Benutzerdefinierte Zertifikate mit ERA

Wenn Sie eine eigene PKI (Public Key-Infrastruktur) in Ihrer Umgebung haben und ESET Remote Administrator Ihre benutzerdefinierten Zertifikate für die Kommunikation zwischen den Komponenten verwenden soll, können Sie dies mit den hier beschriebenen Schritten einrichten. Das folgende Beispiel wurde unter Windows Server 2012 R2 ausgeführt. Falls Sie eine andere Version von Windows Server verwenden, unterscheiden sich einige Bildschirme unter Umständen von dieser Beschreibung, das Ziel der Prozedur ist jedoch dasselbe.

icon_details_hoverHINWEIS

Mit dem in Java enthaltenen keytool können Sie benutzerdefinierte Zertifikate noch einfacher erstellen. Weitere Informationen finden Sie in unserem Knowledgebase-Artikel.

Benötigte Serverrollen:

Active Directory-Zertifikatdienste (AD CS).

Active Directory-Domänendienste.

1.Öffnen Sie die Verwaltungskonsole und fügen Sie Zertifikat-Snap-Ins hinzu:

Melden Sie sich als Mitglied der lokalen Administratorgruppe beim Server an.

Führen Sie mmc.exe aus, um die Verwaltungskonsole zu öffnen.

Klicken Sie auf Datei im oberen Menü und wählen Sie Snap-In hinzufügen/entfernen… aus (oder drücken Sie STRG+M).

Wählen Sie im linken Bereich Zertifikate aus und klicken Sie auf Hinzufügen.

using_custom_certificate_02

Wählen Sie Computerkonto aus und klicken Sie auf Weiter.

Wählen Sie Lokaler Computer aus (Standard) und klicken Sie auf Fertig stellen.

Klicken Sie auf OK.

2.Erstellen Sie eine benutzerdefinierte Zertifikatanforderung:

Doppelklicken Sie auf Zertifikate (Lokaler Computer), um den Eintrag zu erweitern.

Doppelklicken Sie auf Persönlich, um den Eintrag zu erweitern. Klicken Sie mit der rechten Maustaste auf Zertifikate, wählen Sie Alle Tasks > Erweiterte Operationen aus und klicken Sie auf Benutzerdefinierte Anforderung erstellen...

using_custom_certificate_05

Der Assistent für die Zertifikatregistrierung wird geöffnet. Klicken Sie auf Weiter.

Wählen Sie die Option Ohne Registrierungs-Policy fortfahren aus und klicken Sie auf Weiter, um fortzufahren.

using_custom_certificate_06

Wählen Sie (Kein Template) Legacy-Schlüssel in der Dropdownliste aus und wählen Sie das Anforderungsformat PKCS #10 aus. Klicken Sie auf Weiter.

using_custom_certificate_07

Klicken Sie auf den Pfeil nach unten, um den Bereich Details zu erweitern, und klicken Sie auf die Schaltfläche Eigenschaften.

using_custom_certificate_08

Geben Sie in der Registerkarte Allgemein einen Anzeigenamen und eine optionale Beschreibung für Ihr Zertifikat ein.

Führen Sie in der Registerkarte Betreff die folgenden Aktionen aus:

Wählen Sie im Bereich Betreffname den Eintrag Allgemeiner Name aus der Dropdownliste unter Typ aus, geben Sie era server in das Feld Value ein und klicken Sie auf Hinzufügen. Im Informationsbereich auf der rechten Seite wird CN=era server angezeigt. Wenn Sie eine Zertifikatanforderung für ERA Agent oder ERA Proxy erstellen, geben Sie era agent oder era proxy in das Wertfeld für den allgemeinen Namen ein.

icon_details_hoverHINWEIS

Der allgemeine Name muss eine der folgenden Zeichenfolgen enthalten: „server“, „agent“ oder „proxy“, je nachdem, welche Zertifikatanforderung Sie erstellen.

using_custom_certificate_09

Wählen Sie im Bereich Alternativer Name den Eintrag DNS aus der Dropdownliste unter Typ aus, geben Sie * (Sternchen) in das Feld Wert ein und klicken Sie auf Hinzufügen.

