Aide en ligne ESET

Rechercher Français
Sélectionner la rubrique

Remplacement du certificat SSL

Liens rapides : Importation du nouveau certificat, Remplacement du certificat ESA, Remplacement du certificat ESA IdP Connector

Le serveur d’authentification et l’API utilisent un certificat SSL pour sécuriser les communications contre les écoutes. Le programme d’installation sélectionne automatiquement un certificat approprié installé sur la machine ou génère un nouveau certificat auto-signé s’il n’en trouve aucun.

Cette section explique comment remplacer le certificat par un autre certificat de votre choix. Il vous aide à importer votre nouveau certificat dans Windows, puis à l’utiliser pour ESA.

Conditions préalables requises

Pour suivre ce guide, vous aurez besoin des éléments suivants :

Une installation du composant ESA Authentication Server

Un accès administrateur à l’ordinateur sur lequel ESET Secure Authentication On-Prem est installé

Le certificat SSL que vous souhaitez utiliser au format PKCS12 (.pfx ou .p12)

oLe fichier de certificat doit contenir une copie de la clé privée ainsi que de la clé publique

Importation du nouveau certificat

Le nouveau certificat doit être placé dans le magasin personnel de l’ordinateur local avant utilisation.

1.Lancez la console de gestion Microsoft (MMC) :

a.Cliquez sur Démarrer, tapez « mmc.EXE » et appuyez sur Enter (Entrée).

2.Ajoutez le composant logiciel enfichable Certificats :

a.Cliquez sur Fichier > Ajouter/supprimer un composant logiciel enfichable.

b.Sélectionnez Certificats dans la colonne de gauche.

c.Cliquez sur Ajouter.

d.Sélectionnez Compte d’ordinateur.

e.Cliquez sur Suivant.

f.Sélectionnez Ordinateur local.

g.Cliquez sur Terminer.

h.Cliquez sur OK.

3.Pour enregistrer le composant logiciel enfichable en vue d’une utilisation ultérieure, cliquez sur Fichier > Enregistrer.

4.Sélectionnez le nœud Certificats (ordinateur local) > Personnel dans l’arborescence.

5.Cliquez avec le bouton droit de la souris et sélectionnez Toutes les tâches > Importer.

6.Suivez l’Assistant Importation et veillez à ajouter le certificat à l’emplacement Personnel du magasin de certificats.

7.Double-cliquez sur le certificat et vérifiez que la ligne Vous avez une clé privée qui correspond à ce certificat s’affiche.

Remplacement du certificat ESA


note

Le serveur d’authentification ne démarre pas sans certificat

Le service ESACore (serveur d’authentification) ne démarre pas sans certificat configuré. Si vous supprimez le certificat, vous devez en ajouter un autre pour que le service ESACore s’exécute correctement.

Déterminer le certificat correct à utiliser

1.Ouvrez le Gestionnaire de certificats MMC en suivant les étapes ci-dessus.

2.Dans le dossier Personnel, double-cliquez sur le certificat applicable.

3.Dans l’onglet Général, vérifiez que le message Vous avez une clé privée qui correspond à ce certificat s’affiche.

4.Dans l’onglet Détails, sélectionnez le champ Empreinte.

5.L’empreinte du certificat est affichée dans le volet inférieur (ensembles de deux chiffres hexadécimaux séparés par des espaces).

Windows Server 2008+

1.Cliquez sur Démarrer et tapez « cmd.EXE ».

2.Dans la liste des programmes, cliquez avec le bouton droit sur l’élément cmd.EXE et sélectionnez Exécuter en tant qu’administrateur.

3.Saisissez netsh http show sslcert ipport=0.0.0.0:8001, puis appuyez sur Enter.

4.Copiez et collez le contenu du champ Certificate Hash (Hachage du certificat) dans un endroit sûr si vous souhaitez ajouter à nouveau le certificat existant plus tard.

5.Tapez netsh http delete sslcert ipport=0.0.0.0:8001 et appuyez sur la touche Enter (Entrée).

6.Le message SSL Certificate successfully deleted (Le certificat SSL a bien été supprimé) devrait s’afficher.

7.Tapez netsh http add sslcert ipport=0.0.0.0:8001 appid={BA5393F7-AEB1-4AC6-B759-1D824E61E442} certhash=<THUMBPRINT>, mais remplacez <THUMBPRINT> par les valeurs de l’empreinte du certificat sans espaces et appuyez sur Entrée.

8.Le message SSL Certificate successfully added (Le certificat SSL a bien été ajouté) devrait s’afficher.

9.Redémarrez le service ESACore pour que le nouveau certificat prenne effet.

Remplacement du certificat ESA IdP Connector

1.Sur votre serveur Windows, lancez le Gestionnaire des services Internet Information Services (IIS).

2.Accédez à <your_domain> (<votre domaine>) > Sites.

3.Cliquez avec le bouton droit de la souris et sélectionnez ESA Identity Provider Connector (Connecteur de fournisseur d’identité ESA) > Edit Bindings (Modifier les liaisons).

4.Double-cliquez sur https.

5.Sélectionnez le nouveau certificat dans SSL certificate (Certificat SSL).

6.Cliquez sur OK > Close (Fermer).

 

Pour modifier le port d’ESA IdP Connector, procédez comme suit :

1.Sur votre serveur Windows, lancez le Gestionnaire des services Internet Information Services (IIS).

2.Accédez à <your_domain> (<votre domaine>) > Sites.

3.Cliquez avec le bouton droit de la souris et sélectionnez ESA Identity Provider Connector (Connecteur de fournisseur d’identité ESA) > Edit Bindings (Modifier les liaisons).

4.Double-cliquez sur https.

5.Modifiez la valeur de Port.

6.Cliquez sur OK > Close (Fermer).


note

La clé privée du certificat IdP Connector n’est lisible que par l’utilisateur Local System (système local). Par conséquent, il peut y avoir un problème lors de la reconfiguration de la liaison dans le gestionnaire IIS sur certains systèmes. Si vous rencontrez ce problème, vous pouvez générer un certificat personnalisé et remplacer le certificat par défaut.