Настраиваемые сертификаты в ERA

Если в вашей среде есть инфраструктура PKI (инфраструктура открытых ключей) и вы хотите, чтобы программа ESET Remote Administrator использовала настраиваемые сертификаты для обмена данными между компонентами, следуйте инструкциям ниже, чтобы соответствующим образом все настроить. Приведенный ниже пример был реализован в ОС Windows Server 2012 R2. Если вы используете другую версию Windows Server, могут отображаться другие окна. При этом цель процедуры остается неизменной.

icon_details_hoverПРИМЕЧАНИЕ.

Более простой способ создания настраиваемого сертификата — использовать средство keytool, входящее в комплект Java. Дополнительные сведения см. в статье нашей базы знаний.

Требуемые роли сервера:

службы сертификатов Active Directory (AD CS);

доменные службы Active Directory.

1.Откройте консоль управления и в качестве оснасток выберите Сертификаты. Для этого выполните следующие действия:

войдите на сервер под учетной записью участника локальной группы администраторов;

запустите mmc.exe, чтобы открыть консоль управления;

щелкните Файл в верхнем меню и выберите Добавить или удалить оснастку (или нажмите клавиши CTRL + M);

выберите элемент Сертификаты на левой панели и нажмите кнопку Добавить;

using_custom_certificate_02

выберите Учетная запись компьютера и щелкните Далее;

убедитесь, что выбран элемент Локальный компьютер (по умолчанию), и щелкните Готово;

нажмите кнопку ОК.

2.Создайте настраиваемый запрос на сертификат. Для этого выполните следующие действия:

дважды щелкните элемент Сертификаты (локальный компьютер), чтобы развернуть его;

дважды щелкните элемент Личные, чтобы развернуть его; щелкните Сертификаты правой кнопкой мыши, выберите Все задачи > Дополнительные операции и выберите Создать настраиваемый запрос;

using_custom_certificate_05

когда откроется окно мастера регистрации сертификатов, нажмите кнопку Далее;

выберите Продолжить без политики регистрации и нажмите кнопку Далее, чтобы продолжить;

using_custom_certificate_06

выберите в раскрывающемся меню пункт Старый ключ (без шаблона), выберите формат запроса PKCS #10 и щелкните Далее;

using_custom_certificate_07

разверните раздел Сведения, щелкнув стрелку, указывающую вниз, а затем нажмите кнопку Свойства;

using_custom_certificate_08

на вкладке Общие, введите понятное имя для сертификата и, если нужно, описание;

на вкладке Субъект выполните следующие действия.

В разделе Имя субъекта выберите в раскрывающемся списке пункт Обычное имя под заголовком Тип, введите era server в поле Значение и нажмите кнопку Добавить. В поле сведений справа отобразится следующая информация: CN=era server. Если вы создаете запрос на сертификат для агента ERA или прокси-сервера ERA, введите era agent или era proxy в поле «Значение» (это значение для обычного имени).

icon_details_hoverПРИМЕЧАНИЕ.

Обычное имя должно содержать одну из следующих строк: "сервер, агент или прокси-сервер (в зависимости от того, какой запрос на сертификат нужно создать).

using_custom_certificate_09

В разделе Альтернативное имя выберите DNS в раскрывающемся списке под заголовком Тип, введите * (звездочку) в поле Значение и нажмите кнопку Добавить.

На вкладке Расширения разверните раздел Использование ключа. Для этого щелкните стрелку, указывающую вниз. Добавьте следующие доступные варианты. Цифровая подпись, Согласование ключей, Шифрование ключей. Снимите флажок Сделать критическими.

using_custom_certificate_10

На вкладке Закрытый ключ выполните следующие действия.

Разверните раздел Поставщик службы шифрования. Для этого щелкните стрелку, указывающую вниз. Отобразится список поставщиков служб шифрования (CSP). Выберите только один поставщик: Microsoft RSA SChannel Cryptographic Provider (Encryption).

icon_details_hoverПРИМЕЧАНИЕ.

Отмените выделение всех других поставщиков (кроме поставщика Microsoft RSA SChannel Cryptographic Provider (Encryption), так как его нужно выбрать).

using_custom_certificate_11

Разверните раздел Параметры ключей. В меню Размер ключа выберите значение 2048 (как минимум). Выберите Сделать закрытый ключ экспортируемым.

Разверните раздел Тип ключа и выберите элемент Обмен. Нажмите кнопку Применить и проверьте параметры.

Нажмите кнопку ОК. Отобразится информация о сертификате. Чтобы после этого продолжить, нажмите кнопку Далее. Чтобы выбрать расположение, в которое нужно сохранить запрос на подпись сертификата, нажмите кнопку Обзор. Введите имя файла и выберите формат Base 64.

using_custom_certificate_12

Нажмите кнопку Готово. Будет создан запрос на подписание сертификата.

