Vlastní certifikáty

Komunikace jednotlivých komponent ERA infrastruktury je šifrována pomocí certifikátu, které vystavuje vestavěná ERA certifikační autorita. Pokud vlastníte infrastrukturu vlastních klíčů PKI, můžete si vygenerovat vlastní certifikáty a ty následně použít pro ověřování komunikace.

validation-status-icon-infoPoznámka: Tento návod popisuje generování Windows Server 2012 R2. Mějte na paměti, že na starším operačním systému může být postup odlišný.

Vyžadované serverové role:

Active Directory Certificate Services (AD CS).

Active Directory Domain Services.

add_roles_and_features

1.Otevřete Management Console a přidejte snap-in Certificates:

Přihlaste se na server jako administrátor.

Pomocí příkazu mmc.exe otevřete konzolu pro správu.

V hlavním menu klikněte na File a vyberte možnost Add/Remove Snap-in… (případně stiskněte klávesovou zkratku CTRL+M).

Vyberte položku Certificates a likněte na tlačítko Add.

using_custom_certificate_02

Vyberte Computer Account a klikněte na tlačítko Next.

Ujistěte se, že jste vybrali možnost Local Computer a klikněte na tlačítko Finish.

Akci dokončete kliknutím na OK.

2.Vytvořte Custom Certificate Request:

Ve stromové struktuře přejděte do větve Certificates (Local Computer) > Personal.

Klikněte na Certificates a z kontextové menu vyberte All Tasks > Advanced Operations > Create Custom Request...

using_custom_certificate_05

V průvodci vydáním certifikátu klikněte na tlačítko Next.

Vyberte možnost Proceed without enrollment policy a pokračujte kliknutím na tlačíkto Next.

using_custom_certificate_06

Z rozbalovacího menu vyberte možnost (No Template) Legacy Key a ujistěte se, že máte vybrán formát PKCS #10. Pokračujte kliknutím na tlačítko Next.

using_custom_certificate_07

Rozbalte sekci Details a klikněte na tlačítko Properties.

using_custom_certificate_08

Na záložce General zadejte Friendly name, volitelně popis.

Na záložce Subject:

V sekci Subject name vyberte z rozbalovacího jména Type položku Common Name. Jako hodnotu zadejte era server a klikněte na tlačítko Add. Následně se v pravém poli zobrazí informace CN=era server. Pokud vytváříte žádost o vydání certifikátu (CSR) pro ERA Agenta nebo ERA Proxy, jako Common Name zadejte era agent, resp. era proxy.

validation-status-icon-infoPoznámka: V závislosti na komponentě musí Common Name obsahovat jeden z těchto řetězců: "server", "agent" nebo "proxy".

using_custom_certificate_09

V sekci Alternative name vyberte z rozbalovacího jména Type položku DNS. Jako hodnotu zadejte hvězdičku (*) a klikněte na tlačítko Add

Na záložce Extensions rozbalte sekci Key usage. Do seznamu Select options přidejte Digital signature, Key agreement, Key encipherment. Odškrtněte možnost Make these key usages critical.

using_custom_certificate_10

Na záložce Private Key:

Rozbalte sekci Cryptographic Service Provider. Následně uvidíte všechny kryptografické poskytovatele (CSP). Ponechte vybranou pouze položku Microsoft RSA SChannel Cryptographic Provider (Encryption).

using_custom_certificate_11

Rozbalte sekci Key Options. Z menu Key size vyberte alespoň 2048. Dále zaškrtněte možnost Make private key exportable.

Rozbalte sekci Key Type a vyberte možnost Exchange. Klikněte na tlačítko Apply a zkontrolujte nastavení.

Pokračujte kliknutím na tlačítko OK. Zobrazí se informace o certifikátu, klikněte na tlačítko Next. Klikněte na tlačítko Browse a umístění, do kterého chcete žádost (CSR) uložit. Následně zadejte název souboru a ujistěte se, že máte vybranou možnost Base 64.

using_custom_certificate_12

Žádost vygenerujete kliknutím na tlačítko Finish.

