Certificats personnalisés avec ERA

Si vous avez votre propre ICP (infrastructure à clé publique) dans votre environnement et que vous voulez que ESET Remote Administrator utilise vos certificats personnalisés pour la communication entre ses composants, les étapes suivantes vous guideront pendant le processus complet de configuration.

icon_details_hoverREMARQUE

L'exemple ci-dessous a été réalisé sur un ordinateur Windows Server 2012 R2. Dans le cas où vous utilisez une version différente de Windows Server, certains écrans peuvent varier légèrement pour vous, mais l'objectif de la procédure reste le même.

Rôles serveur requis :

Services de certificats Active Directory (AD CS).

Services de domaine Active Directory

1.Ouvrez la Console de gestion et ajoutez les composants logiciels enfichables Certificats :

Connectez-vous au serveur en tant que membre du groupe Administrateur local.

Exécutez mmc.exe pour ouvrir la console de gestion.

Cliquez sur Fichier dans le menu supérieur et sélectionnez Ajouter/supprimer composant logiciel enfichable… (ou appuyez sur CTRL+M).

Sélectionnez Certificats dans le panneau latéral de gauche et cliquez sur le bouton Ajouter.

using_custom_certificate_02

Sélectionnez Compte de l'ordinateur et cliquez sur Suivant.

Assurez-vous que Ordinateur local est sélectionné (par défaut) et cliquez sur Terminer.

Cliquez sur OK.

2.Créez une demande de certificat personnalisée :

Double-cliquez sur Certificats (Ordinateur local) pour le développer..

Double-cliquez sur Personnel pour le développer.. Cliquez avec le bouton droit sur Certificats et sélectionnez Toutes les tâches > Opérations avancées et sélectionnez Créer un demande personnalisée...

using_custom_certificate_05

La fenêtre de l'assistant d'inscription du certificat s'ouvre. Cliquez sur Suivant.

Sélectionnez l'option Continuer sans la politique d'inscription et cliquez sur Suivant pour continuer.

using_custom_certificate_06

Choisissez (Pas de modèle) Clé d'héritage dans la liste déroulante et assurez-vous que le format de la demande PKCS #10 est sélectionné. Cliquez sur Suivant.

using_custom_certificate_07

Développez la section Détails en cliquant sur la flèche dirigée vers le bas, puis cliquez sur le bouton Propriétés.

using_custom_certificate_08

Dans l'onglet Général, entrez un Nom convivial pour votre certificat; vous pouvez également remplir le champ Description (facultatif).

Dans l'onglet Sujet, faites ce qui suit :

Dans la section Nom du sujet choisissez un nom commun dans la liste déroulante sous Type et entrez era server dans le champ Valeur puis cliquez sur le bouton Ajouter. CN=era server apparaitra dans la boite d'information sur la droite. Si vous créez une demande de certificat pour l'agent ERA ou pour le mandataire ERA, entrez era agent ou era proxy comme valeur du champ Nom commun.

icon_details_hoverREMARQUE

Le nom commun doit contenir l'une de ces chaînes : "« server », « agent » ou « proxy », selon la demande de certificat que vous souhaitez créer.

using_custom_certificate_09

Dans la section Autre nom, choisissez DNS à partir de la liste déroulante sous Type et entrez * (astérisque) dans le champ Valeur, puis cliquez sur le bouton Ajouter.

Dans l'onglet Extensions développez la section Utilisation de la clé en cliquant sur la flèche pointant vers le bas. Ajoutez l'une des options disponibles suivantes : Signature numérique, Accord sur la clé, Chiffrement de la clé. Désélectionnez l'option Rendre l'utilisation des clés critique.

using_custom_certificate_10

Dans l'onglet Clé privée, faites ce qui suit :

Développez la section Fournisseurs de services cryptographiques en cliquant sur la flèche pointant vers le bas. Vous verrez une liste de tous les fournisseurs de services cryptographiques (CSP). Assurez-vous que seul Fournisseur de services de chiffrement Microsoft RSA SChannel (chiffrement) est sélectionné.

icon_details_hoverREMARQUE

Désélectionnez tous les autres CSP (à l'exception de Fournisseur de services de chiffrement Microsoft RSA SChannel (chiffrement) qui doit être sélectionné).

using_custom_certificate_11

Développez la section Clé Options. Dans le menu Taille de la clé, sélectionnez une valeur d'au moins 2048. Sélectionnez Rendre la clé privée exportable.

Développez la section Type de clé, sélectionnez l'option Échange. Cliquez sur Appliquer et vérifiez vos paramètres.

Cliquez sur le bouton Ok. Les données du certificat s'afficheront; cliquez alors sur Suivant pour continuer. Cliquez sur Parcourir pour sélectionner l'emplacement dans lequel la demande de signature de certificat (CSR) sera enregistrée. Saisissez le nom du fichier et assurez-vous que Base 64 est sélectionné.

using_custom_certificate_12

Cliquez sur le bouton Terminer; votre CSR est alors généré.

