Nasazení certifikátů SSL/TLS prostřednictvím MDM pro ochranu SSL/TLS

Kopírovat odkaz na aktuální článek Sdílet e-mailem

Tento článek (PDF) Celá dokumentace (PDF)

Do macOS Sequoia a novějším přidala společnost Apple pro zajištění důvěryhodnosti certifikátu povinný uživatelský dialog. Důvěra certifikátům ESET proto již nemůže být udělována automaticky.

Čistá instalace

1.Nainstalujte na jedno z koncových zařízení Mac ESET Endpoint Security verze 9. Dokončete aktivační proces, zapněte ochranu SSL/TLS a zajistěte důvěryhodnost certifikátu.

2.V tomto koncovém zařízení zkopírujte tři níže uvedené soubory z cesty /Library/Application Support/ESET/Security/cache/data

•protoscanCipherKey.bin

•protoscanRootCert.crt

•protoscanRootKey.bin

3.Tyto soubory umístěte do souboru zip na serveru, který musí být přístupný ze všech koncových zařízení.

4.Stáhněte skripty pomocí tohoto odkazu: deploy_certificate_files.sh. Jakmile je skript stažen, přečtěte si jeho nápovědu. Distribuujte skript prostřednictvím MDM podle svého výběru s odpovídajícími parametry (například: ./deploy_certificate_files.sh -s myserver.eset.com/certificate_deployment -u myusername -p mypassword -f files.zip) Skript se pokusí připojit k serveru pomocí příkazu mount_smbfs. Pokud chcete používat jiný protokol než SMB, upravte skript v sekci MARK: SMB mount.

5.Po zkopírování těchto souborů otevřete aplikaci Keychain Access v zařízení s Mac, kde jste původně nainstalovali ESET Endpoint Security.

6.Vyhledejte ESET SSL Filter CA a exportujte ji.

7.Distribuujte tento certifikát prostřednictvím zvoleného MDM.

8.Dokončete zbývající kroky nastavení potřebné pro vzdálenou instalaci ESET Endpoint Security. Podrobnější informace naleznete v článku naší ESET Databázi znalostí.

9.Povolte nastavení SSL prostřednictvím politiky ESET PROTECT pro požadovaná koncová zařízení.

Pokud již máte nainstalovaný ESET Endpoint Security verze 7 nebo 8, postupujte stejně. Po spuštění skriptu proveďte nasazení certifikátu a poté aktualizujte ESET Endpoint Security na verzi 9.

Kroky, které je třeba učinit, pokud již máte nainstalovaný ESET Endpoint Security verze 9

1.Ujistěte se, že je na koncových zařízeních vypnuta ochrana SSL/TLS. Můžete tak učinit prostřednictvím politik ESET PROTECT.

2.Do koncových zařízení distribuujte certifikát (kroky 1 a 5-7 v čisté instalaci) prostřednictvím vybraného nástroje MDM.

3.Postupujte podle kroků 1-4 z čisté instalace. Skript z kroku 4 by měl aplikaci restartovat.

4.Znovu povolte ochranu SSL/TLS politikou ESET PROTECT.

Věnujte pozornost všem protokolům ze skriptu. Pokud se něco pokazí, může být nutné provést ruční zadání na koncových zařízeních.

Pokud používáte macOS Sequoia (15) nebo novější, může nasazení skriptu prostřednictvím ESET Protect selhat, protože systém může blokovat stahování ze síťových svazků prováděné vzdáleně nasazenými skripty. Chcete-li tomuto problému předejít, udělte buď pouze oprávnění kTCCServiceSystemPolicyNetworkVolumes, nebo Plný přístup k disku pro Terminál i ESET Management Agent.

˄˅