Cenário: especificação do certificado personalizado do Servidor de Administração
É possível atribuir o certificado personalizado do Servidor de Administração, por exemplo, para melhor integração com a infraestrutura de chave pública (PKI) existente de sua empresa ou para configuração personalizada dos campos de certificado. É útil substituir o certificado imediatamente após a instalação do Servidor de Administração e antes que o Assistente de início rápido for concluído.
O período de validade máximo para qualquer um dos certificados do Servidor de Administração deve ser de 397 dias ou menos.
Pré-requisitos
O novo certificado deve ser criado no formato PKCS#12 (por exemplo, por meio da PKI da organização) e deve ser emitido por uma autoridade de certificação (CA) confiável. Além disso, o novo certificado deve incluir toda a cadeia de confiança e uma chave privada, que deve ser armazenada no arquivo com a extensão pfx ou p12. Para o novo certificado, os requisitos listados abaixo devem ser atendidos.
Tipo de certificado: certificado comum, certificado de reserva comum ("C", "CR")
Requisitos:
- Comprimento mínimo da chave: 2048
- Restrições básicas:
- CA: true
- Restrição de comprimento do caminho: nenhuma
O valor da Restrição do comprimento do caminho pode ser um número inteiro diferente de "Nenhuma", mas não inferior a "1".
- Uso da chave:
- Assinatura digital
- Assinatura de certificado
- Criptografia de chave
- Assinatura CRL
- Uso estendido de chave (EKU): autenticação de servidor e autenticação de cliente. O EKU é opcional, mas caso o seu certificado o contenha, os dados de autenticação do servidor e do cliente devem ser especificados no EKU.
Os certificados emitidos por uma CA pública não têm a permissão de assinatura de certificado. Para usar esses certificados, certifique-se de ter instalado o Agente de Rede versão 13 ou posterior em pontos de distribuição ou gateways de conexão na rede. Caso contrário, não será possível usar os certificados sem a permissão de assinatura.
Fases
A especificação do certificado do Servidor de Administração prossegue em etapas:
- Substituição do certificado do Servidor de Administração
Use a linha de comando do utilitário klsetsrvcert para este fim.
- Especificação de um novo certificado e restauração da conexão de Agentes de Rede com o Servidor de Administração
Caso o certificado tenha sido substituído, todos os Agentes de Rede anteriormente conectados ao Servidor de Administração via SSL perderão a conexão e retornarão o "Erro de autenticação do Servidor de Administração". Para especificar o novo certificado e restaurar a conexão, use a linha de comando com o utilitário klmover.
Resultados
Ao concluir o cenário, o certificado do Servidor de Administração é substituído e o servidor é autenticado pelos Agentes de Rede nos dispositivos gerenciados.