À propos des certificats de Kaspersky Security Center
Kaspersky Security Center utilise les types de certificats suivants pour permettre une interaction sécurisée entre les modules de l'application :
- Certificat du Serveur d'administration
- Certificat mobile
- Certificat du serveur MDM iOS
- Certificat de serveur Web de Kaspersky Security Center
- Certificat de Kaspersky Security Center Web Console
Par défaut, Kaspersky Security Center utilise des certificats auto-signés (c'est-à-dire émis par Kaspersky Security Center lui-même), mais vous pouvez les remplacer par des certificats personnalisés pour mieux répondre aux exigences du réseau de votre organisation et respecter les normes de sécurité. Une fois que le Serveur d'administration a vérifié si un certificat personnalisé répond à toutes les exigences applicables, ce certificat a la même zone de fonction qu'un certificat auto-signé. La seule différence réside dans le fait qu'un certificat personnalisé n'est pas réémis automatiquement à son expiration. Vous remplacez les certificats par des certificats personnalisés à l'aide de l'utilitaire klsetsrvcert ou par la section des propriétés du Serveur d'administration dans la Console d'administration, en fonction du type de certificat. Lorsque vous utilisez l'utilitaire klsetsrvcert, vous devez spécifier un type de certificat à l'aide de l'une des valeurs suivantes :
- C—certificat commun pour les ports 13000 et 13291.
- C—certificat commun de réserve pour les ports 13000 et 13291.
- M—certificat mobile pour le port 13292.
- MR—certificat mobile de réserve pour le port 13292.
- MCA—autorité de certification mobile pour les certificats utilisateur générés automatiquement.
Vous n'avez pas besoin de télécharger l'utilitaire klsetsrvcert. Il figure dans le kit de distribution de Kaspersky Security Center. L'utilitaire n'est pas compatible avec les versions précédentes de Kaspersky Security Center.
La période de validité maximale des certificats du Serveur d'administration ne doit pas dépasser 397 jours.
Certificats du Serveur d'administration
Un certificat de Serveur d'administration est requis pour procéder à l'authentification du Serveur d'administration ainsi que pour assurer une interaction sécurisée entre le Serveur d'administration et l'Agent d'administration sur les appareils administrés ou entre le Serveur d'administration principal et les Serveurs d'administration secondaires. Lorsque vous connectez la Console d'administration au Serveur d'administration pour la première fois, vous êtes invité à confirmer l'utilisation du certificat actuel du Serveur d'administration. Une telle confirmation est également requise chaque fois que le certificat du Serveur d'administration est remplacé, après chaque réinstallation du Serveur d'administration et lors de la connexion d'un Serveur d'administration secondaire au Serveur d'administration principal. Ce certificat est appelé certificat commun ("C").
Le certificat commun ("C") est créé automatiquement lors de l'installation du module Serveur d'administration. Le certificat est composé de deux parties :
- fichier klserver.cer ; par défaut, il se trouve sur l'appareil où le module Serveur d'administration est installé dans le dossier C:\ProgramData\KasperskyLab\adminkit\1093\cert.
- Clé secrète située dans le Stockage protégé Windows.
Il existe également un certificat commun de réserve ("CR"). Kaspersky Security Center génère automatiquement ce certificat 90 jours avant l'expiration du certificat commun. Le certificat commun de réserve est ensuite utilisé pour remplacer facilement le certificat du Serveur d'administration. Lorsque le certificat commun est sur le point d'expirer, le certificat commun de réserve est utilisé pour maintenir la connexion avec les instances d'Agent d'administration installées sur les appareils administrés. Ainsi, le certificat commun de réserve remplace automatiquement le nouveau certificat commun 24 heures avant l'expiration de l'ancien certificat commun.
Vous pouvez également sauvegarder le certificat du Serveur d'administration séparément des autres paramètres du Serveur d'administration afin de déplacer le Serveur d'administration d'un appareil à un autre sans aucune perte de données.
Certificats mobiles
Un certificat mobile ("M") est requis pour assurer l'authentification du Serveur d'administration sur les appareils mobiles. Vous configurez l'utilisation du certificat mobile à l'étape dédiée de l'Assistant de configuration initiale de l'application.
Il existe également un certificat mobile de réserve ("MR") : il est utilisé pour remplacer facilement le certificat mobile. Lorsque le certificat mobile est sur le point d'expirer, le certificat mobile de réserve est utilisé pour maintenir la connexion avec les instances d'Agent d'administration installées sur les appareils mobiles administrés. Ainsi, le certificat mobile de réserve remplace automatiquement le nouveau certificat mobile 24 heures avant l'expiration de l'ancien certificat mobile.