3.Importujte Custom Certificate Request a vydejte Custom Certificate z čekajících žádostí.

Otevřete Server Manager, klikněte na Tools > Certification Authority.

Ze stromové struktury vyberte Certification Authority (Local). Dále klikněte na váš server a z kontextového menu vyberte Properties. Přejděte na záložku Policy Module a klikněte na tlačítko Properties.... Ujistěte, že jste nastavili Set the certificate request status to pending. Dále musíte mít vybranou možnost The administrator must explicitly issue the certificate. V opačném případě nebude generování fungovat. Změna tohoto nastavení může vyžadovat restart Active Directory CA služby.

using_custom_certificate_13

Ze stromové struktury vyberte Certification Authority (Local). Dále klikněte na váš server a z kontextového menu vyberte > All Tasks > Submit new request.... Vyberte žádost (CSR soubor), který jste získali v kroku 2.

Certifikát se přidá do seznamu Pending Requests. Vyberte konkrétní CSR a z menu Action vyberte možnost All Tasks > Issue.

using_custom_certificate_14

4.Exportujte Issued Custom Certificate do .pfx souboru.

V levé části okna vyberte možnost Issued Certificates. Klikněte na certifikát, který chcete exportovat, a z kontextového menu vyberte možnost All Tasks > Export Binary Data...

V okně Export Binary Data vyberte z rozbalovacího menu možnost Binary Certificate. V části Export klikněte na Save binary data to a file a potvrďte kliknutím na OK.

using_custom_certificate_15

V okně Save Binary Data vyberte umístění, do kterého chcete certifikát uložit a akci dokončete kliknutím na tlačítko Save.

5.Importujte .tmp soubor.

Ze stromové struktury vyberte Certificate (Local Computer) > Personal. Z kontextového menu vyberte možnost All Tasks > Import...

Klikněte na tlačítko Next...

Klikněte na tlačítko Browse... a vyberte uložený .tmp binární soubor. Dále vyberte vyberte možnost Place all certificates in the following store > Personal a pokračujte kliknutím na tlačítko Next.

Certifikát importujete kliknutím na tlačítko Finish.

6.Exportujte certifikát včetně privátního klíče do .pfx souboru.

Ze stromové struktury vyberte Certificates (Local Computer) > Personal > Certificates. Vyberte certifikát, který chcete exportovat v kontextovém menu klikněte na All Tasks > Export...

V průvodci exportováním vyberte možnost Yes, export the private key. (Tato možnost se zobrazí pouze v případě, kdy je umožněn export privátního klíče.)

V sekci Export File Format vyberte možnost To include all certificates in the certification path, select the Include all certificates in the certification path if possible a pokračujte kliknutím na tlačítko Next.

using_custom_certificate_16

Zadejte heslo, které bude chránit privátní klíč a pokračujte kliknutím na tlačítko Next.

using_custom_certificate_17

Vyberte umístění, kam chcete certifikát v .pfx formátu uložit. Pokračujte kliknutím na tlačítko Next a Finish.

7.Nyní již můžete nakonfigurovat ERA komponenty tak, aby dané certifikáty používaly.

validation-status-icon-infoPoznámka: Podle stejných kroků můžete vygenerovat certifikát pro ERA Agenta i ERA Proxy.

Nakonfigurujte ERA Server tak, aby používal váš .pfx certifikát.

Pokud chcete aby váš certifikát používal ERA Agent nebo další komponenta ERA infrastruktury, musíte provést její opravnou instalaci. V průběhu opravné instalace vyberte exportovaný .pfx certifikát a následně zadejte heslo, které jste si nastavili. Dále vyberte certifikační autoritu, kterou byl daný certifikát vydán.

using_custom_certificate_19