Vlastné certifikáty pre ERA

Ak máte vo vašom prostredí svoju vlastnú PKI (infraštruktúru verejných kľúčov) a chcete, aby ESET Remote Administrator používal vaše vlastné certifikáty na komunikáciu medzi jednotlivými komponentmi, nasledujúce kroky vám objasnia, ako to správne nastaviť. Príklad uvedený nižšie bol vykonaný na systéme Windows Server 2012 R2. V prípade, že používate inú verziu systému Windows Server, niektoré obrazovky sa môžu do malej miery líšiť, avšak cieľ tohto postupu ostáva rovnaký.

icon_details_hoverPoznámka:

Jednoduchší spôsob vytvorenia vlastného certifikátu je prostredníctvom nástroja keytool, ktorý je súčasťou Javy. Viac informácií nájdete v nasledujúcom článku Databázy znalostí spoločnosti ESET.

Požadované serverové roly:

Active Directory Certificate Services (AD CS).

Active Directory Domain Services.

1.Otvorte Management Console a pridajte snap-in Certificates:

Prihláste sa na server ako člen lokálnej skupiny správcov.

Spustite Management Console pomocou príkazu mmc.exe.

Kliknite na File v hlavnom menu a vyberte možnosť Add/Remove Snap-in… (prípadne použite klávesovú skratku CTRL+M).

Vyberte položku Certificates v ľavej časti okna a kliknite na tlačidlo Add.

using_custom_certificate_02

Zvoľte možnosť Computer Account a kliknite na Next.

Uistite sa, že ste zvolili možnosť Local Computer a kliknite na tlačidlo Finish.

Kliknite na OK.

2.Vytvorte Custom Certificate Request:

Dvojitým kliknutím rozbaľte ponuku Certificates (Local Computer).

Dvojitým kliknutím rozbaľte možnosť Personal. Pravým tlačidlom kliknite na Certificates, vyberte All Tasks > Advanced Operations a zvoľte Create Custom Request...

using_custom_certificate_05

V okne sprievodcu pre registráciu certifikátu kliknite na Next.

Zvoľte možnosť Proceed without enrollment policy a pokračujte kliknutím na tlačidlo Next.

using_custom_certificate_06

Z roletového menu vyberte možnosť (No Template) Legacy Key a uistite sa, že máte vybratý formát PKCS #10. Kliknite na Next.

using_custom_certificate_07

Rozbaľte časť Details a kliknite na tlačidlo Properties.

using_custom_certificate_08

Na karte General zadajte Friendly name pre váš certifikát, pričom môžete zadať aj popis.

Na karte Subject vykonajte nasledovné:

V sekcii Subject name vyberte z roletového menu Type položku Common Name. Zadajte era server ako hodnotu do poľa Value a kliknite na tlačidlo Add. CN=era server sa následne zobrazí ako informácia v poli napravo. Ak vytvárate žiadosť o vydanie certifikátu (CSR) pre ERA Agenta alebo ERA proxy, do poľa hodnoty pre Common name zadajte era agent, resp. era proxy.

icon_details_hoverPoznámka:

Common Name musí obsahovať jeden z nasledujúcich reťazcov v závislosti od toho, aký Certificate Request chcete vytvoriť: „server“, „agent“ alebo „proxy“.

using_custom_certificate_09

V sekcii Alternative name vyberte z roletového menu Type položku DNS. Zadajte * (hviezdičku) ako hodnotu do poľa Value a kliknite na tlačidlo Add.

Na karte Extensions rozbaľte sekciu Key usage. Vyberte nasledujúce položky: Digital signature, Key agreement a Key encipherment. Zrušte výber položky Make these key usages critical pomocou začiarkavacieho políčka.

using_custom_certificate_10

Na karte Private Key vykonajte nasledovné:

Rozbaľte sekciu Cryptographic Service Provider. Následne uvidíte zoznam všetkých poskytovateľov kryptografických služieb (CSP). Uistite sa, že je zvolená iba položka Microsoft RSA SChannel Cryptographic Provider (Encryption).

icon_details_hoverPoznámka:

Zrušte výber všetkých ostatných CSP (okrem Microsoft RSA SChannel Cryptographic Provider (Encryption), pretože táto položka musí byť zvolená).

using_custom_certificate_11

Rozbaľte sekciu Key Options. V menu Key size vyberte hodnotu aspoň 2048. Zaškrtnite možnosť Make private key exportable.

Rozbaľte sekciu Key Type a vyberte možnosť Exchange. Kliknite na Apply a skontrolujte si vaše nastavenia.

Kliknite na tlačidlo OK. Zobrazí sa informácia o certifikáte. Pokračujte kliknutím na tlačidlo Next. Kliknite na tlačidlo Browse a vyberte lokalitu, kde chcete uložiť žiadosť o vydanie certifikátu (CSR). Zadajte názov súboru a uistite sa, že je zvolená možnosť Base 64.

using_custom_certificate_12

Vašu žiadosť CSR vygenerujete kliknutím na tlačidlo Finish.

