Prilagođeni certifikati sa sustavom ERA

Ako imate vlastitu infrastrukturu javnog ključa (PKI) unutar svog okruženja i želite da ESET Remote Administrator upotrebljava vaše prilagođene certifikate za komunikaciju među svojim komponentama, sljedeći koraci vodit će vas kroz postupak postavljanja.

icon_details_hoverNAPOMENA

Primjer prikazan u nastavku izvršen je na sustavu Windows Server 2012 R2. Ako upotrebljavate različitu verziju Windows Servera, neki se zasloni mogu razlikovati u manjoj mjeri, no cilj postupka ostaje jednak.

Potrebne uloge servera:

Usluge izdavanja certifikata Active Directory (AD CS).

Servisi domene Active Directory.

1.Otvorite Upravljačku konzolu i dodajte dodatni alat Certifikati:

Prijavite se na server kao član lokalne grupe administratora.

Pokrenite mmc.exe da biste otvorili Upravljačku konzolu.

Kliknite Datoteku u gornjem izborniku i odaberite Dodaj/ukloni dodatni alat… (ili pritisnite CTRL+M).

Odaberite Certifikati u lijevom oknu i kliknite gumb Dodaj.

using_custom_certificate_02

Odaberite Računalni račun i kliknite Sljedeće.

Provjerite je li odabrano Lokalno računalo (standardno) i kliknite Završi.

Kliknite U redu.

2.Stvorite Zahtjev za prilagođeni certifikat:

Dvokliknite Certifikati (lokalno računalo) da biste ih proširili.

Dvokliknite Osobno da biste proširili sadržaj. Dvokliknite Certifikati i odaberite Svi zadaci > Napredne radnje i odaberite Stvori prilagođeni zahtjev...

using_custom_certificate_05

Otvorit će se prozor čarobnjaka za prijavu certifikata. Kliknite Sljedeće.

Odaberite mogućnost Nastavi bez pravila prijave i kliknite Sljedeće za nastavak.

using_custom_certificate_06

Odaberite (Bez predloška) Naslijeđen ključ iz padajućeg popisa i provjerite je li odabran format zahtjeva PKCS #10. Kliknite Sljedeće.

using_custom_certificate_07

Proširite odjeljak Pojedinosti tako da kliknete strelicu prema dolje i potom gumb Svojstva.

using_custom_certificate_08

Na kartici Općenito upišite Neslužbeni naziv za svoj certifikat. Također možete unijeti opis (neobavezno).

U kartici Predmet učinite sljedeće:

U odjeljku Naziv predmeta odaberite Uobičajeni naziv iz padajućeg popisa pod Vrsta i unesite era server u polje Vrijednost pa kliknite gumb Dodaj. U okviru s informacijama na desnoj strani prikazat će se CN=era server. Ako stvarate zahtjev za certifikat za ERA agent ili ERA proxy, upišite era agent ili era proxy u polje vrijednosti Uobičajeni naziv.

icon_details_hoverNAPOMENA

Uobičajeni naziv mora sadržavati jedan od sljedećih nizova: "„server”, „agent” ili „proxy”, ovisno o tome koji zahtjev za certifikat želite stvoriti.

using_custom_certificate_09

U odjeljku Alternativni naziv odaberite DNS iz padajućeg izbornika pod Vrsta i unesite * (zvjezdica) u polje Vrijednost pa kliknite gumb Dodaj.

Na kartici Proširenja proširite odjeljak Upotreba ključa tako da kliknete strelicu prema dolje. Dodajte sljedeće iz Dostupnih mogućnosti: Digitalni potpis, Slaganje ključa, Šifriranje ključa. Poništite odabir mogućnosti Učini ove upotrebe ključa ključnima u potvrdnom okviru.

using_custom_certificate_10

Na kartici Privatni ključ učinite sljedeće:

Proširite odjeljak Davatelj usluga šifriranja tako da kliknete strelicu prema dolje. Prikazat će se popis svih davatelja usluga šifriranja (CSP-ovi). Provjerite je li odabran samo Microsoft RSA SChannel davatelj usluga šifriranja (šifriranje).

icon_details_hoverNAPOMENA

Poništite odabir svih drugih CSP-ova (osim Microsoft RSA SChannel davatelja usluga šifriranja (šifriranje), koji morate odabrati).

using_custom_certificate_11

Proširite odjeljak Mogućnosti ključa. U izborniku Veličina ključa odaberite vrijednost od barem 2048. Odaberite Učini privatni ključ dostupnim za izvoz.

Proširite odjeljak Vrsta ključa i odaberite mogućnost Razmjena. Kliknite Primijeni i provjerite svoje postavke.

Kliknite gumb U redu. Prikazat će se informacije o certifikatu. Kliknite gumb Sljedeće za nastavak. Kliknite gumb Pregledaj da biste odabrali lokaciju na koju će se spremiti zahtjev za potpisivanje certifikata (CSR). Upišite naziv datoteke i provjerite je li odabrana mogućnost Baza 64.

using_custom_certificate_12

Kliknite gumb Završi. Stvorili ste svoj CSR.

