Certificados personalizados con ERA

Si tiene su propia PKI (infraestructura de clave pública) en su entorno y desea que ESET Remote Administrator utilice sus certificados personalizados para establecer comunicación entre sus componentes, los siguientes pasos le guiarán por el proceso de configuración.

validation-status-icon-infoNOTA: el siguiente ejemplo se realizó en Windows Server 2012 R2. Si utiliza una versión diferente de Windows Server, algunas pantallas podrían variar ligeramente, pero el objetivo del procedimiento seguirá siendo el mismo.

Funciones de servidor necesarias:

Servicios de certificados de Active Directory (AD CS).

Servicios de dominio de Active Directory.

add_roles_and_features

1.Abra la Consola de administración y añada complementos de Certificados:

Inicie sesión en el servidor como miembro del grupo de administradores local.

Ejecute mmc.exe para abrir la Consola de administración.

Haga clic en Archivo en el menú superior y seleccione Agregar o quitar complemento… (o pulse CTRL+M).

Seleccione Certificados en el panel izquierdo y haga clic en el botón Agregar.

using_custom_certificate_02

Seleccione Cuenta de equipo y haga clic en Siguiente.

Asegúrese de que Equipo local esté seleccionado (predeterminado) y haga clic en Finalizar.

Haga clic en Aceptar.

2.Cree una Solicitud de certificado personalizado:

Haga doble clic en Certificados (equipo local) para desplegar esta opción.

Haga doble clic en Personal para desplegar esta opción. Haga clic con el botón derecho del ratón en Certificados y seleccione Todas las tareas > Operaciones avanzadas y elija Crear solicitud personalizada...

using_custom_certificate_05

Se abrirá la ventana del asistente de Inscripción de certificados, haga clic en Siguiente.

Seleccione la opción Continuar sin política de inscripción y haga clic en Siguiente para continuar.

using_custom_certificate_06

Elija Clave heredada (sin plantilla) en la lista desplegable y asegúrese de seleccionar el formato de solicitud PKCS #10. Haga clic en Siguiente.

using_custom_certificate_07

Despliegue la sección Detalles haciendo clic en la flecha hacia abajo y, a continuación, haga clic en el botón Propiedades.

using_custom_certificate_08

En la ficha General, escriba el Nombre descriptivo de su certificado; también puede introducir la descripción (opcional).

En la ficha Sujeto, haga lo siguiente:

En la sección Nombre de sujeto, elija Nombre común en la lista desplegable de Tipo e introduzca era server en el campo Valor; a continuación, haga clic en el botón Agregar. CN=era server aparecerá en el cuadro de información de la derecha. Si está creando una solicitud de certificado para ERA Agent o ERA Proxy, escriba era agent o era proxy en el campo de valor Nombre común.

validation-status-icon-infoNOTA: el nombre común debe contener una de las siguientes cadenas: "servidor", "agente" o "proxy", en función de la solicitud de certificado que desee crear.

using_custom_certificate_09

En la sección Nombre alternativo, elija DNS en la lista desplegable de Tipo e introduzca * (asterisco) en el campo Valor; a continuación, haga clic en el botón Agregar.

En la ficha Extensiones, despliegue la sección Uso de la clave haciendo clic en la flecha hacia abajo. Añada lo siguiente de las opciones disponibles: Firma digital, Acuerdo de claves, Cifrado de clave. Cancele la sección de la opción Hacer que estos usos de clave sean críticos a través de la casilla de verificación.

using_custom_certificate_10

En la ficha Clave privada, haga lo siguiente:

Despliegue la sección Proveedor de servicios de cifrado haciendo clic en la flecha hacia abajo. Verá una lista con todos los proveedores de servicios de cifrado (CSP). Asegúrese de que solo se haya seleccionado Proveedor de cifrado Microsoft RSA SChannel (cifrado).

validation-status-icon-infoNOTA: Cancele la selección del resto de CSP (excepto Proveedor de cifrado Microsoft RSA SChannel (cifrado), que debe seleccionarse).

using_custom_certificate_11

Despliegue la sección Opciones de clave. En el menú Tamaño de la clave, seleccione un valor mínimo de 2048. Seleccione Hacer exportable la clave privada.

Despliegue la sección Tipo de clave y seleccione la opción Intercambiar. Haga clic en Aplicar y compruebe sus ajustes.

Haga clic en el botón Aceptar. Aparecerá la información del certificado; a continuación, haga clic en el botón Siguiente para continuar. Haga clic en el botón Examinar para seleccionar la ubicación en la que se guardará la solicitud de firma del certificado (CSR). Escriba el nombre del archivo y asegúrese de que Base 64 esté seleccionado.

using_custom_certificate_12

Haga clic en el botón Finalizar y se generará su CSR.

