Sobre os certificados do Kaspersky Security Center

5 de abril de 2024

ID 206479

O Kaspersky Security Center usa os seguintes tipos de certificados para permitir uma interação segura entre os componentes do aplicativo:

  • Certificado do Servidor de Administração
  • Certificado móvel
  • Certificado do Servidor de MDM do iOS
  • Certificado do Servidor Web do Kaspersky Security Center
  • Certificado do Kaspersky Security Center Web Console

Por padrão, o Kaspersky Security Center usa certificados autoassinados (ou seja, emitidos pelo próprio Kaspersky Security Center), mas você pode substituí-los por certificados personalizados para melhor atender aos requisitos da rede da sua organização e cumprir os padrões de segurança. Depois que o Servidor de Administração verifica se um certificado personalizado atende a todos os requisitos aplicáveis, este certificado assume o mesmo escopo funcional de um certificado autoassinado. A única diferença é que um certificado personalizado não é reemitido automaticamente após o término. Os certificados são substituídos por certificados personalizados por meio do utilitário klsetsrvcert ou por meio da seção de propriedades do Servidor de Administração no console de administração, dependendo do tipo de certificado. Ao usar o utilitário klsetsrvcert, é preciso especificar um tipo de certificado usando um dos seguintes valores:

  • C (certificado comum para as portas 13000 e 13291).
  • CR (certificado de reserva comum para as portas 13000 e 13291).
  • M (certificado móvel para porta 13292).
  • MR (certificado de reserva móvel para a porta 13292).
  • MCA (autoridade de certificação móvel para certificados de usuário gerados automaticamente).

Não é preciso baixar o utilitário klsetsrvcert. Ele está incluído no kit de distribuição do Kaspersky Security Center. Não é compatível com versões anteriores do Kaspersky Security Center.

O período de validade máximo para qualquer um dos certificados do Servidor de Administração deve ser de 397 dias ou menos.

Certificados do Servidor de Administração

Um certificado do Servidor de Administração é necessário para autenticação do Servidor de Administração, bem como para interação segura entre o Servidor de Administração e o Agente de Rede em dispositivos gerenciados ou entre o Servidor de Administração principal e Servidores de Administração secundários. Ao conectar o Console de Administração ao Servidor de Administração pela primeira vez, é solicitado que você confirme o uso do certificado do Servidor de Administração atual. Essa confirmação também é necessária toda vez que o certificado do Servidor de Administração é substituído, após cada reinstalação do Servidor de Administração e ao conectar um Servidor de Administração secundário ao Servidor de Administração principal. Este certificado é chamado comum ("C").

O certificado comum ("C") é criado automaticamente quando o componente Servidor de Administração é instalado. O certificado consiste em duas partes:

  • Arquivo klserver.cer; por padrão, está localizado no dispositivo no qual o componente Servidor de Administração está instalado na pasta C:\ProgramData\KasperskyLab\adminkit\1093\cert.
  • Chave de licença secreta localizada no Armazenamento Protegido do Windows.

Existe ainda um certificado de reserva comum ("CR"). O Kaspersky Security Center gera automaticamente este certificado 90 dias antes do término do certificado comum. O certificado de reserva comum é subsequentemente usado para a substituição perfeita do certificado do Servidor de Administração. Quando o certificado comum está prestes a expirar, o certificado de reserva comum é usado para manter a conexão com as instâncias do Agente de Rede instaladas nos dispositivos gerenciados. Com esta finalidade, o certificado de reserva comum torna-se automaticamente o novo certificado comum 24 horas antes de o antigo certificado comum expirar.

Você também pode fazer backup do certificado do Servidor de Administração separadamente de outras configurações do Servidor de Administração para mover o Servidor de Administração de um dispositivo para outro, sem perda de dados.

Certificados móveis

Um certificado móvel ("M") é necessário para autenticação do Servidor de Administração em dispositivos móveis. Você pode configurar o uso do certificado de dispositivos móveis na etapa dedicada do Assistente de início rápido.

Além disso, existe um certificado de reserva móvel ("MR"), que é usado para a substituição perfeita do certificado móvel. Quando o certificado móvel está prestes a expirar, o certificado de reserva móvel é usado para manter a conexão com instâncias do Agente de Rede instaladas em dispositivos móveis gerenciados. Com esta finalidade, o certificado de reserva móvel torna-se automaticamente o novo certificado móvel 24 horas antes de o antigo certificado comum expirar.

A reemissão automática de certificado de dispositivos móveis não é compatível. Recomendamos especificar um novo certificado de dispositivos móveis quando o existente estiver prestes a expirar. Caso o certificado de dispositivos móveis expirar e o certificado de dispositivos móveis reserva não for especificado, a conexão entre o Servidor de Administração e as instâncias do Agente de Rede instaladas em dispositivos móveis gerenciados será perdida. Nesse caso, para reconectar dispositivos móveis gerenciados, é necessário especificar um novo certificado de dispositivos móveis e reinstalar o Kaspersky Security for Mobile em cada dispositivo móvel gerenciado.

