Cenário: especificação do certificado personalizado do Servidor de Administração

É possível atribuir o certificado personalizado do Servidor de Administração, por exemplo, para melhor integração com a infraestrutura de chave pública (PKI) existente de sua empresa ou para configuração personalizada dos campos de certificado. É útil substituir o certificado imediatamente após a instalação do Servidor de Administração e antes que o Assistente de início rápido for concluído.

O período de validade máximo para qualquer um dos certificados do Servidor de Administração deve ser de 397 dias ou menos.

Pré-requisitos

O novo certificado deve ser criado no formato PKCS#12 (por exemplo, por meio da PKI da organização) e deve ser emitido por uma autoridade de certificação (CA) confiável. Além disso, o novo certificado deve incluir toda a cadeia de confiança e uma chave privada, que deve ser armazenada no arquivo com a extensão pfx ou p12. Para o novo certificado, os requisitos listados abaixo devem ser atendidos.

Tipo de certificado: certificado comum, certificado de reserva comum ("C", "CR")

Requisitos:

• Comprimento mínimo da chave: 2048
• Restrições básicas:
  • CA: true
  • Restrição de comprimento do caminho: nenhuma

    O valor da Restrição do comprimento do caminho pode ser um número inteiro diferente de "Nenhuma", mas não inferior a "1".

• Uso da chave:
  • Assinatura digital
  • Assinatura de certificado
  • Criptografia de chave
  • Assinatura CRL
• Uso estendido de chave (EKU): autenticação de servidor e autenticação de cliente. O EKU é opcional, mas caso o seu certificado o contenha, os dados de autenticação do servidor e do cliente devem ser especificados no EKU.

Os certificados emitidos por uma CA pública não têm a permissão de assinatura de certificado. Para usar esses certificados, certifique-se de ter instalado o Agente de Rede versão 13 ou posterior em pontos de distribuição ou gateways de conexão na rede. Caso contrário, não será possível usar os certificados sem a permissão de assinatura.

Fases

A especificação do certificado do Servidor de Administração prossegue em etapas:

1. Substituição do certificado do Servidor de Administração

   Use a linha de comando do utilitário klsetsrvcert para este fim.

2. Especificação de um novo certificado e restauração da conexão de Agentes de Rede com o Servidor de Administração

   Caso o certificado tenha sido substituído, todos os Agentes de Rede anteriormente conectados ao Servidor de Administração via SSL perderão a conexão e retornarão o "Erro de autenticação do Servidor de Administração". Para especificar o novo certificado e restaurar a conexão, use a linha de comando com o utilitário klmover.

Resultados

Ao concluir o cenário, o certificado do Servidor de Administração é substituído e o servidor é autenticado pelos Agentes de Rede nos dispositivos gerenciados.