3.Importez la Demande de certificat personnalisée et émettez un Certificat personnalisé pour une des demandes en attente.

Ouvrez le Gestionnaire de serveur, cliquez sur Outils > Autorité de certification.

Dans l'arborescence Autorité de certification (local), sélectionnez Votre serveur (habituellement FQDN) > Propriétés > onglet Module de la politique, cliquez sur Propriétés... Assurez-vous que l'option Mettre l'état de la demande de certificat sur En attente. L'administrateur doit explicitement émettre le certificat est sélectionné. Sinon, utilisez le bouton radio pour sélectionner cette option. Autrement, cela ne fonctionnera pas correctement. Dans le cas où vous avez modifié ce paramètre, redémarrez les services de certificats Active Directory.

using_custom_certificate_13

Dans l'arborescence Autorité de certification (Local), sélectionnez Votre serveur (habituellement FQDN) > Toutes les tâches > Soumettre une nouvelle demande... et naviguez jusqu'au fichier CSR que vous avez généré à l'étape 2.

Le certificat sera ajouté dans Demandes en attente. Sélectionnez le CSR dans le volet de navigation à droite. Dans le menu Action, sélectionnez Toutes les tâches > Émettre.

using_custom_certificate_14

4.Exportez le certificat personnalisé émis vers le fichier .tmp.

Cliquez sur Certificats émis dans le volet de gauche. Cliquez avec le bouton droit sur le certificat que vous souhaitez exporter, cliquez sur Toutes les tâches > Exporter les données binaires...

Dans la boîte de dialogue Exporter des données binaires, choisissez Certificat binaire dans la liste déroulante et Options d'exportation; cliquez sur Enregistrer les données binaires dans un fichier puis cliquez sur OK.

using_custom_certificate_15

Dans la boîte de dialogue Enregistrer les données binaires, naviguez vers l'emplacement où vous souhaitez enregistrer le certificat, puis cliquez sur Enregistrer.

5.Importez le fichier .tmp créé.

Allez à Certificat (Ordinateur local) > cliquez avec le bouton droit sur Personnel, sélectionnez Toutes les tâches > Importer...

Cliquez sur Suivant....

Localisez le fichier binaire .tmp enregistré précédemment en utilisant Parcourir... et cliquez sur Ouvrir. Sélectionnez Placer tous les certificats dans le magasin suivant > Personnel. Cliquez sur Suivant.

Le certificat sera importé après que vous aurez cliqué sur Terminer.

6.Exportez le certificat en incluant la clé privée vers le fichier .pfx.

Dans Certificats (ordinateur local) développez Personnel et cliquez sur Certificats, sélectionnez le certificat créé que vous souhaitez exporter. Dans le menu Action, pointez Toutes les tâches > Exporter...

Dans l'Assistant d'exportation de certificat, cliquez sur Oui, exporter la clé privée. (Cette option apparaît uniquement si la clé privée est marquée comme exportable et si vous avez accès à la clé privée).

Sous Exporter le format de fichier, cochez la case Pour inclure tous les certificats dans le chemin de certification, sélectionnez Inclure tous les certificats dans le chemin d'accès de certification si possible, puis cliquez sur Suivant.

using_custom_certificate_16

Mot de passe, saisissez le mot de passe pour chiffrer la clé privée que vous exportez. Dans Confirmer mot de passe, tapez le même mot de passe, puis cliquez sur Suivant.

using_custom_certificate_17

Nom du fichier, tapez un nom de fichier et le chemin du fichier pour le fichier .pfx dans lequel sera enregistré le certificat importé et la clé privée. Cliquez sur Suivant, puis cliquez sur Terminer.

7.Une fois que vous avez créé votre fichier de certificat personnalisé .pfx, vous pouvez configurer les composants d'ERA pour qu'ils l'utilisent.

icon_details_hoverREMARQUE

L'exemple ci-dessus vous montre comment créer un certificat de serveur ERA. Répétez les mêmes étapes pour les certificats d'agent ERA et de mandataire ERA. Le certificat de mandataire ERA peut être utilisé par ERA MDM.

Configurez le serveur ERA pour commencer à utiliser le certificat personnalisé .pfx.

Pour faire que l'agent ERA ou le mandataire ERA / MDM ERA utilise le certificat personnalisé .pfx, exécutez la réparation du composant approprié. Naviguez jusqu'à Démarrer > Programmes et fonctionnalités, cliquez avec le bouton droit sur ESET Remote Administrator Agent et sélectionnez Changer. Cliquez sur le bouton Suivant et exécutez Réparer. Cliquez sur Suivant en laissant l'hôte du serveur et le port du serveur inchangés. Cliquez sur le bouton Parcourir à côté de Certificat homologue et localisez le fichier de .pfxcertificat personnalisé. Tapez le mot de passe du certificat que vous avez indiqué à l'étape 6. Cliquez sur Suivant et terminer la réparation. L'agent ERA utilise désormais le .pfxcertificat personnalisé.

using_custom_certificate_19