Se o cenário de conexão exigir o uso de um certificado de cliente em dispositivos móveis (conexão envolvendo autenticação SSL bidirecional), você gera esses certificados através da autoridade de certificação para certificados de usuário gerados automaticamente ("MCA"). Além disso, o Assistente de início rápido permite que você comece a usar certificados de cliente personalizados emitidos por uma autoridade de certificação diferente, enquanto a integração com a infraestrutura de chave pública (PKI) do domínio de sua organização permite que você emita certificados de cliente por meio de sua autoridade de certificação de domínio.

Certificado do Servidor de MDM do iOS

Um certificado de servidor MDM iOS é necessário para autenticação do Servidor de Administração em dispositivos móveis executando o sistema operacional iOS. A interação com esses dispositivos é realizada por meio do protocolo de Gerenciamento de Dispositivos Móveis (MDM) da Apple que não envolve o Agente de Rede. Em vez disso, você instala um perfil MDM do iOS especial, contendo um certificado de cliente, em cada dispositivo, para garantir a autenticação SSL bidirecional.

Além disso, o Assistente de início rápido permite que você comece a usar certificados de cliente personalizados emitidos por uma autoridade de certificação diferente, enquanto a integração com a infraestrutura de chave pública (PKI) do domínio de sua organização permite que você emita certificados de cliente por meio de sua autoridade de certificação de domínio.

Os certificados do cliente são transmitidos para dispositivos iOS quando você baixa os perfis MDM do iOS. Um certificado de cliente do Servidor de MDM do iOS é exclusivo para cada dispositivo iOS gerenciado. Você gera todos os certificados cliente do servidor MDM do iOS através da autoridade de certificação para certificados de usuário gerados automaticamente ("MCA").

Certificado do Servidor Web do Kaspersky Security Center

Um tipo especial de certificado é usado pelo Servidor Web do Kaspersky Security Center (aqui referido como Servidor Web), um componente do Servidor de Administrador do Kaspersky Security Center. Este certificado é necessário para publicar pacotes de instalação do Agente de Rede que você baixou posteriormente para dispositivos gerenciados, bem como para publicar perfis MDM do iOS, aplicativos iOS e pacotes de instalação do Kaspersky Endpoint Security for Mobile. Para isso, o Servidor Web pode usar vários certificados.

Se a compatibilidade para dispositivo móvel estiver desativada, o Servidor da Web usa um dos seguintes certificados, em ordem de prioridade:

  1. Certificado de servidor da web personalizado que você especificou manualmente no Console de Administração
  2. Certificado do Servidor de Administração Comum ("C")

Se a compatibilidade para dispositivo móvel estiver habilitada, o Servidor Web usa um dos seguintes certificados, em ordem de prioridade:

  1. Certificado de servidor da web personalizado que você especificou manualmente no Console de Administração
  2. Certificado móvel personalizado
  3. Certificado móvel autoassinado ("M")
  4. Certificado do Servidor de Administração Comum ("C")

Certificado do Kaspersky Security Center Web Console

O Servidor do Kaspersky Security Center Web Console (aqui referido como Web Console) tem seu próprio certificado. Quando você abre um site, um navegador verifica se sua conexão é confiável. O certificado do Web Console permite autenticar o Web Console e é usado para criptografar o tráfego entre um navegador e o Web Console.

Quando o Web Console é aberto, o navegador pode informar que a conexão com o Web Console não é privada e o certificado do Web Console é inválido. Essa advertência aparece porque o certificado do Web Console é autoassinado e gerado automaticamente pelo Kaspersky Security Center. Para remover essa advertência, é possível fazer o seguinte:

Consulte também:

Requisitos para certificados personalizados usados no Kaspersky Security Center

Cenário: especificação do certificado personalizado do Servidor de Administração

Cenário principal de implementação

Autenticação do Servidor de Administração durante a conexão do Console de Administração

Hierarquia de Servidores de Administração: Servidor de Administração principal e Servidor de Administração secundário

Backup de dados e recuperação no modo interativo

Trabalhar com certificados de dispositivos móveis

Assistente de Início Rápido do Servidor de Administração

Adicionando dispositivos móveis iOS na lista de dispositivos gerenciados

Assinando um perfil MDM do iOS por um certificado

Servidor Web

Este artigo foi útil?
O que podemos melhorar?
Agradecemos o seu comentário! Ele nos ajuda a melhorar.
Agradecemos o seu comentário! Ele nos ajuda a melhorar.