搭配 ESET PROTECT On-Prem 的自訂憑證
如果您在環境內有自己的 PKI (公開金鑰基礎結構),而且想要 ESET PROTECT On-Prem 使用您的自訂憑證在其元件之間進行通訊,請參閱以下範例。此範例會在 Windows Server 2012 R2 上執行。螢幕擷取畫面可能因 Windows 版本而異,但一般程序維持不變。
|
•請勿使用有效性短的憑證 (例如 Let's Encrypt 的有效性為 90 天),以避開其頻繁替換的複雜過程。 •如果您在管理行動裝置,不建議使用自我簽署憑證 (包括由 ESET PROTECT On-Prem CA 簽署的憑證),因為並非所有的行動裝置都能讓使用者接受自我簽署憑證。建議使用由第三方憑證授權單位提供的自訂憑證。 |
|
您可以使用 OpenSSL 建立新的自我簽署憑證。如需詳細資訊,請參閱我們的知識庫文章。 |
必要伺服器角色:
•Active Directory 網域服務。
•已安裝 Stand-Alone Root CA 的 Active Directory 憑證服務。
1.開啟 [管理主控台],然後新增 [憑證] 嵌入式管理單元:
a)以本機管理員群組的成員身分登入伺服器。
b)執行 mmc.exe 來開啟管理主控台。
c)按一下 [檔案],然後選取 [新增/移除嵌入式管理單元...] (或按 CTRL+M)。
d)在左窗格中選取 [憑證],然後按一下 [新增]。
e)選取 [電腦帳戶],再按 [下一步]。
f)確定已選取 [本機電腦] (預設值),然後按一下 [完成]。
g)按一下 [確定]。
2.建立 [自訂憑證要求]:
a)按兩下 [憑證] (本機電腦) 來展開它。
b)按兩下 [個人] 來展開它。用滑鼠右鍵按一下 [憑證] 並選取 [所有工作] > [進階操作],然後選擇 [建立自訂要求]。
c)憑證註冊精靈視窗即會開啟,請按一下 [下一步]。
d)選取 [在沒有註冊原則的情況下繼續],再按一下 [下一步] 以繼續。
e)從下拉式清單中選擇 [(沒有範本) 舊版金鑰],並確定已選取 PKCS #10 要求格式。按一下 [下一步]。
f)按一下箭號以展開 [詳細資料] 區段並按一下 [內容]。
g)在 [一般] 索引標籤中,為您的憑證輸入 [易記名稱],您也可以輸入 [說明] (選用)。
h)在 [主體] 索引標籤中,請執行下列動作:
在 [主體名稱] 區段中,從 [類型] 下的下拉清單中選取 [常用名稱],將 era server 輸入 [值] 欄位,然後按一下 [新增]。CN=era server 將出現在右邊的資訊方塊中。如果您針對 ESET Management 代理程式建立憑證要求,請在 [通訊名稱值] 欄位中輸入 era agent。
|
常見名稱必須包含下列其中一個字串:"server" 或 "agent",視您要建立的憑證要求而定。 |
i)在 [替代名稱] 區段中,從 [類型] 下的下拉清單中選擇 DNS,並將 * (星號) 輸入至 [值] 欄位,然後按一下 [新增] 按鈕。
|
對於 ESET PROTECT 伺服器和所有代理程式,主旨替代名稱 (SAN) 應該定義為「DNS:*」。 |
j)在 [副檔名] 索引標籤中,按一下箭頭展開 [金鑰使用方法] 區段。從可用選項中新增下列選項:[數位簽章]、[金鑰合約]、[金鑰編密]。取消選取 [令這些金鑰使用方法成為關鍵] 選項。
|
請確保在 [金鑰使用方法] > [金鑰憑證簽署] 下選取這 3 個選項: •數位簽章 •金鑰合約 •金鑰加密 |
k)在 [私密金鑰] 索引標籤中,執行下列動作:
i.按一下箭頭展開 [密碼編譯服務提供者] 區段。會顯示所有密碼編譯服務提供者 (CSP)。確定只選取 [Microsoft RSA SChannel 密碼編譯提供者] (加密)。
|
取消選取 [Microsoft RSA SChannel 密碼編譯提供者] (加密) 以外的所有其他 CSP。 |
i.展開 [金鑰] [選項] 區段。在 [金鑰大小] 功能表中,設定至少 2048 的值。選取 [可匯出私密金鑰]。
ii.展開 [金鑰類型] 區段並選取 [交換]。按一下 [套用],並檢查您的設定。