3.Importe la Solicitud de certificado personalizado y emita el Certificado personalizado desde las solicitudes pendientes.

Abra Administrador de servidores y haga clic en Herramientas > Autoridad certificadora.

En el árbol Autoridad certificadora (local), seleccione la ficha Su servidor (normalmente FQDN) > Propiedades > Módulo de políticas y haga clic en el botón Propiedades.... Asegúrese de tener la opción Establecer el estado de la solicitud de certificado como pendiente. El administrador debe emitir explícitamente el certificado seleccionada. Si no, utilice el botón de opción para seleccionar esta opción. De lo contrario, no funcionará correctamente. Si ha cambiado este ajuste, reinicie los servicios de certificados de Active Directory.

using_custom_certificate_13

En el árbol Autoridad certificadora (local), seleccione Su servidor (normalmente FQDN) > Todas las tareas > Enviar nueva solicitud... y vaya al archivo CSR generado anteriormente en el paso 2.

El certificado se añadirá a Solicitudes pendientes. Seleccione el CSR en el panel de navegación derecho. En el menú Acción, seleccione Todas las tareas > Emitir.

using_custom_certificate_14

4.Exporte el Certificado personalizado emitido al archivo .tmp.

Haga clic en Certificados emitidos en el panel izquierdo. Haga clic con el botón derecho del ratón en el certificado que desea exportar y haga clic en Todas las tareas > Exportar datos binarios...

En el cuadro de diálogo Exportar datos binarios, elija Certificado binario en la lista desplegable y, en las opciones de exportación, haga clic en Guardar datos binarios en un archivo y, a continuación, haga clic en Aceptar.

using_custom_certificate_15

En el cuadro de diálogo Guardar datos binarios, mueva la ubicación del archivo en la que desea guardar el certificado y, a continuación, haga clic en Guardar.

5.Importe el archivo .tmp creado.

Vaya a Certificado (equipo local) > haga clic con el botón derecho del ratón en Personal y seleccione Todas las tareas > Importar... (puede acceder a la ventana Certificado (equipo local)ejecutando certlm en el símbolo del sistema).

Haga clic en Siguiente...

Localice el archivo binario .tmp guardado anteriormente utilizando Examinar... (tendrá que seleccionar Todos los archivos en el menú desplegable o el archivo no se mostrará) y haga clic en Abrir. Seleccione Colocar todos los certificados en el siguiente almacén > Personal. Haga clic en Siguiente.

El certificado se importará después de hacer clic en Finalizar.

6.Exporte el certificado, incluyendo la clave privada, al archivo .pfx.

En Certificados (equipo local), despliegue Personal y haga clic en Certificados, seleccione el certificado creado que desea exportar y, en el menú Acción, seleccione Todas las tareas > Exportar...

En Asistente para exportación de certificados, haga clic en Exportar la clave privada. (Esta opción solo aparecerá si la clave privada está marcada como exportable y tiene acceso a la clave privada).

En Formato de archivo de exportación, marque la casilla de verificación Si es posible, incluir todos los certificados en la ruta de acceso de certificación y haga clic en Siguiente.

using_custom_certificate_16

Contraseña: escriba una contraseña para cifrar la clave privada que está exportando. En Confirmar contraseña, escriba la misma contraseña de nuevo y, a continuación, haga clic en Siguiente.

using_custom_certificate_17

Nombre de archivo: introduzca un nombre de archivo y una ruta para el archivo .pfx que guardará la clave privada y el certificado exportados. Haga clic en Siguiente y, a continuación, haga clic en Finalizar.

7.Una vez creado el archivo del certificado .pfx personalizado, podrá configurar componentes de ERA para utilizarlo.

validation-status-icon-infoNOTA: el ejemplo anterior le muestra cómo crear un certificado de ERA Server. Repita los mismos pasos para los certificados de ERA Agent y ERA Proxy. ERA MDM puede utilizar el certificado de ERA Proxy.

Configure ERA Server para que empiece a utilizar el certificado .pfx personalizado.

Para que ERA Agent o ERA Proxy/MDM utilicen el certificado .pfx personalizado, realice la reparación del componente correspondiente. Vaya a Inicio > Programas y características, haga clic con el botón derecho del ratón en Agente de ESET Remote Administrator y seleccione Cambiar. Haga clic en el botón Siguiente y utilice la opción Reparar. Haga clic en Siguiente dejando el host del servidor y el puerto del servidor como estaban. Haga clic en el botón Examinar situado junto a Certificado de igual y localice el archivo del certificado .pfx personalizado. Escriba la contraseña del certificado especificada en el paso 6. Haga clic en Siguiente y realice la reparación. ERA Agent ya utiliza el certificado .pfx personalizado.

using_custom_certificate_19