Použití vlastních certifikátů v ESMC

Komunikace jednotlivých komponent ESMC infrastruktury je šifrována pomocí certifikátu, které vystavuje vestavěná ESMC certifikační autorita. Pokud vlastníte infrastrukturu vlastních klíčů PKI, můžete si vygenerovat vlastní certifikáty a ty následně použít pro ověřování komunikace. Tento návod popisuje generování Windows Server 2012 R2. Mějte na paměti, že na starším operačním systému může být postup odlišný.

details_hoverPoznámka

Jednodušší možností je vygenerovat si certifikáty prostřednictvím nástroje keytool, který je součástí doplňku Java. Více informací naleznete v Databázi znalostí.

Vyžadované serverové role:

Active Directory Domain Services.

Active Directory Certificate Services s nainstalovanou Stand-Alone Root CA.

 

1.Otevřete Management Console a přidejte snap-in Certificates:

a)Přihlaste se na server jako administrátor.

b)Pomocí příkazu mmc.exe otevřete konzolu pro správu.

c)V hlavním menu klikněte na File a vyberte možnost Add/Remove Snap-in… (případně stiskněte klávesovou zkratku CTRL+M).

d)Vyberte položku Certificates a klikněte na tlačítko Add.

using_custom_certificate_02

e)Vyberte Computer Account a klikněte na tlačítko Next.

f)Ujistěte se, že jste vybrali možnost Local Computer a klikněte na tlačítko Finish.

g)Akci dokončete kliknutím na OK.

2.Vytvořte Custom Certificate Request:

a)Ve stromové struktuře přejděte do větve Certificates (Local Computer) .

b)Dále rozbalte větev Personal. Klikněte na Certificates a z kontextové menu vyberte All Tasks > Advanced operations > Create Custom Request...

using_custom_certificate_05

c)V průvodci vydáním certifikátu klikněte na tlačítko Next.

d)Vyberte možnost Proceed without enrollment policy a pokračujte kliknutím na tlačítko Next.

using_custom_certificate_06

e)Z rozbalovacího menu vyberte možnost (No Template) Legacy Key a ujistěte se, že máte vybrán formát PKCS #10. Pokračujte kliknutím na tlačítko Next.

using_custom_certificate_07

f)Rozbalte sekci Details a klikněte na tlačítko Properties.

using_custom_certificate_08

g)Na záložce GenESMCl zadejte Friendly name, volitelně popis.

h)Na záložce Subject:

V sekci Subject name vyberte z rozbalovacího menu Type položku Common Name. Jako hodnotu zadejte era server a klikněte na tlačítko Add. V informačním poli se následně zobrazí CN=era server. Pokud vytváříte žádost o vydání certifikátu (CSR) pro ESET Management Agenta, jako Common Name zadejte era agent.

details_hoverPoznámka

V závislosti na komponentě musí Common Name obsahovat jeden z těchto řetězců: "server" a "agent".

using_custom_certificate_09

i)V sekci Alternative name vyberte z rozbalovacího jména Type položku DNS. Jako hodnotu zadejte hvězdičku (*) a klikněte na tlačítko Add

j)Na záložce Extensions rozbalte sekci Key usage.Dostupné možnosti: Do seznamu Select options přidejte Digital signature, Key agreement, Key encipherment.Odškrtněte možnost Make these key usages critical.

using_custom_certificate_10

k)Na záložce Private Key:

Rozbalte sekci Cryptographic Service Provider. Následně uvidíte všechny kryptografické poskytovatele (CSP). Ponechte vybranou pouze položku Microsoft RSA SChannel Cryptographic Provider (Encryption).

details_hoverPoznámka

Zrušte výběr všech ostatních kryptografických poskytovatelů, kromě Microsoft RSA SChannel Cryptographic Provider (Encryption).

using_custom_certificate_11

l)Rozbalte sekci Key Options. Z menu Key size vyberte alespoň 2048. Dále zaškrtněte možnost Make private key exportable.

m)Rozbalte sekci Key Type a vyberte možnost Exchange. Klikněte na tlačítko Apply a zkontrolujte nastavení.

n)Pokračujte kliknutím na tlačítko OK. Zobrazí se informace o certifikátu. Pro pokračování klikněte na tlačítko Next. Klikněte na tlačítko Browse a vyberte umístění, do kterého chcete žádost (CSR) uložit. Následně zadejte název souboru a ujistěte se, že máte vybranou možnost Base 64.

using_custom_certificate_12

o)Žádost vygenerujete kliknutím na tlačítko Finish.