3.Импортируйте настраиваемый запрос на сертификат и выдайте настраиваемый сертификат из списка ожидающих запросов.

Откройте диспетчер серверов, щелкните Сервис > Центр сертификации.

В дереве Центр сертификации (локальный) выберите элементы Ваш сервер (обычно полное доменное имя) > Свойства > Модуль политик (вкладка) и нажмите кнопку Свойства. Убедитесь, что выбран параметр Включить для запроса на сертификат состояние «Ожидающий». Выдать его должен явным образом администратор. Если этот параметр не выбран, выберите его с помощью переключателя. Иначе задача не будет выполнена. Если вы изменили этот параметр, перезапустите службы сертификатов Active Directory.

using_custom_certificate_13

В дереве Центр сертификации (локальный) выберите Ваш сервер (обычно полное доменное имя) > Все задачи > Отправить новый запрос и перейдите к запросу на подписание сертификата, созданному на этапе 2.

Сертификат будет добавлен в список Ожидающие запросы. На правой панели навигации выберите Запрос на подписание сертификата. В меню Действие выберите Все задачи > Выдать.

using_custom_certificate_14

4.Экспортируйте выданный настраиваемый сертификат в файл в формате .tmp. Для этого выполните следующие действия:

щелкните Выданные сертификаты на левой панели, щелкните правой кнопкой мыши сертификат, который нужно экспортировать, затем щелкните Все задачи > Экспорт двоичных данных;

в диалоговом окне «Экспорт двоичных данных» выберите в раскрывающемся списке пункт Двоичный сертификат, а в разделе параметров «Экспорт» щелкните Сохранение двоичных данных в файл и нажмите кнопку ОК;

using_custom_certificate_15

в диалоговом окне «Сохранение двоичных данных» выберите расположение, в котором нужно сохранить сертификат, и нажмите кнопку Сохранить.

5.Импортируйте созданный файл в формате .tmp. Для этого выполните следующие действия:

щелкните Сертификат (локальный компьютер), щелкните правой кнопкой мыши элемент Личные, выберите Все задачи > Импорт;

щелкните Далее;

найдите сохраненный ранее двоичный файл в формате .tmp с помощью кнопки «Обзор» и нажмите кнопку Открыть, затем выберите «Поместить все сертификаты в следующее хранилище» > Личные и щелкните Далее;

сертификат будет импортирован после того, как вы нажмете кнопку Завершить.

6.Экспортируйте сертификат (в том числе закрытый ключ) в файл в формате .pfx. Для этого выполните следующие действия:

В разделе Сертификаты (локальный компьютер) разверните элемент Личные и щелкните Сертификаты, выберите созданный сертификат, который нужно экспортировать, затем в меню Действие щелкните Все задачи > Экспорт.

В мастере экспорта сертификатов щелкните Да, экспортировать закрытый ключ. (Этот параметр отображается только в том случае, если закрытый ключ доступен для экспорта и у вас есть к нему доступ.)

Под заголовком «Формат экспортируемого файла» установите флажок Включить по возможности все сертификаты в путь сертификата (чтобы включить все сертификаты в путь сертификата) и нажмите кнопку Далее.

using_custom_certificate_16

В поле Пароль введите пароль, чтобы зашифровать экспортируемый закрытый ключ, в поле «Подтверждение пароля» введите тот же пароль еще раз, а затем нажмите кнопку Далее.

using_custom_certificate_17

В поле Имя файла введите имя файла и путь к файлу в формате .pfx, в котором хранятся экспортированный сертификат и закрытый ключ, после чего нажмите кнопку Далее, а затем — Готово.

7.Создав PFX-файл настраиваемого сертификата, настройте в компонентах ERA его использование.

icon_details_hoverПРИМЕЧАНИЕ.

В приведенном выше примере показано, как создать сертификат сервера ERA Server. Сертификат агента ERA и прокси-сервера ERA можно создать таким же образом. Сертификат прокси-сервера ERA может использоваться компонентом ERA MDM.

Настройте в сервере ERA Server использование настраиваемого PFX-сертификата.

Чтобы агент ERA, прокси-сервер ERA или средство ERA MDM использовали настраиваемый сертификат в формате .pfx, запустите восстановление соответствующего компонента. Щелкните Пуск > Программы и компоненты, щелкните правой кнопкой мыши Агент ESET Remote Administrator и выберите Изменить. Нажмите кнопку Далее и запустите команду Восстановить. Нажмите кнопку Далее (не изменяйте при этом хост-сервер и порт сервера). Нажмите кнопку Обзор возле элемента Сертификат узла и найдите файл настраиваемого сертификата в формате .pfx. Введите пароль сертификата, указанный вами на этапе 6. Нажмите кнопку Далее и завершите восстановление. Теперь агент ERA будет использовать настраиваемый сертификат в формате .pfx.

using_custom_certificate_19