Vlastné certifikáty pre ESMC

Ak máte svoju vlastnú PKI (infraštruktúru verejných kľúčov) a chcete, aby ESET Security Management Center používal vaše vlastné certifikáty na komunikáciu medzi jednotlivými komponentmi, pozrite si príklad nižšie. Tento príklad bol vykonaný na systéme Windows Server 2012 R2. Niektoré obrazovky sa môžu do malej miery líšiť v závislosti od konkrétnej verzie operačného systému Windows, avšak cieľ tohto postupu ostáva rovnaký.

details_hoverPoznámka:

Pre rýchle a jednoduché vytvorenie nových certifikátov použite nástroj keytool, ktorý je súčasťou Javy. Viac informácií nájdete v nasledujúcom článku databázy znalostí spoločnosti ESET.

Požadované serverové roly:

Active Directory Domain Services.

Active Directory Certificate Services s nainštalovanou samostatnou koreňovou certifikačnou autoritou.

 

1.Otvorte Management Console a pridajte snap-in Certificates:

a)Prihláste sa na server ako člen lokálnej skupiny správcov.

b)Spustite Management Console pomocou príkazu mmc.exe.

c)Kliknite na File a vyberte možnosť Add/Remove Snap-in… (prípadne použite klávesovú skratku CTRL + M).

d)Vyberte položku Certificates v ľavej časti okna a kliknite na Add.

using_custom_certificate_02

e)Zvoľte možnosť Computer Account a kliknite na Next.

f)Uistite sa, že ste zvolili možnosť Local Computer a kliknite na tlačidlo Finish.

g)Kliknite na OK.

2.Vytvorte Custom Certificate Request:

a)Dvojitým kliknutím rozbaľte ponuku Certificates (Local Computer).

b)Dvojitým kliknutím rozbaľte ponuku Personal. Pravým tlačidlom kliknite na Certificates, vyberte možnosť All Tasks > Advanced Operations a zvoľte Create Custom Request.

using_custom_certificate_05

c)V okne sprievodcu pre registráciu certifikátu kliknite na Next.

d)Zvoľte možnosť Proceed without enrollment policy a pokračujte kliknutím na tlačidlo Next.

using_custom_certificate_06

e)Z roletového menu vyberte možnosť (No Template) Legacy Key a uistite sa, že máte vybratý formát PKCS #10. Kliknite na Next.

using_custom_certificate_07

f)Kliknite na šípku pre rozbalenie sekcie Details a následne kliknite na Properties.

using_custom_certificate_08

g)Na karte General zadajte Friendly name pre váš certifikát, pričom môžete zadať aj popis.

h)Na karte Subject vykonajte nasledovné:

V sekcii Subject name vyberte z roletového menu Type položku Common Name. Zadajte era server ako hodnotu do poľa Value a kliknite na Add. CN=era server sa následne zobrazí ako informácia v poli napravo. Ak vytvárate žiadosť o vydanie certifikátu pre ESET Management Agenta, do poľa hodnoty pre Common name zadajte era agent.

details_hoverPoznámka:

Common Name musí obsahovať jeden z nasledujúcich reťazcov v závislosti od toho, aký Certificate Request chcete vytvoriť: „server“ alebo „agent“.

using_custom_certificate_09

i)V sekcii Alternative name vyberte z roletového menu Type položku DNS. Zadajte * (hviezdičku) ako hodnotu do poľa Value a kliknite na tlačidlo Add.

j)Na karte Extensions rozbaľte sekciu Key usage kliknutím na šípku.Vyberte nasledujúce položky: Digital signature, Key agreement a Key encipherment.Zrušte výber položky Make these key usages critical.

using_custom_certificate_10

k)Na karte Private Key vykonajte nasledovné:

Rozbaľte sekciu Cryptographic Service Provider. Následne sa zobrazí zoznam všetkých poskytovateľov kryptografických služieb (CSP). Uistite sa, že je zvolená iba položka Microsoft RSA SChannel Cryptographic Provider (Encryption).

details_hoverPoznámka:

Zrušte výber všetkých ostatných CSP okrem Microsoft RSA SChannel Cryptographic Provider (Encryption).

using_custom_certificate_11

l)Rozbaľte sekciu Key Options. V menu Key size nastavte hodnotu aspoň 2048. Označte možnosť Make private key exportable.

m)Rozbaľte sekciu Key Type a vyberte možnosť Exchange. Kliknite na Apply a skontrolujte si svoje nastavenia.

n)Kliknite na OK. Zobrazia sa informácie o certifikáte. Pokračujte kliknutím na tlačidlo Next. Kliknite na Browse a vyberte umiestnenie, kde chcete uložiť žiadosť o vydanie certifikátu (CSR). Zadajte názov súboru a uistite sa, že je zvolená možnosť Base 64.

using_custom_certificate_12

o)Vašu žiadosť CSR vygenerujete kliknutím na tlačidlo Finish.

