Certificados personalizados con ERA

Si tiene su propia PKI (infraestructura de clave pública) dentro de su entorno y desea ESET Remote Administrator usar sus certificados personalizados para comunicación entre sus componentes, los siguientes pasos lo guiarán por el proceso de configuración. El ejemplo que se muestra a continuación se realizó en Windows Server 2012 R2. Si usa una versión diferente de Windows Server, es posible que algunas pantallas varíen levemente para usted, pero el objetivo del procedimiento será el mismo.

icon_details_hoverNOTA

Una forma más simple de crear un certificado personalizado es usar keytool, que se incluye en Java. Para más información, lea nuestro artículo de la Base de conocimiento.

Roles de servidor necesarios:

Servicios de certificados de Active Directory (AD CS).

Servicios de dominio de Active Directory.

1.Abra la Consola de gestión y agregue las extensiones de los Certificados:

Inicie sesión en el servidor como miembro del grupo de administrador local.

Ejecute mmc.exe para abrir la consola de administración.

Haga clic en el Archivo en el menú superior y seleccione Agregar/Eliminar extensión… (o presione CTRL+M).

Seleccione Certificados en el panel izquierdo y haga clic en el botón Agregar.

using_custom_certificate_02

Seleccione Cuenta del equipo y haga clic en Siguiente.

Asegúrese de seleccionar Equipo local (predeterminado) y haga clic en Finalizar.

Haga clic en Aceptar.

2.Cree una Solicitud de certificado personalizado:

Haga doble clic en Certificados (Equipo local) para expandirlo.

Haga doble clic en Personal para expandirlo. Haga clic con el botón secundario en Certificados y seleccione Todas las tareas > Operaciones avanzadas y elija Crear solicitud personalizada...

using_custom_certificate_05

Se abrirá la ventana del asistente de inscripción de certificados, haga clic en Siguiente.

Seleccione la opción Continuar sin política de inscripción y haga clic en Siguiente para continuar.

using_custom_certificate_06

Elija Clave heredada (sin plantilla) de la lista desplegable y asegúrese de seleccionar el formato de solicitud PKCS #10. Haga clic en Siguiente.

using_custom_certificate_07

Expanda la sección Detalles; para ello, haga clic en la flecha hacia abajo y luego haga clic en el botón Propiedades.

using_custom_certificate_08

En la pestaña General, escriba un nombre simple para su certificado o también puede escribir la Descripción (opcional).

En la pestaña Asunto, haga lo siguiente:

En la sección Nombre del asunto, elija Nombre común de la lista desplegable en Tipo e ingrese era server en el campo Valor, luego haga clic en el botón Agregar. CN=era server aparecerá en el cuadro de información de la derecha. Si está creando una solicitud de certificado para el Agente ERA o el Proxy ERA, escriba era agent o era proxy en el campo de valor del nombre común.

icon_details_hoverNOTA

El nombre común debe contener una de las siguientes cadenas: "servidor", "agente" o "proxy", según qué solicitud de certificado desea crear.

using_custom_certificate_09

En la sección Nombre alternativo, seleccione DNS de la lista desplegable en Tipo y escriba * (asterisco) en el campo Valor y, luego, haga clic en el botón Agregar.

En la pestaña Extensiones, expanda la sección Uso de clave; para ello, haga clic en la flecha hacia abajo. Agregue lo siguiente a partir de las opciones disponibles: Firma digital, Acuerdo clave, Cifrado de claves. Anule la selección de la opción Hacer críticos estos usos de claves mediante la casilla de verificación.

using_custom_certificate_10

En la pestaña Clave privada, haga lo siguiente:

Expanda la sección Proveedor de servicios criptográficos; para ello, haga clic en la flecha hacia abajo. Verá una lista de proveedores de servicio criptográficos (CSP). Asegúrese de seleccionar solo Proveedor criptográfico de canales S de Microsoft RSA (Cifrado).

icon_details_hoverNOTA

Anule la selección de los demás CSP (excepto la opción Proveedor criptográfico de canales S de Microsoft RSA (Cifrado) que debe estar seleccionada).

using_custom_certificate_11

Expanda la sección Opciones de claves. En el menú Tamaño de claves, seleccione un valor de al menos 2048. Seleccione Hacer exportable la clave privada.

Expanda la sección Tipo de clave, seleccione la opción Exchange. Haga clic en Aplicar y compruebe su configuración.

Haga clic en el botón Aceptar. Se mostrará la información de los certificados y, luego, haga clic en el botón Siguiente para continuar. Haga clic en el botón Navegar para seleccionar la ubicación donde se guardará la solicitud de firma del certificado (CSR). Escriba el nombre del archivo y asegúrese de que esté seleccionada la opción Base 64.

using_custom_certificate_12

Haga clic en el botón Finalizar, se ha generado su CSR.

