˄˅

Προσαρμοσμένα πιστοποιητικά με το ESET PROTECT

Εάν έχετε το δικό σας PKI (Public Key Infrastructure - Υποδομή δημόσιου κλειδιού) και θέλετε το ESET PROTECT να χρησιμοποιεί τα προσαρμοσμένα πιστοποιητικά σας για την επικοινωνία ανάμεσα στα στοιχεία του, δείτε το παρακάτω παράδειγμα. Αυτό το παράδειγμα εκτελείται σε Windows Server 2012 R2. Τα στιγμιότυπα οθόνης μπορεί να διαφέρουν σε άλλες εκδόσεις των Windows, αλλά η γενική διαδικασία είναι ίδια.

•Μην χρησιμοποιείτε πιστοποιητικά με σύντομη ισχύ (για παράδειγμα, Let's Encrypt που ισχύουν για 90 ημέρες) για να αποφύγετε τη σύνθετη διαδικασία της συχνής αντικατάστασής τους.

•Εάν διαχειρίζεστε κινητές συσκευές, δεν συνιστάται να χρησιμοποιείτε αυτο-υπογεγραμμένα πιστοποιητικά (που περιλαμβάνουν πιστοποιητικά που υπογράφονται από την Αρχή έκδοσης πιστοποιητικού του ESET PROTECT), επειδή δεν επιτρέπουν όλες οι κινητές συσκευές στους χρήστες να αποδέχονται αυτο-υπογεγραμμένα πιστοποιητικά. Συνιστάται να χρησιμοποιείτε ένα προσαρμοσμένο πιστοποιητικό που παρέχεται από μια Αρχή έκδοσης πιστοποιητικού άλλου κατασκευαστή.

Μπορείτε να χρησιμοποιήσετε το OpenSSL για να δημιουργήσετε νέα αυτο-υπογεγραμμένα πιστοποιητικά. Για περισσότερες πληροφορίες, δείτε το άρθρο της Γνωσιακής βάσης.

Απαιτούμενοι ρόλοι διακομιστή:

•Υπηρεσίες τομέα Active Directory.

•Υπηρεσίες πιστοποιητικών Active Directory με εγκατεστημένη ριζική ανεξάρτητη αρχή έκδοσης πιστοποιητικών.

1.Ανοίξτε την Κονσόλα διαχείρισης και προσθέστε το συμπληρωματικό πρόγραμμα Πιστοποιητικά:

a)Συνδεθείτε στο διακομιστή ως μέλος της τοπικής ομάδας διαχειριστών.

b)Εκτελέστε το αρχείο mmc.exe για να ανοίξετε την Κονσόλα διαχείρισης.

c)Κάντε κλικ στην επιλογή Αρχείο και επιλέξτε Προσθήκη/Κατάργηση συμπληρωματικού προγράμματος… (ή πιέστε CTRL+M).

d)Επιλέξτε Πιστοποιητικά στο αριστερό πλαίσιο και κάντε κλικ στο στοιχείο Προσθήκη.

using_custom_certificate_02

e)Επιλέξτε Λογαριασμός υπολογιστή και κάντε κλικ στο κουμπί Επόμενο.

f)Βεβαιωθείτε ότι είναι επιλεγμένο το στοιχείο Τοπικός υπολογιστής (προεπιλογή) και κάντε κλικ στο κουμπί Τέλος.

g)Κάντε κλικ στο κουμπί OK.

2.Δημιουργήστε ένα Αίτημα προσαρμοσμένου πιστοποιητικού:

a)Κάντε διπλό κλικ στο στοιχείο Πιστοποιητικά (Τοπικός υπολογιστής) για να το αναπτύξετε.

b)Κάντε διπλό κλικ στο στοιχείο Προσωπικά για να το αναπτύξετε. Κάντε δεξί κλικ στο στοιχείο Πιστοποιητικά και επιλέξτε Όλες οι εργασίες > Λειτουργίες για προχωρημένους και κατόπιν επιλέξτε Δημιουργία προσαρμοσμένου αιτήματος

using_custom_certificate_05

c)Θα ανοίξει το παράθυρο του οδηγού εγγραφής πιστοποιητικών. Κάντε κλικ στο κουμπί Επόμενο.

d)Επιλέξτε το στοιχείο Συνέχεια χωρίς πολιτική εγγραφής και κάντε κλικ στο στοιχείο Επόμενο για να συνεχίσετε.

using_custom_certificate_06

e)Επιλέξτε (Χωρίς πρότυπο) Κλειδί παλαιού τύπου από την αναπτυσσόμενη λίστα και βεβαιωθείτε ότι είναι επιλεγμένη η μορφή αιτήματος PKCS #10. Κάντε κλικ στο στοιχείοΕπόμενο.

using_custom_certificate_07

f)Κάντε κλικ στο βέλος για να αναπτύξετε την ενότητα Λεπτομέρειες και, στη συνέχεια, κάντε κλικ στο στοιχείο Ιδιότητες.