Erweitern Sie in der Registerkarte Erweiterungen den Bereich Schlüsselnutzung, indem Sie auf den Pfeil nach unten klicken. Fügen Sie die folgenden Optionen hinzu: Digitale Signatur, Schlüsselvereinbarung, Schlüsselchiffrierung. Deaktivieren Sie das Kontrollkästchen für die Option Diese Schlüsselnutzungen als kritisch festlegen.

using_custom_certificate_10

Führen Sie in der Registerkarte Privater Schlüssel die folgenden Aktionen aus:

Erweitern Sie den Bereich Kryptografiedienstanbieter, indem Sie auf den Pfeil nach unten klicken. Daraufhin wird eine Liste aller Kryptografiedienstanbieter (Cryptographic Service Providers, CSP) angezeigt. Stellen Sie sicher, dass nur der Eintrag Microsoft RSA SChannel-Kryptografieanbieter (Verschlüsselung) ausgewählt ist.

icon_details_hoverHINWEIS

Deaktivieren Sie alle anderen CSPs (mit Ausnahme von Microsoft RSA SChannel-Kryptografieanbieter (Verschlüsselung)).

using_custom_certificate_11

Erweitern Sie den Bereich Schlüsseloptionen. Wählen Sie im Menü Schlüssellänge einen Wert von mindestens 2048 aus. Wählen Sie die Option Privaten Schlüssel exportierbar machen aus.

Erweitern Sie den Bereich Schlüsseltyp und wählen Sie die Option Austausch aus. Klicken Sie auf Übernehmen und überprüfen Sie Ihre Einstellungen.

Klicken Sie auf OK. Daraufhin werden die Zertifikatinformationen angezeigt. Klicken Sie auf Weiter, um fortzufahren. Klicken Sie auf Durchsuchen, um einen Speicherort für die Zertifikatsignieranforderung (CSR) auszuwählen. Geben Sie einen Dateinamen ein und wählen Sie die Option Base 64 aus.

using_custom_certificate_12

Klicken Sie auf Fertig stellen. Ihre CSR wird nun generiert.

3.Importieren Sie die benutzerdefinierte Zertifikatanforderung und stellen Sie ein benutzerdefiniertes Zertifikat in den ausstehenden Anforderungen aus.

Öffnen Sie den Server-Manager, klicken Sie auf Tools > Zertifizierungsstelle.

Navigieren Sie in der Baumstruktur Zertifizierungsstelle (lokal) zu Ihr Server (normalerweise FQDN) > Eigenschaften > Registerkarte Policy-Modul und klicken Sie auf die Schaltfläche Eigenschaften.... Legen Sie den Status der Zertifikatanforderung auf „Ausstehend“ fest. Der Administrator muss die ausgewählte Zertifikatoption ausdrücklich auswählen. Wählen Sie diese Option andernfalls über das Optionsfeld aus. Ohne diese Auswahl funktioniert das Produkt nicht korrekt. Falls Sie diese Einstellung geändert haben, müssen Sie die Active Directory-Zertifikatdienste neu starten.

using_custom_certificate_13

Navigieren Sie in der Baumstruktur Zertifizierungsstelle (lokal) zu Ihr Server (normalerweise FQDN) > Alle Tasks > Neue Anforderung übermitteln.... Navigieren Sie anschließend zu der in Schritt 2 erstellten CSR-Datei.

Das Zertifikat wird unter Ausstehende Anforderungen hinzugefügt. Wählen Sie die CSR im rechten Navigationsbereich aus. Klicken Sie im Menü Aktion auf Alle Tasks > Ausstellen.

using_custom_certificate_14

4.Exportieren Sie das ausgestellte benutzerdefinierte Zertifikat in eine .tmp-Datei.

Klicken Sie auf Ausgestellte Zertifikate im linken Bereich. Klicken Sie mit der rechten Maustaste auf das gewünschte Zertifikat und klicken Sie auf Alle Tasks > Binärdaten exportieren...