La réémission automatique de certificats mobiles n'est pas prise en charge. Nous vous recommandons de spécifier un nouveau certificat mobile lorsque le certificat existant est sur le point d'expirer. Si le certificat mobile expire et que le certificat de réserve mobile n'est pas spécifié, la connexion entre les instances du Serveur d'administration et de l'Agent d'administration installées sur les appareils mobiles administrés sera perdue. Dans ce cas, pour reconnecter les appareils mobiles administrés, vous devez définir un nouveau certificat mobile et réinstaller Kaspersky Security for Mobile sur chaque appareil mobile administré.
Si le scénario de connexion nécessite l'utilisation d'un certificat client sur les appareils mobiles (connexion impliquant une authentification SSL bidirectionnelle), vous générez ces certificats au moyen de l'autorité de certification pour les certificats utilisateur générés automatiquement ("MCA"). En outre, l'Assistant de configuration initiale de l'application vous permet de commencer à utiliser des certificats clients personnalisés émis par une autre autorité de certification, tandis que l'intégration avec l'infrastructure à clés publiques (PKI) de domaine de votre organisation vous permet d'émettre des certificats clients au moyen de votre autorité de certification de domaine.
Certificat du serveur MDM iOS
Un certificat de serveur MDM iOS est requis pour assurer l'authentification du Serveur d'administration sur les appareils mobiles fonctionnant sous le système d'exploitation iOS. L'interaction avec ces appareils est effectuée via le protocole d'administration des appareils mobiles Apple (MDM) qui n'implique aucun Agent d'administration. Au lieu de cela, vous installez un profil MDM iOS spécial, contenant un certificat client, sur chaque appareil, pour assurer une authentification SSL bidirectionnelle.
En outre, l'Assistant de configuration initiale de l'application vous permet de commencer à utiliser des certificats clients personnalisés émis par une autre autorité de certification, tandis que l'intégration avec l'infrastructure à clés publiques (PKI) de domaine de votre organisation vous permet d'émettre des certificats clients au moyen de votre autorité de certification de domaine.
Les certificats clients sont transmis aux appareils iOS lorsque vous téléchargez ces profils MDM iOS. Un certificat client du serveur MDM iOS est unique pour chaque appareil iOS administré. Vous générez tous les certificats clients du serveur MDM iOS au moyen de l'autorité de certification pour les certificats utilisateur générés automatiquement ("MCA").
Certificat de serveur Web de Kaspersky Security Center
Kaspersky Security Center Web Server (ci-après dénommé Serveur Web), un composant du Serveur d'administration de Kaspersky Security Center, utilise un type de certificat particulier. Ce certificat est requis pour la publication des paquets d'installation de l'Agent d'administration que vous téléchargez par la suite sur les appareils administrés, ainsi que pour la publication des profils MDM iOS, des applications iOS et des paquets d'installation de Kaspersky Security for Mobile. Pour cela, le Serveur Web peut utiliser différents certificats.
Si la prise en charge des appareils mobiles est désactivée, le Serveur Web utilise l'un des certificats suivants, par ordre de priorité :
- Certificat de serveur Web personnalisé que vous avez précisé manuellement par la Console d'administration
- Certificat commun du Serveur d'administration ("C")
Si la prise en charge des appareils mobiles est activée, le Serveur Web utilise l'un des certificats suivants, par ordre de priorité :
- Certificat de serveur Web personnalisé que vous avez précisé manuellement par la Console d'administration
- Certificat mobile personnalisé
- Certificat mobile auto-signé ("M")
- Certificat commun du Serveur d'administration ("C")
Certificat de Kaspersky Security Center Web Console
Le Serveur de Kaspersky Security Center Web Console (ci-après Web Console) possède son propre certificat. Lorsque vous ouvrez un site, un navigateur vérifie si votre connexion est fiable. Le certificat de Web Console permet d'authentifier Web Console et sert à chiffrer le trafic entre un navigateur et Web Console.
Lorsque vous ouvrez Web Console, le navigateur peut vous informer que la connexion à Web Console n'est pas privée et que le certificat de Web Console n'est pas valide. Cet avertissement apparaît car le certificat de la Console Web est auto-signé et généré automatiquement par Kaspersky Security Center. Pour supprimer cet avertissement, vous pouvez effectuer une des actions suivantes :
- Remplacez le certificat de Web Console par un certificat personnalisé (option recommandée). Créez un certificat de confiance dans votre infrastructure et qui répond aux exigences des certificats personnalisés.
- Ajoutez le certificat de Web Console à la liste des certificats de navigateur de confiance. Nous vous recommandons d'utiliser cette option uniquement si vous ne pouvez pas créer de certificat personnalisé.