Заміна сертифіката SSL
Швидкі посилання: Імпорт нового сертифіката, Заміна сертифіката ESA, Заміна сертифіката ESA IdP Connector
Authentication Server і API використовують сертифікат SSL для захисту від несанкціонованого перехоплення даних. Інсталятор автоматично вибирає відповідний сертифікат, інстальований на комп’ютері, або, якщо такого немає, створює новий самозавірений сертифікат.
У цьому розділі описано заміну сертифіката на інший за вашим вибором. Ви зможете імпортувати новий сертифікат у Windows, а потім використовувати його для ESA.
Попередні вимоги
Для цього вам знадобиться:
•Інстальований компонент ESA Authentication Server
•Доступ адміністратора до комп’ютера, де інстальовано ESET Secure Authentication On-Prem
•Сертифікат SSL, який ви маєте намір використати у форматі PKCS12 (.pfx або .p12)
oФайл сертифіката має містити копію закритого та відкритого ключів.
Імпорт нового сертифіката
Перш ніж користуватися новим сертифікатом, його необхідно розмістити у відділі "Локальний комп’ютер/Особисті".
1.Запустіть консоль керування Microsoft (MMC):
a.Натисніть Пуск -> введіть «mmc.EXE» і натисніть Enter
2.Додайте оснастку сертифікатів:
a.Натисніть Файл -> Додати/видалити оснастку.
b.У стовпці ліворуч виберіть Сертифікати.
c.Натисніть кнопку Add (Додати).
d.Виберіть Обліковий запис комп’ютера.
e.Натисніть Далі.
f.Виберіть Локальний комп’ютер.
g.Натисніть Готово.
h.Натисніть OK.
3.Щоб зберегти оснастку на майбутнє, натисніть File > Save.
4.Виберіть Сертифікати (Локальний комп’ютер) -> вузол Особисті в дереві.
5.Натисніть правою кнопкою миші і виберіть пункти All Tasks > Import.
6.Дотримуючись інструкцій у майстрі імпорту, додайте сертифікат до сховища Personal.
7.Двічі натисніть сертифікат, щоб відобразився рядок Ви маєте закритий ключ, який відповідає цьому сертифікату.
Заміна сертифіката ESA
Authentication Server не запускається без сертифіката Служба ESACore (Сервер аутентифікації) не запуститься, доки ви не налаштуєте сертифікат. Якщо ви його видалили, додайте інший, інакше служба ESACore працюватиме неправильно. |
Визначте правильний сертифікат для використання
1.Відкрийте менеджер сертифікатів MMC, дотримуючись інструкцій вище.
2.Двічі натисніть відповідний сертифікат у папці Personal.
3.Перейдіть на вкладку General і переконайтеся, що на ній є повідомлення You have a private key that corresponds to this certificate.
4.На вкладці Відомості виберіть поле Відбиток.
5.Відбиток сертифіката відображається в нижній панелі (набори шістнадцяткових цифр, розділених пробілами).
Windows Server 2008+
1.Натисніть Пуск -> введіть «cmd.EXE».
2.У списку програм правою кнопкою миші клацніть елемент cmd.EXE й виберіть пункт Запустити як адміністратор.
3.Введіть netsh http show sslcert ipport=0.0.0.0:8001 і натисніть Enter.
4.Якщо потрібно повторно додати наявний сертифікат, скопіюйте поле Certificate Hash в безпечне місце.
5.Введіть netsh http delete sslcert ipport=0.0.0.0:8001 і натисніть Enter.
6.З’явиться повідомлення SSL Certificate successfully deleted.
7.Введіть netsh http add sslcert ipport=0.0.0.0:8001 appid={BA5393F7-AEB1-4AC6-B759-1D824E61E442} certhash=<THUMBPRINT>. Замініть <THUMBPRINT> значеннями з відбитка сертифіката, попередньо видаливши всі пробіли, і натисніть Enter.
8.З’явиться повідомлення SSL Certificate successfully added.
9.Щоб новий сертифікат набув чинності, перезавантажте службу ESACore.
Заміна сертифіката ESA IdP Connector
1.На Windows Server запустіть Internet Information Services (IIS) Manager.
2.Відкрийте <your_domain> > Сайти.
3.Клацніть правою кнопкою миші й виберіть пункти ESA Identity Provider Connector > Edit Bindings.
4.Двічі натисніть пункт https.
5.В SSL certificate виберіть новий сертифікат.
6.Натисніть OK > Close.
Порядок зміни порта ESA IdP Connector
1.На Windows Server запустіть Internet Information Services (IIS) Manager.
2.Відкрийте <your_domain> > Сайти.
3.Клацніть правою кнопкою миші й виберіть пункти ESA Identity Provider Connector > Edit Bindings.
4.Двічі натисніть пункт https.
5.Змініть значення параметра Порт.
6.Натисніть OK > Close.
Закритий ключ сертифіката IdP Connector доступний для читання лише користувачу Local System, тому в деяких системах може виникати проблема зі зміненням конфігурації зв’язування в диспетчері IIS. У разі виникнення цієї проблеми можна створити спеціальний сертифікат і замінити ним сертифікат за замовчуванням. |