3.Importujte Custom Certificate Request a vydejte Custom Certificate z čekajících žádostí.

a)Otevřete Server Manager, klikněte na Tools > Certification Authority.

b)Ze stromové struktury vyberte Certification Authority (Local). Dále klikněte na váš server a z kontextového menu vyberte Properties. Přejděte na záložku Policy Module a klikněte na tlačítko Properties.... Ujistěte, že jste nastavili Set the certificate request status to pending. Dále musíte mít vybranou možnost The administrator must explicitly issue the certificate. V opačném případě nebude generování fungovat. Změna tohoto nastavení může vyžadovat restart Active Directory CA služby.

using_custom_certificate_13

c)Ze stromové struktury vyberte Certification Authority (Local). Dále klikněte na váš server (obvykle reprezentovaný FQDN) a z kontextového menu vyberte > All Tasks > Submit new request…. Vyberte žádost (CSR soubor), který jste získali v kroku 2.

d)Certifikát se přidá do seznamu Pending Requests. V pravé části obrazovky vyberte konkrétní CSR. V menu Action vyberte možnost All Tasks > Issue.

using_custom_certificate_14

4.Exportujte Issued Custom Certificate do .tmp souboru.

a)V levé části okna vyberte možnost Issued Certificates. Klikněte na certifikát, který chcete exportovat, a z kontextového menu vyberte možnost All Tasks > Export Binary Data...

b)V okně Export Binary Data vyberte z rozbalovacího menu možnost Binary Certificate. V části Export klikněte na Save binary data to a file a potvrďte kliknutím na OK.

using_custom_certificate_15

c)V okně Save Binary Data vyberte umístění, do kterého chcete certifikát uložit a akci dokončete kliknutím na tlačítko Save.

5.Importujte .tmp soubor.

a)Ze stromové struktury vyberte Certificate (Local Computer) > Personal. Z kontextového menu vyberte možnost All Tasks > Import...

b)Klikněte na tlačítko Next...

c)Klikněte na tlačítko Browse... a vyberte uložený .tmp binární soubor. Dále vyberte vyberte možnost Place all certificates in the following store > Personal a pokračujte kliknutím na tlačítko Next. Pokračujte kliknutím na tlačítko Next.

d)Certifikát importujete kliknutím na tlačítko Finish.

6.Exportujte certifikát včetně privátního klíče do .pfx souboru.

a)Ze stromové struktury vyberte Certificates (Local Computer) > Personal > Certificates. Vyberte certifikát, který chcete exportovat v kontextovém menu klikněte na All Tasks > Export...

b)V průvodci exportováním vyberte možnost Yes, export the private key. (Tato možnost se zobrazí pouze v případě, kdy je umožněn export privátního klíče.)

c)V sekci Export File Format vyberte Personal Information Exchange -PKCS #12 (.PFX), dále zaškrtněte možnost To include all certificates in the certification path, select the Include all certificates in the certification path if possible a pokračujte kliknutím na tlačítko Next.

using_custom_certificate_16

d)Zadejte Heslo, kterým se zašifruje privátní klíč. Do pole Confirm password zadejte ještě jednou heslo pro potvrzení a pokračujte kliknutím na tlačítko Next.

validation-status-icon-warning DŮLEŽITÉ

V hesle certifikátu není možné použít následující znaky: " \ Tyto znaky mohou způsobit chybu při inicializaci agenta.

using_custom_certificate_17

e)Zadejte název souboru a cestu, do kterého chcete exportovat .pfxcertifikát a privátní klíč. Pokračujte kliknutím na tlačítko Next a Finish.

details_hoverPoznámka

Na tomto příkladu jsme si ukázali, jak můžete vytvořit certifikát pro ESET Management Agenta. Podle stejných kroků můžete vygenerovat certifikát pro ESMC Server.

Pomocí tohoto certifikátu nemůžete vytvořit další certifikát v ESMC Web Console.

7.Exportujte certifikační autoritu:

a)Otevřete si správce serveru a klikněte na Tools > Certification Authority.

b)Ve stromu Certification Authority (Local) vyberte váš server (obvykle reprezentovaný FQDN) > Properties > General a klikněte na View Certificate.

c)Na záložce Details klikněte na tlačítko Copy to File. Následně se zobrazí dialogové okno Certificate Export Wizard.

d)V dialogovém okně Export File Format vyberte DER encoded binary X.509 (.CER) a klikněte na tlačítko Next.

e)Klikněte na tlačítko Browse a vyberte umístění, do kterého chcete .cer soubor uložit, a akci potvrďte kliknutím na tlačítko Next.

f)Kliknutím na tlačítko Dokončit exportujete certifikační autoritu.

Nakonfigurujte komponenty ESMC infrastruktury tak, aby používaly vaše certifikáty.