Интернет-справка ESET

Выберите тему

Создание настраиваемого (самозаверяющего) сертификата SSL

Создание самозаверяющего сертификата с помощью Windows PowerShell

Создайте пользовательский сертификат SSL и импортируйте его в основные хранилища Windows Server 2012 R2.

1.Откройте окно PowerShell.

2.Выполните следующую команду:

a.$customcertificate = New-SelfSignedCertificate -DnsName "<FQDN>" -CertStoreLocation "cert:\localmachine\my"
 
В вышеприведенной команде замените <FQDN> соответствующей версией имени субъекта, отображаемого в ESA Web Console в разделе Components > Invitations > Server access (Компоненты > Приглашения > Доступ к серверу).
Если вы определили несколько имен DNS, например:
-DnsName "my.esa.installation.com", "my.authentication.server", "twofactor.auth"
 
Первая запись (my.esa.installation.com в примере выше) будет использована в поле Subject (Субъект), а последующие записи будут использоваться в поле Subject Alternative Name (Альтернативное имя субъекта) сертификата.

b.$exportpassword = ConvertTo-SecureString -String '<password>' -Force -AsPlainText

В приведенной выше команде замените <password> своим паролем.

c.$certPath = 'cert:\localMachine\my\' + $customcertificate.thumbprint

d.Export-PfxCertificate -cert $certPath -FilePath $env:USERPROFILE\Desktop\ESAcustomCertificate.pfx -Password $exportpassword

Последняя команда помещает сертификат ESAcustomCertificate.pfx на рабочий стол.

3. Чтобы открыть диалоговое окно Выполнить, нажмите сочетание клавиш Windows+R.

4.Добавьте оснастку сертификатов:

a.Введите «mmc» и нажмите Enter (Войти).

b.Последовательно щелкните Файл -> Добавить или удалить оснастку.

c.Выберите Сертификаты > Добавить.

d.Выберите Computer Account (Учетная запись компьютера), нажмите кнопку Next (Далее), а затем кнопку Finish (Готово). Нажмите кнопку ОК, чтобы закрыть окно Добавить или удалить оснастку.

5.Импорт соответствующего сертификата:

a.В области слева на консоли MMC разверните раздел Certificates (Local Computer) > Personal (Сертификаты (локальный компьютер) > Персональные), а затем правой кнопкой мыши щелкните Certificates (Сертификаты).

b.Выберите Все задачи > Импорт.

c.В окне мастера импорта нажмите кнопку Далее, затем кнопку Обзор, а после этого в поле со списком расширений файлов выберите пункт «Файлы обмена личной информацией (*.pfx, *.p12)», найдите экспортированный файл сертификата, щелкните Открыть, а затем нажмите кнопку Далее.

d.Введите пароль, используемый во второй команде выше, и нажмите кнопку Далее.

e.Выберите Поместить все сертификаты в следующее хранилище и введите «Персональный» в качестве названия магазина. Нажмите Далее, а затем — Готово.

6.В области слева на консоли MMC разверните раздел Сертификаты (локальный компьютер) > Доверенные корневые центры сертификации, а затем правой кнопкой мыши щелкните Сертификаты.

7.Выберите Все задачи > Импорт и повторно выполните шаги 6а–6с.

8.Дважды щелкните сертификат в разделе Certificates (Local Computer) > Personal > Certificates (Сертификаты (локальный компьютер) > Персональные > Сертификаты) и убедитесь, что отображается строка You have a private key that corresponds to this certificate (У вас есть закрытый ключ, соответствующий этому сертификату).

Если необходим CRT- и KEY-файл вместо PFX-файла, преобразуйте PFX-файл в CRT- и KEY-файл с помощью OpenSSL или другого предпочтительного способа.

Преобразование PFX в CRT и KEY с помощью OpenSSL

Проверьте, установлена ли лицензия OpenSSL для Windows, и выполните приведенные ниже команды.

Когда отобразится запрос Введите пароль импорта, введите пароль, указанный в команде Export-PfxCertificate при создании сертификата с помощью Windows PowerShell.

В поле Введите пароль PEM задайте новый пароль длиной не менее 4 символов.

В ответ на запрос введите тот же пароль, который определен в поле Введите пароль PEM.

 

Создание самозаверяющего сертификата с помощью OpenSSL

Убедитесь, что лицензия OpenSSL для Windows установлена.

Создать файл конфигурации

Чтобы избежать появления предупреждения «Недопустимый сертификат» файл ESAcustomCertificate.conf должен содержать список альтернативных имен DNS для доступа к серверу аутентификации. С помощью указанной выше команды будут созданы файлы newKey.rsa и newCertificate.crt.

Образец содержимого файла ESAcustomCertificate.conf:

Создайте сертификат и ключ OpenSSL с помощью командной строки Windows.

Если в commonName предварительно правильно сконфигурирован в файле конфигурации, нажмите клавишу ВВОД, когда отобразится запрос CommonName.