using_custom_certificate_08

g)Στην καρτέλα Γενικά, πληκτρολογήστε ένα Φιλικό όνομα για το πιστοποιητικό σας. Μπορείτε επίσης να προσθέσετε μια περιγραφή (προαιρετικά).

h)Στην καρτέλα Θέμα, κάντε τα εξής:

Στην ενότητα Όνομα θέματος, επιλέξτε Κοινό όνομα από την αναπτυσσόμενη λίστα κάτω από το στοιχείο Τύπος, εισαγάγετε era server στο πεδίο Τιμή και, στη συνέχεια, κάντε κλικ στο στοιχείο Προσθήκη. Θα εμφανιστεί η ένδειξη CN=era server στο πλαίσιο πληροφοριών δεξιά. Εάν δημιουργείτε ένα αίτημα πιστοποιητικού για το φορέα ESET Management, πληκτρολογήστε era agent στο πεδίο τιμής Κοινό όνομα.

Το κοινό όνομα πρέπει να περιέχει μία από τις παρακάτω συμβολοσειρές: «server» ή «agent», ανάλογα με το αίτημα πιστοποιητικού που θέλετε να δημιουργήσετε.

i)Στην ενότητα Εναλλακτικό όνομα, επιλέξτε DNS από την αναπτυσσόμενη λίστα κάτω από το στοιχείο Τύπος και εισαγάγετε * (αστερίσκο) στο πεδίο Τιμή και κατόπιν κάντε κλικ στο κουμπί Προσθήκη.

Το Εναλλακτικό όνομα θέματος (Subject Alternative Name ή SAN) θα πρέπει να καθοριστεί ως «DNS:*» για το διακομιστή ESET PROTECT και για όλους τους φορείς.

using_custom_certificate_09

j)Στην καρτέλα Επεκτάσεις, αναπτύξτε την ενότητα Χρήση κλειδιού κάνοντας κλικ στο βέλος. Προσθέστε τα εξής από τις διαθέσιμες επιλογές: Ψηφιακή υπογραφή, Αντιστοιχία κλειδιού, Κρυπτογράφηση κλειδιού. Καταργήστε την επιλογή του στοιχείου Αυτές οι χρήσεις κλειδιών να γίνουν κρίσιμες.

Βεβαιωθείτε ότι έχετε επιλέξει αυτές τις 3 επιλογές στην ενότητα Χρήση κλειδιού > Υπογραφή πιστοποιητικού κλειδιού:

•Ψηφιακή υπογραφή

•Αντιστοιχία κλειδιού

•Κρυπτογράφηση κλειδιού

using_custom_certificate_10

k)Στην καρτέλα Ιδιωτικό κλειδί, κάντε τα εξής:

i.Αναπτύξτε την ενότητα Πάροχος κρυπτογραφημένων υπηρεσιών κάνοντας κλικ στο βέλος. Θα εμφανιστεί μια λίστα με όλους τους παρόχους κρυπτογραφημένων υπηρεσιών (CSP). Βεβαιωθείτε ότι έχει επιλεγεί μόνο το στοιχείο Πάροχος κρυπτογράφησης Microsoft RSA SChannel (Κρυπτογράφηση).

Καταργήστε την επιλογή όλων των άλλων παρόχων CSP εκτός από το στοιχείο Πάροχος κρυπτογράφησης Microsoft RSA SChannel (Κρυπτογράφηση).

using_custom_certificate_11

i.Αναπτύξτε την ενότητα Επιλογές κλειδιού. Στο μενού Μέγεθος κλειδιού, ρυθμίστε μια τιμή τουλάχιστον 2048. Επιλέξτε Δυνατότητα εξαγωγής ιδιωτικού κλειδιού.

ii.Αναπτύξτε την ενότητα Τύπος κλειδιού και επιλέξτε Ανταλλαγή. Κάντε κλικ στο στοιχείο Εφαρμογή και ελέγξτε τις ρυθμίσεις σας.

l)Κάντε κλικ στο κουμπί OK. Θα εμφανιστούν οι πληροφορίες πιστοποιητικού. Κάντε κλικ στο κουμπί Επόμενο για να συνεχίσετε. Κάντε κλικ στο στοιχείο Αναζήτηση για να επιλέξετε τη θέση στην οποία θα αποθηκευτεί το αίτημα υπογραφής πιστοποιητικού (CSR). Πληκτρολογήστε το όνομα αρχείου και βεβαιωθείτε ότι έχετε επιλέξει τη ρύθμιση Base 64.

using_custom_certificate_12

m)Κάντε κλικ στο στοιχείο Τέλος για να δημιουργήσετε το CSR.

