Интернет-справка ESET

Поиск Русский
Выберите тему

Создание настраиваемого (самозаверяющего) сертификата SSL

Создание самозаверяющего сертификата с помощью Windows PowerShell

Создайте пользовательский сертификат SSL и импортируйте его в основные хранилища Windows Server 2012 R2.

1.Откройте окно PowerShell.

2.Выполните следующую команду:

a.$customcertificate = New-SelfSignedCertificate -DnsName "<FQDN>" -CertStoreLocation "cert:\localmachine\my"
 
В вышеприведенной команде замените <FQDN> соответствующей версией имени субъекта, отображаемого в ESA Web Console в разделе Components > Invitations > Server access (Компоненты > Приглашения > Доступ к серверу).
Если вы определили несколько имен DNS, например:
-DnsName "my.esa.installation.com", "my.authentication.server", "twofactor.auth"
 
Первая запись (my.esa.installation.com в примере выше) будет использована в поле Subject (Субъект), а последующие записи будут использоваться в поле Subject Alternative Name (Альтернативное имя субъекта) сертификата.

b.$exportpassword = ConvertTo-SecureString -String '<password>' -Force -AsPlainText

В приведенной выше команде замените <password> своим паролем.

c.$certPath = 'cert:\localMachine\my\' + $customcertificate.thumbprint

d.Export-PfxCertificate -cert $certPath -FilePath $env:USERPROFILE\Desktop\ESAcustomCertificate.pfx -Password $exportpassword

Последняя команда помещает сертификат ESAcustomCertificate.pfx на рабочий стол.

3. Чтобы открыть диалоговое окно Выполнить, нажмите сочетание клавиш Windows+R.

4.Добавьте оснастку сертификатов:

a.Введите «mmc» и нажмите Enter (Войти).

b.Последовательно щелкните Файл -> Добавить или удалить оснастку.

c.Выберите Сертификаты > Добавить.

d.Выберите Computer Account (Учетная запись компьютера), нажмите кнопку Next (Далее), а затем кнопку Finish (Готово). Нажмите кнопку ОК, чтобы закрыть окно Добавить или удалить оснастку.

5.Импорт соответствующего сертификата:

a.В области слева на консоли MMC разверните раздел Certificates (Local Computer) > Personal (Сертификаты (локальный компьютер) > Персональные), а затем правой кнопкой мыши щелкните Certificates (Сертификаты).

b.Выберите Все задачи > Импорт.

c.В окне мастера импорта нажмите кнопку Далее, затем кнопку Обзор, а после этого в поле со списком расширений файлов выберите пункт «Файлы обмена личной информацией (*.pfx, *.p12)», найдите экспортированный файл сертификата, щелкните Открыть, а затем нажмите кнопку Далее.

d.Введите пароль, используемый во второй команде выше, и нажмите кнопку Далее.

e.Выберите Поместить все сертификаты в следующее хранилище и введите «Персональный» в качестве названия магазина. Нажмите Далее, а затем — Готово.

6.В области слева на консоли MMC разверните раздел Сертификаты (локальный компьютер) > Доверенные корневые центры сертификации, а затем правой кнопкой мыши щелкните Сертификаты.

7.Выберите Все задачи > Импорт и повторно выполните шаги 6а–6с.

8.Дважды щелкните сертификат в разделе Certificates (Local Computer) > Personal > Certificates (Сертификаты (локальный компьютер) > Персональные > Сертификаты) и убедитесь, что отображается строка You have a private key that corresponds to this certificate (У вас есть закрытый ключ, соответствующий этому сертификату).

Если необходим CRT- и KEY-файл вместо PFX-файла, преобразуйте PFX-файл в CRT- и KEY-файл с помощью OpenSSL или другого предпочтительного способа.

Преобразование PFX в CRT и KEY с помощью OpenSSL

Проверьте, установлена ли лицензия OpenSSL для Windows, и выполните приведенные ниже команды.

openssl pkcs12 -in D:\ESAcustomCertificate.pfx -clcerts -nokeys -out D:\ESAcustomCertificate.crt

Когда отобразится запрос Введите пароль импорта, введите пароль, указанный в команде Export-PfxCertificate при создании сертификата с помощью Windows PowerShell.

openssl pkcs12 -in D:\ESAcustomCertificate.pfx -nocerts -out D:\ESAcustomCertificate_encrypted.key

В поле Введите пароль PEM задайте новый пароль длиной не менее 4 символов.

openssl rsa -in D:\ESAcustomCertificate_encrypted.key -out D:\ESAcustomCertificate.key

В ответ на запрос введите тот же пароль, который определен в поле Введите пароль PEM.

 

Создание самозаверяющего сертификата с помощью OpenSSL

Убедитесь, что лицензия OpenSSL для Windows установлена.

Создать файл конфигурации

Чтобы избежать появления предупреждения «Недопустимый сертификат» файл ESAcustomCertificate.conf должен содержать список альтернативных имен DNS для доступа к серверу аутентификации. С помощью указанной выше команды будут созданы файлы newKey.rsa и newCertificate.crt.

Образец содержимого файла ESAcustomCertificate.conf:

[ req ]

default_bits       = 4096

distinguished_name = req_distinguished_name

req_extensions     = req_ext

x509_extensions    = x509_ext

 

[ req_distinguished_name ]

countryName                 = Country Name (2 letter code)

countryName_default         = SK

stateOrProvinceName         = State or Province Name (full name)

stateOrProvinceName_default = Slovakia

localityName                = Locality Name (eg, city)

localityName_default        = Bratislava

organizationName            = Organization Name (eg, company)

organizationName_default    = My company running ESA

commonName                  = Common Name (e.g. server FQDN)

commonName_default          = my.esa.installation.com

 

[ req_ext ]

subjectAltName = @alternative_names

 

[ x509_ext ]

subjectAltName = @alternative_names

 

[alternative_names]

DNS.1   = my.esa.installation.com

DNS.2   = my.authentication.server

DNS.3   = twofactor.auth

DNS.4   = 192.168.0.1

IP.1    = 192.168.0.1

Создайте сертификат и ключ OpenSSL с помощью командной строки Windows.

openssl req -config D:\ESAcustomCertificate.conf -new -x509 -sha256 -newkey rsa:2048 -nodes -keyout D:\ESAcustomCertificate.key -days 365 -out D:\ESAcustomCertificate.crt

Если в commonName предварительно правильно сконфигурирован в файле конфигурации, нажмите клавишу ВВОД, когда отобразится запрос CommonName.