Замена сертификата SSL
Быстрые ссылки: импорт нового сертифика, замена сертификата ESA, замена сертификата соединителя поставщика удостоверений ESA
Для защиты подключений Сервер аутентификации API от прослушивания интерфейс SSL использует сертификат . Установщик автоматически выбирает соответствующий сертификат, установленный на компьютере. Если сертификат не найден, установщик создает новый самозаверяющий сертификат.
В этом разделе объясняется, как заменить сертификат на любой другой. Здесь содержатся сведения о том, как импортировать новый сертификат в ОС Windows, а затем использовать его для ESA.
Обязательные условия
Чтобы соблюсти требования этого руководства, вам потребуется:
•установка компонента ESA Authentication Server (Сервер аутентификации ESA);
•права администратора на доступ к компьютеру, на котором установлен продукт ESET Secure Authentication On-Prem;
•сертификат SSL, который будет использоваться, в формате PKCS12 (.pfx или .p12);
oФайл сертификата с копиями закрытого и открытого ключей.
Импорт нового сертификата
Чтобы использовать новый сертификат, его следует поместить в хранилище персональных сертификатов на локальном компьютере.
1.Запустите консоль управления Microsoft (MMC):
a.Щелкните Пуск и введите «mmc.EXE» и нажмитеEnter
2.Добавьте оснастку сертификатов:
a.Последовательно щелкните Файл -> Добавить или удалить оснастку.
b.В столбце слева выберите Сертификаты.
c.Нажмите Add (Добавить).
d.Выберите Учетная запись компьютера.
e.Щелкните Далее.
f.Выберите Локальный компьютер.
g.Нажмите кнопку Готово.
h.Нажмите кнопку ОК.
3.Сохраните оснастку для использования в будущем Файл -> Сохранить.
4.В дереве щелкните Сертификаты (локальный компьютер) и выберите узел Персональные.
5.Щелкните правой кнопкой мыши и выберите Все задачи > Импорт.
6.Следуйте инструкциям мастера импорта и не забудьте добавить сертификат в хранилище сертификатов Персональные.
7.Дважды щелкните сертификат и убедитесь, что отображается строка У вас есть закрытый ключ, соответствующий этому сертификату.
Замена сертификата ESA
Сервер аутентификации не запускается без сертификата Служба ESACore (Серверы аутентификации) не будет запускаться, если отсутствует настроенный сертификат. Если вы удалите сертификат, вам необходимо будет добавить другой, чтобы служба ESACore работала корректно. |
Определение правильного сертификата для использования
1.Откройте диспетчер сертификатов MMC, используя вышеуказанную процедуру.
2.В папке Персональные дважды щелкните соответствующий сертификат.
3.На вкладке Общие убедитесь, что отображается сообщение У вас есть закрытый ключ, соответствующий этому сертификату.
4.На вкладке Сведения выберите поле Отпечаток.
5.Отпечаток сертификата отобразится на нижней панели (наборы двух шестнадцатеричных цифр, разделенных пробелами).
Windows Server 2008+
1.Щелкните Пуск и введите «cmd.EXE».
2.В списке программ щелкните элемент cmd.EXE правой кнопкой мыши и выберите Запуск от имени администратора.
3.Введите «netsh http show sslcert ipport=0.0.0.0:8001» и нажмите Enter.
4.Скопируйте и вставьте содержимое поля Certificate Hash (Хеш сертификата) в безопасном месте на случай, если понадобится еще раз добавить имеющийся сертификат.
5.Введите netsh http delete sslcert ipport=0.0.0.0:8001 и нажмите клавишу Enter (ВВОД).
6.Должно появиться сообщение Сертификат SSL успешно удален.
7.Введите netsh http add sslcert ipport=0.0.0.0:8001 appid={BA5393F7-AEB1-4AC6-B759-1D824E61E442} certhash=<THUMBPRINT>, указав вместо <THUMBPRINT> значения из отпечатка сертификата без пробелов, и нажмите клавишу ВВОД.
8.Должно появиться сообщение Сертификат SSL успешно добавлен.
9.Перезапустите службу ESACore, чтобы новый сертификат вступил в силу.
Замена сертификата соединителя поставщика удостоверений ESA
1.На сервере Windows Server запустите Диспетчер служб IIS.
2.Перейдите в <your_domain> (ваш_домен) > Сайты.
3.Щелкните правой кнопкой мыши и выберите пункт Соединитель поставщика удостоверений ESA > Изменить привязки.
4.Дважды щелкните https.
5.Выберите новый сертификат в списке Сертификат SSL.
6.Нажмите кнопку ОК > Закрыть.
Чтобы изменить порт соединителя поставщика удостоверений ESA, сделайте следующее:
1.На сервере Windows Server запустите Диспетчер служб IIS.
2.Перейдите в <your_domain> (ваш_домен) > Сайты.
3.Щелкните правой кнопкой мыши и выберите пункт Соединитель поставщика удостоверений ESA > Изменить привязки.
4.Дважды щелкните https.
5.Измените значение в поле Порт.
6.Нажмите кнопку ОК > Закрыть.
Закрытый ключ соединителя поставщика удостоверений может считать только пользователь Local System (учетная запись Local System). Поэтому в некоторых системах может быть проблема с перенастройкой привязки в диспетчере IIS. Если вы столкнулись с этой проблемой, создайте настраиваемый сертификат и замените сертификат по умолчанию. |