Použití vlastních certifikátů v ESET PROTECT

Komunikace jednotlivých komponent ESET PROTECTPRODUCT infrastruktury je šifrována pomocí certifikátu, které vystavuje vestavěná PRODUCT certifikační autorita. Pokud vlastníte infrastrukturu vlastních klíčů PKI, můžete si vygenerovat vlastní certifikáty a ty následně použít pro ověřování komunikace. Tento návod popisuje generování Windows Server 2012 R2. Mějte na paměti, že na starším operačním systému Windows může být postup odlišný.


note

Nové certifikáty můžete vytvořit rovněž pomocí OpenSSL. Více informací naleznete v Databázi znalostí.

Vyžadované serverové role:

Active Directory Domain Services.

Active Directory Certificate Services s nainstalovanou Stand-Alone Root CA.

 

1.Otevřete Management Console a přidejte snap-in Certificates:

a)Přihlaste se na server jako administrátor.

b)Pomocí příkazu mmc.exe otevřete konzolu pro správu.

c)V hlavním menu klikněte na File a vyberte možnost Add/Remove Snap-in… (případně stiskněte klávesovou zkratku CTRL+M).

d)Vyberte položku Certificates a klikněte na tlačítko Add.

using_custom_certificate_02

e)Vyberte Computer Account a klikněte na tlačítko Next.

f)Ujistěte se, že jste vybrali možnost Local Computer a klikněte na tlačítko Finish.

g)Dále klikněte na tlačítko OK.

2.Vytvořte Custom Certificate Request:

a)Ve stromové struktuře přejděte do větve Certificates (Local Computer) .

b)Dále rozbalte větev Personal. Klikněte na Certificates a z kontextové menu vyberte All Tasks > Advanced operations > Create Custom Request...

using_custom_certificate_05

c)V průvodci vydáním certifikátu klikněte na tlačítko Next.

d)Vyberte možnost Proceed without enrollment policy a pokračujte kliknutím na tlačítko Next.

using_custom_certificate_06

e)Z rozbalovacího menu vyberte možnost (No Template) Legacy Key a ujistěte se, že máte vybrán formát PKCS #10. Klikněte na tlačítko Další.

using_custom_certificate_07

f)Rozbalte sekci Details a klikněte na tlačítko Properties.

using_custom_certificate_08

g)Na záložce General zadejte Friendly name, volitelně popis.

h)Na záložce Subject:

V sekci Subject name vyberte z rozbalovacího menu Type položku Common Name. Jako hodnotu zadejte era server a klikněte na tlačítko Add. V informačním poli se následně zobrazí CN=era server. Pokud vytváříte žádost o vydání certifikátu (CSR) pro ESET Management Agenta, jako Common Name zadejte era agent.


important

V závislosti na komponentě musí Common Name obsahovat jeden z těchto řetězců: "server" a "agent".

i)V sekci Alternative name vyberte z rozbalovacího jména Type položku DNS. Jako hodnotu zadejte hvězdičku (*) a klikněte na tlačítko Add


important

Subject Alternative Name (SAN) by měl být pro ESET PROTECT Server a všechny agenty definován jako "DNS:*".

using_custom_certificate_09

j)Na záložce Extensions rozbalte sekci Key usage. Z dostupných možností přidejte následující: Digital signature, Key agreement, Key encipherment. Odškrtněte možnost Make these key usages critical.


important

Ujistěte se, že v sekci Key usage > Key certificate signing máte vybrány níže uvedené možnosti:

Digital signature

Key agreement

Key encipherment

using_custom_certificate_10

k)Na záložce Private Key:

i.Rozbalte sekci Cryptographic Service Provider. Následně uvidíte všechny kryptografické poskytovatele (CSP). Ponechte vybranou pouze položku Microsoft RSA SChannel Cryptographic Provider (Encryption).


note

Zrušte výběr všech ostatních kryptografických poskytovatelů, kromě Microsoft RSA SChannel Cryptographic Provider (Encryption).

using_custom_certificate_11

i.Rozbalte sekci Key Options. Z menu Key size vyberte alespoň 2048. Dále zaškrtněte možnost Make private key exportable.

ii.Rozbalte sekci Key Type a vyberte možnost Exchange. Klikněte na tlačítko Apply a zkontrolujte nastavení.

l)Dále klikněte na tlačítko OK. Zobrazí se informace o certifikátu. Pro pokračování klikněte na tlačítko Next. Klikněte na tlačítko Browse a vyberte umístění, do kterého chcete žádost (CSR) uložit. Následně zadejte název souboru a ujistěte se, že máte vybranou možnost Base 64.

using_custom_certificate_12

m)Žádost vygenerujete kliknutím na tlačítko Finish.

