Sobre os certificados do Kaspersky Security Center

O Kaspersky Security Center usa os seguintes tipos de certificados para permitir uma interação segura entre os componentes do aplicativo:

• Certificado do Servidor de Administração
• Certificado do servidor da Web
• Certificado do Kaspersky Security Center Web Console

Por padrão, o Kaspersky Security Center usa certificados autoassinados (ou seja, emitidos pelo próprio Kaspersky Security Center), mas você pode substituí-los por certificados personalizados para melhor atender aos requisitos da rede da sua organização e cumprir os padrões de segurança. Depois que o Servidor de Administração verifica se um certificado personalizado atende a todos os requisitos aplicáveis, este certificado assume o mesmo escopo funcional de um certificado autoassinado. A única diferença é que um certificado personalizado não é reemitido automaticamente após a expiração. Você substitui certificados por certificados personalizados por meio do utilitário klsetsrvcert ou da seção de propriedades do Servidor de Administração no Kaspersky Security Center Web Console, dependendo do tipo de certificado. Ao usar o utilitário klsetsrvcert, é preciso especificar um tipo de certificado usando um dos seguintes valores:

• C (certificado comum para as portas 13000 e 13291).
• CR (certificado de reserva comum para as portas 13000 e 13291).

O período de validade máximo para qualquer um dos certificados do Servidor de Administração deve ser de 397 dias ou menos.

Certificados do Servidor de Administração

Um certificado do Servidor de Administração é necessário para os seguintes propósitos:

• Autenticação de Servidor de Administração ao conectar-se ao Kaspersky Security Center Web Console
• Interação segura entre o Servidor de Administração e o Agente de Rede em dispositivos gerenciados
• Autenticação quando os Servidores de Administração principais estão conectados aos Servidores de Administração secundários

O certificado do Servidor de Administração é criado automaticamente durante a instalação do componente do Servidor de Administração e é armazenado na pasta /var/opt/kaspersky/klnagent_srv/1093/cert/. Você especifica o certificado do Servidor de Administração ao criar um arquivo de resposta para instalar o Kaspersky Security Center Web Console. Este certificado é chamado comum ("C").

O certificado do Servidor de Administração é válido por 397 dias. O Kaspersky Security Center gera automaticamente um certificado de reserva comum (CR) 90 dias antes da expiração do certificado comum. O certificado de reserva comum é subsequentemente usado para a substituição perfeita do certificado do Servidor de Administração. Quando o certificado comum está prestes a expirar, o certificado de reserva comum é usado para manter a conexão com as instâncias do Agente de Rede instaladas nos dispositivos gerenciados. Com esta finalidade, o certificado de reserva comum torna-se automaticamente o novo certificado comum 24 horas antes de o antigo certificado comum expirar.

O período de validade máximo para qualquer um dos certificados do Servidor de Administração deve ser de 397 dias ou menos.

Se necessário, você pode atribuir um certificado personalizado ao Servidor de Administração. Por exemplo, isso pode ser necessário melhorar a integração com o PKI existente da sua empresa ou para a configuração personalizada dos campos do certificado. Ao substituir o certificado, todos os Agentes de Rede que estiveram conectados anteriormente ao Servidor de Administração por meio do SSL perderão a conexão e retornarão o "Erro de autenticação do Servidor de Administração". Para eliminar o erro, será necessário restaurar a conexão após a substituição do certificado.

Caso o certificado do Servidor de Administração tenha se perdido, é preciso reinstalar o componente Servidor de Administração e restaurar os dados para poder recuperá-lo.

Você também pode fazer backup do certificado do Servidor de Administração separadamente de outras configurações do Servidor de Administração para mover o Servidor de Administração de um dispositivo para outro, sem perda de dados.

Certificados móveis

Um certificado móvel ("M") é necessário para autenticação do Servidor de Administração em dispositivos móveis. Especifique o certificado de dispositivos móveis nas propriedades do Servidor de Administração.

Além disso, existe um certificado de reserva móvel ("MR"), que é usado para a substituição perfeita do certificado móvel. O Kaspersky Security Center gera automaticamente este certificado 60 dias antes da expiração do certificado comum. Quando o certificado móvel está prestes a expirar, o certificado de reserva móvel é usado para manter a conexão com instâncias do Agente de Rede instaladas em dispositivos móveis gerenciados. Com esta finalidade, o certificado de reserva móvel torna-se automaticamente o novo certificado móvel 24 horas antes de o antigo certificado comum expirar.

Caso o cenário de conexão exija o uso de um certificado de cliente em dispositivos móveis (conexão envolvendo autenticação SSL bidirecional), é possível gerar esses certificados através da autoridade de certificação para certificados de usuário gerados automaticamente ("MCA"). Além disso, nas propriedades do Servidor de Administração, é possível especificar os certificados de cliente personalizados emitidos por uma autoridade de certificação diferente, enquanto a integração com a infraestrutura de chave pública (PKI) do domínio de sua organização permite a emissão de certificados de cliente por meio de sua autoridade de certificação de domínio.

Certificado do servidor da Web

Um tipo especial de certificado é usado pelo Servidor Web, um componente do Servidor de Administração do Kaspersky Security Center. Este certificado é necessário para publicar pacotes de instalação do Agente de Rede, que você baixa posteriormente para dispositivos gerenciados. Para isso, o Servidor Web pode usar vários certificados.

O Servidor Web usa um dos seguintes certificados, por ordem de prioridade:

1. Certificado de Servidor Web personalizado que você especificou manualmente por meio do Kaspersky Security Center Web Console
2. Certificado do Servidor de Administração Comum ("C")

Certificado do Kaspersky Security Center Web Console

O Servidor do Kaspersky Security Center Web Console (aqui referido como Web Console) tem seu próprio certificado. Quando você abre um site, um navegador verifica se sua conexão é confiável. O certificado do Web Console permite autenticar o Web Console e é usado para criptografar o tráfego entre um navegador e o Web Console.

Quando o Web Console é aberto, o navegador pode informar que a conexão com o Web Console não é privada e o certificado do Web Console é inválido. Essa advertência aparece porque o certificado do Web Console é autoassinado e gerado automaticamente pelo Kaspersky Security Center. Para remover essa advertência, é possível fazer o seguinte:

• Substitua o certificado do Web Console por um personalizado (opção recomendada). Crie um certificado confiável na infraestrutura e que atenda aos requisitos para certificados personalizados.
• Adicione o certificado do Web Console na lista de certificados de navegador confiáveis. Recomendamos usar essa opção somente se não puder criar um certificado personalizado.