Certificats personnalisés avec ERA

Si vous avez votre propre PKI (infrastructure de clé publique) dans votre environnement et souhaitez qu'ESET Remote Administrator utilise vos certificats personnalisés pour la communication entre ses composants, les étapes suivantes vous guident tout au long du processus de configuration. l'exemple ci-dessous a été réalisé sur Windows Server 2012 R2. Si vous utilisez une autre version de Windows Server, certains écrans peuvent être légèrement différents, mais l'objectif de la procédure reste le même.

icon_details_hoverREMARQUE

Une méthode plus simple pour créer un certificat personnalisé consiste à utiliser l'outil keytool qui est compris dans Java. Pour plus d'informations, consultez cet article de la base de connaissances.

Rôles de serveur requis :

Active Directory Certificate Services (AD CS).

Services de domaine Active Directory.

1.Ouvrez la console de gestion et ajoutez les snap-ins de certificat :

Connectez-vous au serveur en tant que membre du groupe administrateur local.

Exécutez mmc.exe pour ouvrir la console de gestion.

Cliquez sur Fichier dans le menu supérieur et sélectionnez Ajouter/Supprimer un snap-in (ou appuyez sur CTRL+M).

Sélectionnez Certificats dans le volet de gauche et cliquez sur le bouton Ajouter.

using_custom_certificate_02

Sélectionnez Compte d'ordinateur et cliquez sur Suivant.

Vérifiez que l'option Ordinateur local est sélectionnée (par défaut) et cliquez sur Terminer.

Cliquez sur OK.

2.Créez une demande de certificat personnalisé :

Double-cliquez sur Certificats (Ordinateur local) pour l'ouvrir.

Double-cliquez sur Personnel pour l'ouvrir. Cliquez avec le bouton droit sur Certificats et sélectionnez Toutes les tâches > Opérations avancées et choisissez Créer une demande personnalisée.

using_custom_certificate_05

La fenêtre de l'assistant d'inscription du certificat s'ouvre, cliquez sur Suivant.

Sélectionnez l'option Continuer sans politique d’inscription et cliquez sur Suivant pour continuer.

using_custom_certificate_06

Choisissez Clé existante (Aucun modèle) dans la liste déroulante et vérifiez que le format de demande PKCS #10 est sélectionné. Cliquez sur Suivant.

using_custom_certificate_07

Développez la section Détails en cliquant sur la flèche pointant vers le bas, puis cliquez sur le bouton Propriétés.

using_custom_certificate_08

Dans l'onglet Général, saisissez le Nom convivial du certificat ; vous pouvez également saisir une description (facultatif).

Dans l'onglet Objet, effectuez les opérations suivantes :

Dans la section Nom de l’objet, choisissez Nom commun dans la liste déroulante sous Type et saisissez era server dans le champ Valeur, puis cliquez sur le bouton Ajouter. CN=era server apparaît dans la zone d'information de droite. Si vous créez une demande de certificat pour ERA Agent ou ERA Proxy, saisissez era agent ou era proxy dans le champ de valeur du nom commun.

icon_details_hoverREMARQUE

le nom commun doit contenir l'une de ces chaînes : "serveur », « agent » ou « proxy », selon la demande de certificat que vous souhaitez créer.

using_custom_certificate_09

Dans la section Autre nom, choisissez DNS dans la liste déroulante sous Type et saisissez * (astérisque) dans le champ Valeur, puis cliquez sur le bouton Ajouter.

Dans l'onglet Extensions, développez la section Utilisation de clé en cliquant sur la flèche pointant vers le bas. Ajoutez les informations suivantes des Options disponibles : Signature numérique, Accord de clé, Chiffrement de clé. Désélectionnez la case Rendre ces utilisations de clé critiques.

using_custom_certificate_10

Dans l'onglet Clé privée, effectuez les opérations suivantes :

Développez la section Fournisseur de service cryptographique en cliquant sur la flèche pointant vers le bas. La liste de tous les fournisseurs de services cryptographiques s'affiche. Vérifiez que seule l'option Fournisseur de service cryptographique Microsoft RSA SChannel (cryptage) est sélectionnée.

icon_details_hoverREMARQUE

désélectionnez tous les fournisseurs de services cryptographiques (à l'exception de Fournisseur de service cryptographique Microsoft RSA SChannel (cryptage) qui doit être sélectionnée).

using_custom_certificate_11

Développez la section Options de clé. Dans le menu Taille de clé, sélectionnez une valeur d'au moins 2048. Sélectionnez Rendre la clé privée exportable.

Développez la section Type de clé, sélectionnez l'option Échanger. Cliquez sur Appliquer et vérifiez les paramètres.

Cliquez sur le bouton OK. Les informations de certificat s'affichent ; cliquez sur le bouton Suivant pour continuer. Cliquez sur le bouton Parcourir pour sélectionner l'emplacement dans lequel la demande de signature de certificat sera enregistrée. Saisissez le nom du fichier et vérifiez que l'option Base 64 est sélectionnée.

using_custom_certificate_12

Cliquez sur le bouton Terminer ; la demande de signature de certificat est maintenant générée.