 

3.Importujte Custom Certificate Request a vydejte Custom Certificate z čekajících žádostí.

a)Otevřete Server Manager, klikněte na Tools > Certification Authority.

b)Ze stromové struktury vyberte Certification Authority (Local). Dále klikněte na váš server (obvykle reprezentovaný FQDN) a z kontextového menu vyberte Properties. Přejděte na záložku Policy Module. Klikněte na tlačítko Properties a ujistěte, že jste nastavili Set the certificate request status to pending. The administrator must explicitly issue the certificate. V opačném případě nebude generování fungovat. Změna tohoto nastavení může vyžadovat restart Active Directory CA služby.

using_custom_certificate_13

c)Ze stromové struktury vyberte Certification Authority (Local). Dále klikněte na váš server (obvykle reprezentovaný FQDN) a z kontextového menu vyberte All Tasks > Submit new request…. Vyberte žádost (CSR soubor), kterou jste získali v kroku 2.

d)Certifikát se přidá do seznamu Pending Requests. V pravé části obrazovky vyberte konkrétní CSR. V menu Action vyberte možnost All Tasks > Issue.

using_custom_certificate_14

4.Exportujte Issued Custom Certificate do .tmp souboru.

a)V levé části okna vyberte možnost Issued Certificates. Klikněte na certifikát, který chcete exportovat, a z kontextového menu vyberte možnost All Tasks > Export Binary Data...

b)V dialogovém okně Export Binary Data vyberte z rozbalovacího menu možnost Binary Certificate. V části Export klikněte na Save binary data to a file a potvrďte kliknutím na OK.

using_custom_certificate_15

c)V okně Save Binary Data vyberte umístění, do kterého chcete certifikát uložit a akci dokončete kliknutím na tlačítko Save.

5.Importujte ..tmp soubor.

a)Ze stromové struktury vyberte Certificate (Local Computer)> Personal. Z kontextového menu vyberte možnost All Tasks > Import.

b)Klikněte na tlačítko Další.

c)Klikněte na tlačítko Browse…, vyberte uložený .tmp binární soubor a potvrďte kliknutím na tlačítko Open. Dále vyberte možnost Place all certificates in the following store > Personal a pokračujte kliknutím na tlačítko Next. Klikněte na tlačítko Další.

d)Certifikát importujete kliknutím na tlačítko Finish.

6.Exportujte certifikát včetně privátního klíče do .pfx souboru.

a)Ze stromové struktury vyberte Certificates (Local Computer) > Personal > Certificates. Vyberte certifikát, který chcete exportovat v kontextovém menu klikněte na All Tasks > Export.

b)V průvodci exportováním vyberte možnost Yes, export the private key. (Tato možnost se zobrazí pouze v případě, kdy je umožněn export privátního klíče.)

c)V sekci Export File Format vyberte Personal Information Exchange -PKCS #12 (.PFX), dále zaškrtněte možnost To include all certificates in the certification path, select the Include all certificates in the certification path if possible a pokračujte kliknutím na tlačítko Next.

using_custom_certificate_16

d)Zadejte Heslo, kterým se zašifruje privátní klíč. Do pole Confirm password zadejte ještě jednou heslo pro potvrzení a pokračujte kliknutím na tlačítko Next.


warning

V hesle certifikátu není možné použít následující znaky: " \ Tyto znaky mohou způsobit chybu při inicializaci agenta.

using_custom_certificate_17

e)Zadejte název souboru a cestu, do kterého chcete exportovat .pfx certifikát a privátní klíč. Pokračujte kliknutím na tlačítko Next a Finish.


note

Na tomto příkladu jsme si ukázali, jak můžete vytvořit certifikát pro ESET Management Agenta. Podle stejných kroků můžete vygenerovat certifikát pro ESET PROTECT Server.

Pomocí tohoto certifikátu nemůžete vytvořit další certifikát v ESMC Web Console.

7.Exportujte certifikační autoritu:

a)Otevřete Server Manager, klikněte na Tools > Certification Authority.

b)Ve stromu Certification Authority (Local) vyberte váš server (obvykle reprezentovaný FQDN) > Properties > General a klikněte na View Certificate.

c)Na záložce Details klikněte na tlačítko Copy to File. Následně se zobrazí dialogové okno Certificate Export Wizard.

d)V dialogovém okně Export File Format vyberte DER encoded binary X.509 (.CER) a klikněte na tlačítko Next.

e)Klikněte na tlačítko Browse a vyberte umístění, do kterého chcete .cer soubor uložit, a akci potvrďte kliknutím na tlačítko Next.

f)Kliknutím na tlačítko Dokončit exportujete certifikační autoritu.

Nakonfigurujte komponenty ESET PROTECT infrastruktury tak, aby používaly vaše certifikáty.