3.Importujte Custom Certificate Request a vydajte Custom Certificate z čakajúcich žiadostí.

Otvorte Server Manager a kliknite na Tools > Certification Authority.

V stromovej štruktúre Certification Authority (Local) vyberte možnosť Your Server (usually FQDN) > Properties > kartu Policy Module a kliknite na tlačidlo Properties... Uistite sa, že je zvolená možnosť Set the certificate request status to pending. The administrator must explicitly issue the certificate. Ak táto možnosť nie je zvolená, zvoľte ju pomocou prepínacieho políčka. V opačnom prípade nebude správne fungovať. V prípade, že ste toto nastavenie zmenili, reštartujte certifikačné služby Active Directory.

using_custom_certificate_13

V stromovej štruktúre Certification Authority (Local) vyberte Your Server (usually FQDN) > All Tasks > Submit new request... a vyberte súbor žiadosti CSR, vygenerovaný v kroku 2.

Certifikát bude pridaný do zoznamu Pending Requests. V pravom navigačnom okne vyberte konkrétne CSR. V menu Action vyberte All Tasks > Issue.

using_custom_certificate_14

4.Exportujte Issued Custom Certificate do .tmp súboru.

Kliknite na Issued Certificates v ľavom okne. Kliknite pravým tlačidlom na certifikát, ktorý chcete exportovať a kliknite na All Tasks > Export Binary Data...

V dialógovom okne Export Binary Data vyberte z roletového menu Binary Certificate. V časti Export options kliknite na Save binary data to a file a potom kliknite na OK.

using_custom_certificate_15

V dialógovom okne Save Binary Data vyberte lokalitu, kde chcete uložiť certifikát a kliknite na Save.

5.Importujte vytvorený .tmp súbor.

Prejdite na Certificate (Local Computer) > kliknite pravým tlačidlom na Personal a vyberte All Tasks > Import...

Kliknite na Next...

Pomocou tlačidla Browse... nájdite vytvorený .tmp binárny súbor a kliknite na Open. Ďalej vyberte možnosť Place all certificates in the following store > Personal. Kliknite na Next.

Certifikát sa importuje po kliknutí na tlačidlo Finish.

6.Exportujte certifikát vrátane súkromného kľúča do .pfx súboru.

V časti Certificates (Local Computer) rozbaľte možnosť Personal a kliknite na Certificates. Vytvorený certifikát, ktorý chcete exportovať, vyberte v menu Action a prejdite na All Tasks > Export...

V sprievodcovi Certificate Export Wizard kliknite na Yes, export the private key. (Táto možnosť sa zobrazí iba v prípade, že je súkromný kľúč označený ako exportovateľný a máte k nemu prístup.)

V sekcii Export File Format vyberte možnosť To include all certificates in the certification path, select the Include all certificates in the certification path if possible pomocou začiarkavacieho políčka a kliknite na Next.

using_custom_certificate_16

V sekcii Password zadajte heslo, ktoré bude chrániť súkromný kľúč, ktorý exportujete. Pre potvrdenie hesla ho zadajte znova a potom kliknite na Next.

using_custom_certificate_17

V sekcii File name zadajte názov súboru a cestu pre .pfx súbor, kde bude uložený vyexportovaný certifikát a súkromný kľúč. Kliknite na Next a potom na Finish.

7.Keď už máte vytvorený váš vlastný .pfx súbor s certifikátom, môžete nakonfigurovať ERA súčasti tak, aby ho používali.

icon_details_hoverPoznámka:

Príklad uvedený vyššie znázorňuje, ako vytvoriť certifikát pre ERA Server. Rovnaký postup platí aj pre vytvorenie certifikátov pre ERA Agenta a ERA Proxy. Certifikát pre ERA proxy môže byť použitý aj zariadením ERA MDM.

Nakonfigurujte ERA Server tak, aby používal váš .pfx certifikát.

Keď chcete, aby ERA Agent alebo ERA Proxy/MDM používali váš .pfx certifikát, vykonajte opravnú inštaláciu príslušnej súčasti. Prejdite na Start > Programs and Features, kliknite pravým tlačidlom na ESET Remote Administrator Agent a vyberte Change. Kliknite na tlačidlo Next a spustite Repair. Kliknite na Next a pre Server host a Server port nechajte pôvodné nastavenia. Kliknite na tlačidlo Browse vedľa položky Peer certificate a nájdite váš .pfx súbor s certifikátom. Zadajte heslo pre váš certifikát, ktoré ste vytvorili v kroku 6. Kliknite na Next pre dokončenie opravy. ERA Agent bude odteraz používať váš vlastný .pfx certifikát.

using_custom_certificate_19