3.Importez la demande de certificat personnalisé et émettez un certificat personnalisé à partir des demandes en attente.

Ouvrez le gestionnaire de serveurs, cliquez sur Outils > Autorité de certification.

Dans l'arborescence Autorité de certification (locale), sélectionnez votre serveur (généralement FQDN) > Propriétés > onglet Module de politique, cliquez sur le bouton Propriétés... Veillez à ce que l'option Définir le statut de demande de certificat soit définie sur En attente. L’administrateur doit explicitement émettre l'option de certificat sélectionnée. Si ce n'est pas le cas, utilisez le bouton radio pour sélectionner cette option. Sinon, le processus ne fonctionnera pas correctement. Si vous avez modifié ce paramètre, redémarrez les services de certificat Active Directory.

using_custom_certificate_13

Dans l'arborescence Autorité de certification (locale), sélectionnez votre serveur (généralement FQDN) > Toutes les tâches > Envoyer une nouvelle demande et accédez au fichier CSR généré à l'étape 2.

Le certificat est ajouté aux demandes en attente. Sélectionnez le fichier CSR dans le panneau de navigation de droite. Dans le menu Action, sélectionnez Toutes les tâches > Émettre.

using_custom_certificate_14

4.Exportez le certificat personnalisé émis dans le fichier .tmp.

Cliquez sur Certificats émis dans le volet de gauche. Cliquez avec le bouton droit sur le certificat à exporter, puis cliquez sur Toutes les tâches > Exporter les données binaires...

Dans la boîte de dialogue Exporter les données binaires, choisissez Certificat binaire dans la liste déroulante, puis, dans les options d'exportation, cliquez sur Enregistrer les données binaires dans un fichier et cliquez sur OK.

using_custom_certificate_15

Dans la boîte de dialogue Enregistrer les données binaires, Indiquez l'emplacement d'enregistrement du certificat, puis cliquez sur Enregistrer.

5.Importez le fichier .tmp créé.

Accédez à Certificat (ordinateur local) > cliquez avec le bouton droit sur Personnel, sélectionnez Toutes les tâches > Importer...

Cliquez sur Suivant.

Localisez le fichier binaire .tmp enregistré précédemment en utilisant l'option Parcourir, puis cliquez sur Ouvrir. Sélectionnez Placer tous les certificats dans le magasin suivant > Personnel. Cliquez sur Suivant.

Le certificat est importé lorsque vous cliquez sur Terminer.

6.Exportez le certificat, y compris la clé privée, dans le fichier .pfx.

Dans la zone Certificats (ordinateur local), développez l'option Personnel et cliquez sur Certificats ; sélectionnez le certificat créé que vous souhaitez exporter, dans le menu Action, pointez vers Toutes les tâches > Exporter...

Dans l'assistant d'exportation du certificat, cliquez sur Oui, exporter la clé privée. (Cette option n'apparaît que si la clé privée est marquée comme étant exportable et si vous avez accès à la clé privée.)

Dans Format du fichier exporté, sélectionner l'option Inclure tous les certificats dans le chemin de certification, cochez la case Inclure tous les certificats dans le chemin de certification si possible et cliquez sur Suivant.

using_custom_certificate_16

Mot de passe, saisissez un mot de passe pour chiffrer la clé privée que vous exportez. Dans Confirmer le mot de passe, saisissez de nouveau le même mot de passe, puis cliquez sur Suivant.

using_custom_certificate_17

Nom de fichier, saisissez un nom de fichier et le chemin du fichier .pfx dans lequel seront stockés le certificat et la clé privée exportés. Cliquez sur Suivant, puis sur Terminer.

7.Une fois le certificat .pfx personnalisé créé, vous pouvez configurer les composants ERA qui l'utilisent.

icon_details_hoverREMARQUE

l'exemple ci-dessus indiquent comment créer le certificat ERA Server. Répétez les mêmes étapes pour les certificats ERA Agent et ERA Proxy. Le certificat ERA Proxy peut être utilisé par ERA MDM.

Configurez ERA Server pour commencer à utiliser le certificat .pfx personnalisé.

Pour qu'ERA Agent ou ERA Proxy/ERA MDM utilise le certificat .pfx personnalisé, réparez le composant approprié. Accédez au menu Démarrer > Programmes et fonctionnalités, cliquez avec le bouton droit sur ESET Remote Administrator Agent et sélectionnez Modifier. Cliquez sur le bouton OK et exécutez Réparer. Cliquez sur Suivant en conservant l'hôte serveur et le port serveur. Cliquez sur le bouton Parcourir à côté de Certificat homologue et localisez le fichier de certificat .pfx personnalisé. Saisissez le mot de passe du certificat que vous avez indiqué à l'étape 6. Cliquez sur Suivant et terminez la réparation. ERA Agent utilise désormais le certificat .pfx personnalisé.

using_custom_certificate_19