Sostituzione del certificato SSL
Collegamenti rapidi: Importazione del nuovo certificato, Sostituzione del certificato ESA, Sostituzione del certificato ESA IdP Connector
L'Authentication Server (server di autenticazione) e API utilizza un certificato SSL che consente di proteggere le comunicazioni dalle intercettazioni. Il programma di installazione seleziona automaticamente un certificato appropriato installato sulla macchina oppure genera un nuovo certificato autofirmato nel caso in cui non riesca a trovarne uno.
Questa sezione illustra le modalità di sostituzione del certificato con un altro scelto dall'utente. Aiuta l'utente a importare il nuovo certificato in Windows e a utilizzarlo per ESA.
Prerequisiti
Per seguire questa guida, sarà necessario eseguire le operazioni riportate di seguito:
•Un'installazione del componente ESA Authentication Server
•Accesso dell’amministratore al computer su cui è installato ESET Secure Authentication On-Prem
•Il certificato SSL che si desidera utilizzare nel formato PKCS12 (.pfx o .p12)
oIl file del certificato deve contenere una copia della chiave privata nonché della chiave pubblica
Importazione del nuovo certificato
Prima di poter essere utilizzato, il nuovo certificato deve essere posizionato nell'archivio Macchina locale\Personale.
1.Avviare Microsoft Management Console (MMC):
a.Fare clic su Start -> Digitare “mmc.EXE e premere Enter
2.Aggiungere lo snap-in dei certificati:
a.Fare clic su File -> Aggiungi/Rimuovi snap-in
b.Selezionare Certificati nella colonna a sinistra.
c.Fare clic su Aggiungi.
d.Selezionare Account computer.
e.Fare clic su Avanti.
f.Selezionare Computer locale.
g.Fare clic su Fine.
h.Fare clic su OK.
3.Salvare lo snap-in per uso futuro (File -> Salva).
4.Selezionare i Certificati (Computer locale) -> nodo Personale nella struttura ad albero.
5.Fare clic con il pulsante destro del mouse e selezionare Tutte le attività > Importazione.
6.Seguire la procedura guidata di importazione, assicurarsi di aggiungere il certificato nel percorso dell'archivio dei certificati Personale.
7.Fare doppio clic sul certificato e accertarsi che sia visualizzata la riga Si dispone di una chiave privata che corrisponde a questo certificato.
Sostituzione del certificato ESA
Il server di autenticazione non si avvia senza un certificato Il servizio ESACore (Server di autenticazione) non verrà avviato se non è configurato un certificato. Se si rimuove il certificato, è necessario aggiungerne un altro prima di poter eseguire correttamente il servizio ESACore. |
Individuare il certificato corretto da utilizzare
1.Aprire lo strumento di gestione certificati di MMC eseguendo i passaggi precedenti.
2.Nella cartella Personale, fare doppio clic sul certificato applicabile.
3.Nella scheda Generale, verificare che venga visualizzato il messaggio Possiedi una chiave privata corrispondente al certificato.
4.Nella scheda Dettagli, selezionare il campo Identificazione personale.
5.L'identificazione personale del certificato è visualizzata nel riquadro inferiore (set di due cifre esadecimali separate da spazi).
Windows Server 2008+
1.Fare clic su Start -> Digitarecmd.EXE.
2.Nell'elenco di programmi, fare clic con il pulsante destro del mouse sulla voce cmd.EXE e selezionare Esegui come amministratore.
3.Digitare netsh http show sslcert ipport=0.0.0.0:8001 e premere Enter (Invio)
4.Copiare e incollare il campo Certificate Hash (Hash del certificato) in un punto sicuro nel caso in cui si desideri aggiungere nuovamente il certificato esistente.
5.Digitare netsh http delete sslcert ipport=0.0.0.0:8001 e premere il tasto Enter (Invio).
6.Dovrebbe comparire il Certificato SSL rimosso correttamente.
7.Digitare netsh http add sslcert ipport=0.0.0.0:8001 appid={BA5393F7-AEB1-4AC6-B759-1D824E61E442} certhash=<THUMBPRINT>, ma sostituire <THUMBPRINT> con i valori dell’identificazione personale del certificato senza spazi e premere Invio.
8.Dovrebbe comparire il Certificato SSL aggiunto correttamente.
9.Riavviare il servizio ESACore per consentire al nuovo certificato di avere effetto.
Sostituzione del certificato ESA IdP Connector
1.Sul server Windows, avviare Internet Information Services (IIS) Manager.
2.Portarsi in <your_domain> (<il_tuo_dominio>) > Siti.
3.Fare clic con il pulsante destro del mouse e selezionare ESA Identity Provider Connector > Modifica associazioni.
4.Fare doppio clic su https.
5.Selezionare il nuovo certificato dal certificato SSL.
6.Fare clic su OK > Chiudi.
Per modificare la porta di ESA IdP Connector:
1.Sul server Windows, avviare Internet Information Services (IIS) Manager.
2.Portarsi in <your_domain> (<il_tuo_dominio>) > Siti.
3.Fare clic con il pulsante destro del mouse e selezionare ESA Identity Provider Connector > Modifica associazioni.
4.Fare doppio clic su https.
5.Modificare il valore Porta.
6.Fare clic su OK > Chiudi.
La chiave privata del certificato IdP Connector è leggibile solo dall’utente di Local System (Sistema locale). Potrebbe pertanto verificarsi un problema durante la riconfigurazione dell’associazione nella gestione IIS su alcuni sistemi. In caso di problemi, è possibile generare un certificato personalizzato e sostituire quello predefinito. |