3.Uvezite Zahtjev za prilagođeni certifikat i izdajte Prilagođeni certifikat iz zahtjeva na čekanju.

Otvorite Upravitelj servera, kliknite Alati > Izdavatelj certifikata.

U stablu Izdavatelj certifikata (lokalni) odaberite karticu Vaš server (obično FQDN) > Svojstva > Modul s pravilima i kliknite gumb Svojstva... Provjerite jeste li postavili status zahtjeva za certifikat na „na čekanju”. Administrator mora izričito izdati odabranu mogućnost certifikata. Ako ne, upotrijebite izborni gumb da biste odabrali tu mogućnost. U suprotnome neće ispravno raditi. Ako ste promijenili tu postavku, ponovno pokrenite usluge izdavanja certifikata Active Directory.

using_custom_certificate_13

U stablu Izdavatelj certifikata (lokalni) odaberite Vaš server (obično FQDN) > Svi zadaci > Pošalji novi zahtjev... i idite do CSR datoteke koju ste stvorili u 2. koraku.

Certifikat će se dodati u Zahtjeve na čekanju. Odaberite CSR u desnom navigacijskom oknu. U izborniku Radnja odaberite Svi zadaci > Problem.

using_custom_certificate_14

4.Izvezite Izdani prilagođeni certifikat u .tmp datoteku.

Kliknite Izdani certifikati u lijevom oknu. Desnom tipkom miša kliknite certifikat koji želite izvesti i kliknite Svi zadaci > Izvoz binarnih podataka...

U prozoru Izvoz binarnih podataka odaberite Binarni certifikat iz padajućeg popisa i u mogućnostima izvoza kliknite Spremi binarne podatke u datoteku pa kliknite U redu.

using_custom_certificate_15

U prozoru Spremanje binarnih podataka idite na lokaciju datoteke na koju želite spremiti certifikat pa kliknite Spremi.

5.Stvoren uvoz .tmp datoteka.

Idite na Certifikat (lokalno računalo) > desnom tipkom miša kliknite Osobno, odaberite Svi zadaci > Uvoz...

Kliknite Sljedeće...

Pronađite .tmp binarnu datoteku koju ste prethodno spremili s pomoću mogućnosti Pregledaj... i kliknite Otvori. Odaberite Stavi sve certifikate u sljedeće spremište > Osobno. Kliknite Sljedeće.

Certifikat će se uvesti kada kliknete Završi.

6.Izvezite certifikat zajedno s privatnim ključem u .pfx datoteku.

Pod Certifikati (lokalno računalo) proširite Osobno i kliknite Certifikati, odaberite stvoreni certifikat koji želite izvesti, u izborniku Radnja pokažite na Svi zadaci > Izvoz...

U Čarobnjaku za izvoz certifikata kliknite Da, izvezi privatni ključ. (Ta će se mogućnost pojaviti samo ako je privatni ključ označen kao dostupan za izvoz i ako imate pristup privatnom ključu.)

Pod Format datoteke za izvoz označite potvrdni okvir Da biste uključili sve certifikate u put certificiranja, odaberite Uključi sve certifikate u put certificiranja ako je to moguće pa kliknite Sljedeće.

using_custom_certificate_16

Lozinka, upišite lozinku za šifriranje privatnog ključa koji izvozite. U polju Potvrdi lozinku ponovno upišite istu lozinku pa kliknite Sljedeće.

using_custom_certificate_17

Naziv datoteke, upišite naziv datoteke i put .pfx datoteke u koju će se pohraniti izvezeni certifikat i privatni ključ. Kliknite Sljedeće i zatim Završi.

7.Nakon što stvorite .pfx datoteku prilagođenog certifikata, možete konfigurirati ERA komponente za njegovo korištenje.

icon_details_hoverNAPOMENA

Prethodni primjer pokazuje kako stvoriti certifikat ERA servera. Ponovite iste korake za certifikate ERA agenta i ERA proxyja. ERA MDM može upotrebljavati certifikat ERA proxyja.

Konfigurirajte ERA server da počne upotrebljavati prilagođeni .pfx certifikat.

Da bi ERA agent ili ERA proxy odnosno ERA MDM upotrebljavao prilagođeni .pfx certifikat, pokrenite popravak odgovarajuće komponente. Idite na Početak > Program i značajke, desnom tipkom miša kliknite ESET Remote Administrator agent i odaberite Promijeni. Kliknite gumb Sljedeće i odaberite Popravi. Kliknite Sljedeće i ostavite Host servera i Port servera neizmijenjene. Kliknite gumb Pregledaj pored Certifikat ravnopravnog računala i locirajte .pfx datoteku prilagođenog certifikata. Upišite lozinku certifikata koju ste naveli u 6. koraku. Kliknite Sljedeće i završite s popravkom. ERA agent sada upotrebljava prilagođeni .pfx certifikat.

using_custom_certificate_19