Wählen Sie im Dialogfeld „Binärdaten exportieren“ den Eintrag Binärzertifikat in der Dropdownliste aus, klicken Sie in den Exportoptionen auf Binärdaten in Datei speichern und dann auf OK.

using_custom_certificate_15

Navigieren Sie im Dialogfeld „Binärdaten speichern“ zum gewünschten Speicherort für das Zertifikat und klicken Sie auf Speichern.

5.Importieren Sie die erstellte .tmp-Datei.

Navigieren Sie zu Zertifikat (Lokaler Computer) > klicken Sie mit der rechten Maustaste auf Persönlich, wählen Sie Alle Tasks > Importieren... aus.

Klicken Sie auf Weiter.

Klicken Sie auf Durchsuchen..., navigieren Sie zu der zuvor gespeicherten .tmp-Binärdatei und klicken Sie auf Öffnen. Wählen Sie Alle Zertifikate in diesem Speicher ablegen > Persönlich aus. Klicken Sie auf Weiter.

Das Zertifikat wird importiert, wenn Sie auf Fertig stellen klicken.

6.Exportieren Sie das Zertifikat inklusive privatem Schlüssel in eine .pfx-Datei.

Erweitern Sie unter Zertifikate (Lokaler Computer) den Eintrag Persönlich und klicken Sie auf Zertifikate. Wählen Sie das gewünschte Zertifikat im Menü Aktion aus und navigieren Sie zu Alle Tasks > Exportieren...

Klicken Sie im Assistenten für den Zertifikatexport auf Ja, privaten Schlüssel exportieren. (Diese Option wird nur angezeigt, wenn der private Schlüssel exportierbar ist und Sie Zugang zum privaten Schlüssel haben.)

Aktivieren Sie unter Export-Dateiformat das Kontrollkästchen Alle Zertifikate im Zertifizierungspfad integrieren aus, falls möglich, und klicken Sie auf Weiter.

using_custom_certificate_16

Passwort, geben Sie ein Passwort für die Verschlüsselung des privaten Schlüssels ein, den Sie exportieren. Geben Sie dasselbe Passwort unter Passwort bestätigen erneut ein und klicken Sie auf Weiter.

using_custom_certificate_17

Dateiname, geben Sie einen Dateinamen und einen Pfad für die .pfx-Datei ein, in der das exportierte Zertifikat und der private Schlüssel gespeichert werden. Klicken Sie auf Weiter und dann auf Fertig stellen.

7.Wenn Sie Ihre benutzerdefinierte .pfx-Zertifikatdatei erstellt haben, können Sie Ihre ERA-Komponenten konfigurieren, um diese Datei zu verwenden.

icon_details_hoverHINWEIS

Das obige Beispiel beschreibt die Erstellung eines ERA Server-Zertifikats. Wiederholen Sie dieselben Schritte, um Zertifikate für ERA Agent und ERA Proxy zu erstellen. Das ERA Proxy-Zertifikat kann von ERA MDM verwendet werden.

Konfigurieren Sie Ihren ERA Server für die Verwendung des benutzerdefinierten .pfx-Zertifikats.

Führen Sie eine Reparatur der jeweiligen Komponente durch, um ERA Agent oder ERA Proxy/MDM für die Verwendung von benutzerdefinierten .pfx-Zertifikaten zu konfigurieren. Navigieren Sie zu Start > Programme und Features, klicken Sie mit der rechten Maustaste auf ESET Remote Administrator Agent und wählen Sie Ändern aus. Klicken Sie auf Weiter und anschließend auf Reparieren. Klicken Sie auf Weiter, ohne die Optionen für Serverhost und Serverport zu ändern. Klicken Sie auf Durchsuchen neben Peerzertifikat und navigieren Sie zu Ihrer benutzerdefinierten .pfx-Zertifikatdatei. Geben Sie das Zertifikatpasswort ein, das Sie in Schritt 6 festgelegt haben. Klicken Sie auf Weiter und schließen Sie die Reparatur ab. ERA Agent verwendet nun Ihr benutzerdefiniertes .pfx-Zertifikat.

using_custom_certificate_19