3.Ak chcete importovať svoj vlastný Custom Certificate Request, postupujte podľa krokov uvedených nižšie:

a)Otvorte Server Manager a kliknite na Tools > Certification Authority.

b)V stromovej štruktúre Certification Authority (Local) vyberte možnosť Your Server (usually FQDN) > Properties a následne prejdite na kartu Policy Module. Kliknite na Properties a vyberte možnosť Set the certificate request status to pending. The administrator must explicitly issue the certificate. V opačnom prípade táto operácia nebude fungovať správne. Ak potrebujete toto nastavenie zmeniť, musíte reštartovať certifikačné služby Active Directory.

using_custom_certificate_13

c)V stromovej štruktúre Certification Authority (Local) vyberte Your Server (usually FQDN) > All Tasks > Submit new request... a vyberte súbor žiadosti CSR, vygenerovaný v kroku 2.

d)Certifikát bude pridaný do zoznamu Pending Requests. V pravom navigačnom okne vyberte konkrétne CSR. V menu Action vyberte All Tasks > Issue.

using_custom_certificate_14

4.Exportujte Issued Custom Certificate do .tmp súboru.

a)Kliknite na Issued Certificates v ľavom okne. Kliknite pravým tlačidlom na certifikát, ktorý chcete exportovať, a následne kliknite na All Tasks > Export Binary Data.

b)V dialógovom okne Export Binary Data vyberte z roletového menu Binary Certificate. V časti Export options kliknite na Save binary data to a file a potom kliknite na OK.

using_custom_certificate_15

c)V dialógovom okne Save Binary Data vyberte lokalitu, kde chcete uložiť certifikát a kliknite na Save.

5.Importujte vytvorený .tmp súbor.

a)Prejdite na Certificate (Local Computer) > kliknite pravým tlačidlom na Personal a vyberte All Tasks > Import.

b)Kliknite na Next.

c)Pomocou tlačidla Browse nájdite vytvorený .tmp binárny súbor a kliknite na Open. Ďalej vyberte možnosť Place all certificates in the following store > Personal. Kliknite na Next.

d)Certifikát sa importuje po kliknutí na tlačidlo Finish.

6.Exportujte certifikát vrátane súkromného kľúča do .pfx súboru.

a)V časti Certificates (Local Computer) rozbaľte možnosť Personal a kliknite na Certificates. Vytvorený certifikát, ktorý chcete exportovať, vyberte v menu Action a prejdite na All Tasks > Export.

b)V sprievodcovi Certificate Export Wizard kliknite na Yes, export the private key. (Táto možnosť sa zobrazí iba v prípade, že je súkromný kľúč označený ako exportovateľný a máte k nemu prístup.)

c)V sekcii Export File Format vyberte možnosť Personal Information Exchange -PKCS #12 (.PFX), následne označte možnosť Include all certificates in the certification path if possible pomocou začiarkavacieho políčka a kliknite na Next.

using_custom_certificate_16

d)Password, type a password to encrypt the private key you are exporting. Pre potvrdenie hesla ho zadajte znova v poli Confirm password a potom kliknite na Next.

validation-status-icon-warning Dôležité:

Prístupová fráza certifikátu nesmie obsahovať nasledujúce znaky: " \ Tieto znaky spôsobujú kritické chyby počas inicializácie agenta.

using_custom_certificate_17

e)File name, type a file name and path for the .pfx file that will store the exported certificate and private key. Kliknite na Next a potom na Finish.

details_hoverPoznámka:

Príklad vyššie znázorňuje, ako vytvoriť certifikát pre ESET Management Agenta. Rovnaký postup platí aj pre vytvorenie certifikátov pre ESMC Server.

Tento certifikát nie je možné použiť na podpísanie ďalšieho nového certifikátu vo Web Console.

7.Exportujte certifikačnú autoritu:

a)Otvorte Server Manager a kliknite na Tools > Certification Authority.

b)V stromovej štruktúre Certification Authority (Local) vyberte možnosť Your Server (usually FQDN) > Properties > karta General a kliknite na View Certificate.

c)Na karte Details kliknite na Copy to File. Otvorí sa sprievodca Certificate Export Wizard.

d)V okne Export File Format vyberte DER encoded binary X.509 (.CER) a kliknite na Next.

e)Kliknite na Browse, vyberte umiestnenie, kde chcete uložiť .cer súbor, a následne kliknite na Next.

f)Certifikačná autorita bude vyexportovaná po kliknutí na Finish.

Podrobné inštrukcie týkajúce sa používania vlastných certifikátov v ESMC nájdete v nasledujúcej kapitole.