l)按一下 [確定]。將顯示憑證資訊。按一下 [下一步] 按鈕繼續。按一下 [瀏覽],以選取用來儲存憑證簽署要求 (CSR) 的位置。輸入檔案名稱,並確定選取 [Base 64]。
m)按一下 [完成] 以產生 CSR。
3.若要匯入您的自訂憑證要求,請依照下列步驟:
a)開啟 [伺服器管理員]並按一下 [工具] > [憑證授權單位]。
b)在 [憑證授權單位 (本機)] 樹狀結構中,選取 [您的伺服器] (通常為 FQDN) > [內容],然後選取 [原則模組] 索引標籤。按一下 [內容 並選取 [將憑證要求的狀態設定為擱置。系統管理員必須明確發行憑證]。否則,這無法正常運作。如果您需要變更此設定,您必須重新啟動 Active Directory 憑證服務。
c)在 [憑證授權單位] (本機) 樹狀結構中,選取 [您的伺服器] (通常為 FQDN) > [所有工作] > [提交新要求...],然後瀏覽至您先前在步驟 2 中產生的 CSR 檔案。
d)憑證將新增至 [擱置的要求] 下方。在右瀏覽窗格中選取 CSR。在 [動作] 功能表中,選取 [所有工作] > [發出]。
4.將 [發出的自訂憑證] 匯出至 .tmp 檔案。
a)選取左窗格中的 [發出的憑證]。用滑鼠右鍵按一下您要匯出的憑證,然後按一下 [所有工作] > [匯出二進位資料...]。
b)在 [匯出二進位資料] 對話方塊中,從下拉清單中選擇 [二進位檔案憑證]。在 [匯出] 選項中,按一下 [將二進位資料儲存到檔案],然後按一下 [確定]。
c)在 [儲存二進位資料] 對話方塊中,移動至您要儲存憑證的檔案位置,然後按一下 [儲存]。
5.匯入 ..tmp 檔案。
a)移至 [憑證] (本機電腦) > 用滑鼠右鍵按一下 [個人],選取 [所有工作] > [匯入...]。
b)按一下 [下一步]。
c)使用 [瀏覽] 找出儲存的 .tmp 二進位檔案,然後按一下 [開啟]。選取 [將所有憑證放入以下的存放區] > [個人]。按一下 [下一步]。
d)按一下 [完成] 匯入憑證。
6.將包括私密金鑰的憑證匯出至 .pfx 檔案。
a)在 [憑證] (本機電腦) 中展開 [個人],然後按一下 [憑證]、選取您要匯出的新憑證、在 [動作] 功能表上指向 [所有工作] > [匯出...]
b)在 [憑證匯出精靈] 中,按一下 [是,匯出私密金鑰]。(只在私密金鑰標示為可匯出,而且您有私密金鑰存取權時,此選項才會顯示。)
c)在 [匯出檔案格式] 下,選取 [Personal Information Exchange -PKCS #12 (.PFX)]、選取 [如果可能的話,包含憑證路徑中的所有憑證] 核取方塊,再按一下 [下一步]。
d)[密碼],輸入要加密您正要匯出的私密金鑰的密碼。在 [確認密碼] 中,再次輸入相同密碼,然後按一下 [下一步]。
|
憑證密碼不得包含下列字元:" \ 這些字元會在初始化代理程式期間造成嚴重錯誤。 |
e)[檔案 名稱],輸入 .pfx 檔案的名稱和路徑,而此檔案將儲存已匯出的憑證和私密金鑰。按一下 [下一步],然後按一下 [完成]。
|
上面範例顯示如何建立 ESET Management 伺服器憑證。對 ESET PROTECT 伺服器憑證重複相同步驟。 您可以使用此憑證在 Web 主控台中簽署其他新憑證。 |
7.匯出憑證授權單位:
a)開啟 [伺服器管理員]並按一下 [工具] > [憑證授權單位]。
b)在 [憑證授權單位 (本機)] 樹狀結構中,選取 [您的伺服器] (通常為 FQDN) > [內容] > [一般],然後選取 [檢視憑證] 索引標籤。
c)在 [詳細資料] 索引標籤中按一下 [複製到檔案]。[憑證匯出精靈] 將會開啟。
d)在 [匯出檔案格式] 視窗中,選取 [DER 加密二進位檔案 X.509 (.CER)] 並按一下 [下一步]。
e)按一下 [瀏覽],以選取用來儲存 .cer 檔案的位置並按一下 [下一步]。
f)按一下 [完成] 匯入憑證授權單位。
如需在 ESET PROTECT On-Prem 中使用自訂憑證的逐步指示,請參閱下一章節。