3.Importe Solicitud de certificado personalizado y emita el Certificado personalizado de Solicitudes pendientes.

Abra Server Manager, haga clic en Herramientas > Autoridad de certificación.

En el árbol Autoridad de certificación (Local), seleccione la pestaña Su servidor (generalmente FQDN) > Propiedades > Módulo de políticas, haga clic en el botón Propiedades... Asegúrese de configurar el estado de solicitud del certificado a pendiente. El administrador debe emitir explícitamente la opción de certificado seleccionada. O bien, use el botón de opción para seleccionar esta opción. De lo contrario, no funcionará correctamente. Si cambió esta configuración, reinicie los servicios del certificado de Active Directory.

using_custom_certificate_13

En el árbol Autoridad de certificación (Local), seleccione Su servidor (generalmente FQDN) > Todas las tareas > Enviar nueva solicitud... y vaya al archivo CSR en el paso 2.

El certificado se agregará a Solicitudes pendientes. Seleccione CSR en el panel de navegación derecha. En el menú Acción, seleccione Todas las tareas > Emitir.

using_custom_certificate_14

4.Exporte el Certificado personalizado emitido al archivo .tmp.

Haga clic en Certificados Emitidos en el panel izquierdo. Haga clic con el botón secundario en el certificado que desea exportar, haga clic en Todas las tareas > Exportar datos binarios...

En el diálogo Exportar datos binarios, elija Certificado binario de la lista desplegable y en las opciones Exportar, haga clic en Guardar datos binarios a un archivo y luego haga clic en Aceptar.

using_custom_certificate_15

En el cuadro de diálogo Guardar datos binarios, desplácese hacia la ubicación del archivo donde desea guardar el certificado y, luego, haga clic en Guardar.

5.Importar archivo .tmp creado.

Vaya a Certificado (Equipo local) > haga clic con el botón secundario en Personal, seleccione Todas las tareas > Importar...

Haga clic en Siguiente...

Encuentre el archivo binario .tmp guardado previamente mediante Explorar... y haga clic en Abrir. Seleccione Colocar todos los certificados en el siguiente almacenamiento > Personal. Haga clic en Siguiente.

El certificado se importará después de hacer clic en Finalizar.

6.Exporte el certificado, incluso la clave privada, al archivo .pfx.

En Certificados (Equipo local) expanda Personal y haga clic en Certificados, seleccione el certificado creado que desea exportar, en el menú Acción, apunte a Todas las tareas > Exportar...

En el Asistente de exportación de certificados, haga clic en Sí, exporte la clave privada. (Esta opción aparecerá solo si la clave privada está marcada como exportable y tiene acceso a la clave privada).

En Formato de archivo de exportación, seleccione Para incluir todos los certificados en la ruta de certificación, seleccione la casilla de verificación Incluir todos los certificados en la ruta de certificación si es posible y luego haga clic en Siguiente.

using_custom_certificate_16

Contraseña, escriba una contraseña para cifrar la clave privada que está exportando. En Confirmar contraseña, vuelva a escribir la misma contraseña y luego haga clic en Siguiente.

using_custom_certificate_17

En Nombre de archivo, escriba un nombre de archivo y ruta para el archivo .pfx que almacenará el certificado exportado y la clave privada. Haga clic en Siguiente y, a continuación, en Finalizar.

7.Después de crear el certificado .pfx personalizado, podrá configurar los componentes ERA para usarlo.

icon_details_hoverNOTA

El ejemplo anterior le muestra cómo crear el certificado del Servidor ERA. Repita los mismos pasos para los certificados del Agente ERA y del Proxy ERA. El certificado del Proxy ERA puede ser usado por ERA MDM.

Configure el servidor ERA para comenzar a usar el certificado .pfx personalizado.

Para obtener un agente ERA o proxy ERA, MDM ERA para usar un certificado .pfx personalizado, ejecute la reparación del componente adecuado. Vaya a Inicio > Programas y características, haga clic con el botón secundario en Agente de ESET Remote Administrator y seleccione Cambiar. Haga clic en el botón Siguiente y ejecute Reparar. Haga clic en Siguiente y deje el host del servidor y el puerto del servidor donde estaba. Haga clic en el botón Navegar junto a Certificado de pares y encuentre el archivo del certificado .pfx personalizado. Escriba la contraseña del certificado que especificó en el paso 6. Haga clic en Siguiente y complete la reparación. Ahora el Agente ERA usa un certificado .pfx personalizado.

using_custom_certificate_19