証明書のリストに Web コンソールの証明書を追加する。カスタム証明書を作成できない場合には、この方法を推奨します。

関連項目:

Kaspersky Security Center で使用されるカスタム証明書の要件

シナリオ:管理サーバーのカスタム証明書の指定

主要なインストールシナリオ

管理コンソール接続時の管理サーバーの認証

管理サーバーの階層構造:プライマリ管理サーバーとセカンダリ管理サーバー

対話モードによるデータのバックアップと復元

モバイルデバイスの証明書の使用

管理サーバークイックスタートウィザード

管理対象デバイスのリストへの iOS モバイルデバイスの追加

証明書による iOS MDM プロファイルの署名

Web サーバー

この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。