3.Για να εισαγάγετε το αίτημα προσαρμοσμένου πιστοποιητικού, ακολουθήστε τα παρακάτω βήματα:

a)Ανοίξτε τη Διαχείριση διακομιστή και κάντε κλικ στα στοιχεία Εργαλεία > Αρχή έκδοσης πιστοποιητικών.

b)Στη δομή Αρχή έκδοσης πιστοποιητικών (Τοπική), επιλέξτε Ο διακομιστής σας (συνήθως FQDN) > Ιδιότητες και, στη συνέχεια επιλέξτε την καρτέλα Μονάδα πολιτικής. Κάντε κλικ στο στοιχείο Ιδιότητες και επιλέξτε Καθορισμός της κατάστασης του αιτήματος πιστοποιητικού σε «Εκκρεμεί». Ο διαχειριστής θα πρέπει να εκδώσει ρητά το πιστοποιητικό. Διαφορετικά, δεν θα λειτουργήσει σωστά. Αν απαιτείται να αλλάξετε αυτή τη ρύθμιση, πρέπει να επανεκκινήσετε τις υπηρεσίες πιστοποιητικού του Active Directory.

using_custom_certificate_13

c)Στη δομή Αρχή έκδοσης πιστοποιητικών (Τοπική), επιλέξτε Ο διακομιστής σας (συνήθως FQDN) > Όλες οι εργασίες > Υποβολή νέου αιτήματος και πλοηγηθείτε στο αρχείο CSR που δημιουργήσατε προηγουμένως στο βήμα 2.

d)Το πιστοποιητικό θα προστεθεί στα Εκκρεμή αιτήματα. Επιλέξτε το CSR στο δεξί πλαίσιο πλοήγησης. Στο μενού Ενέργεια, επιλέξτε Όλες οι εργασίες > Έκδοση.

using_custom_certificate_14

4.Εξαγάγετε το Προσαρμοσμένο πιστοποιητικό που έχει εκδοθεί στο αρχείο .tmp.

a)Επιλέξτε το στοιχείο Εκδοθέντα πιστοποιητικά στο αριστερό πλαίσιο. Κάντε δεξί κλικ στο πιστοποιητικό που θέλετε να εξαγάγετε και στο στοιχείο Όλες οι εργασίες > Εξαγωγή δυαδικών δεδομένων.

b)Στο παράθυρο διαλόγου Εξαγωγή δυαδικών δεδομένων, επιλέξτε Δυαδικό πιστοποιητικό από την αναπτυσσόμενη λίστα. Στις Επιλογές εξαγωγής, κάντε κλικ στο στοιχείο Αποθήκευση δυαδικών δεδομένων σε αρχείο και, στη συνέχεια, κάντε κλικ στο κουμπί OK.

using_custom_certificate_15

c)Στο παράθυρο διαλόγου «Αποθήκευση δυαδικών δεδομένων», μεταβείτε στη θέση αρχείου όπου θέλετε να αποθηκεύσετε το πιστοποιητικό και κάντε κλικ στο στοιχείο Αποθήκευση.

5.Εισαγάγετε το αρχείο ..tmp.

a)Μεταβείτε στο στοιχείο Πιστοποιητικό (Τοπικός υπολογιστής) > κάντε δεξί κλικ στην επιλογή «Προσωπικά» και επιλέξτε Όλες οι εργασίες > Εισαγωγή.

b)Κάντε κλικ στο στοιχείοΕπόμενο.

c)Εντοπίστε το αποθηκευμένο δυαδικό αρχείο .tmp, κάνοντας κλικ στο στοιχείο Αναζήτηση και κάντε κλικ στο στοιχείο Άνοιγμα. Επιλέξτε «Τοποθέτηση όλων των πιστοποιητικών στον εξής χώρο αποθήκευσης» > Προσωπικά. Κάντε κλικ στο στοιχείοΕπόμενο.

d)Κάντε κλικ στο στοιχείο Τέλος για να εισαγάγετε το πιστοποιητικό.

6.Εξαγάγετε το πιστοποιητικό μαζί με ένα ιδιωτικό κλειδί στο αρχείο .pfx.

a)Στην ενότητα Πιστοποιητικά (Τοπικός υπολογιστής), αναπτύξτε το στοιχείο Προσωπικά και κάντε κλικ στο στοιχείο Πιστοποιητικά. Επιλέξτε το νέο πιστοποιητικό που \θέλετε να εξαγάγετε στο μενού Ενέργεια, τοποθετήστε το δείκτη του ποντικιού στην επιλογή Όλες οι εργασίες >Εξαγωγή.

b)Στον Οδηγό εξαγωγής πιστοποιητικών, κάντε κλικ στην επιλογή Ναι, να εξαχθεί το ιδιωτικό κλειδί. (Αυτή η επιλογή θα εμφανιστεί μόνο εάν το ιδιωτικό κλειδί έχει επισημανθεί με δυνατότητα εξαγωγής και έχετε πρόσβαση σε αυτό.)

c)Στην ενότητα «Μορφή αρχείου εξαγωγής», επιλέξτε Ανταλλαγή προσωπικών πληροφοριών -PKCS #12 (.PFX), επιλέξτε το πλαίσιο ελέγχου δίπλα στο στοιχείο Να περιλαμβάνονται όλα τα πιστοποιητικά στη διαδρομή πιστοποιητικών εάν είναι δυνατόν και, στη συνέχεια, κάντε κλικ στην επιλογή Επόμενο.

using_custom_certificate_16

d)Στο πεδίο Κωδικός πρόσβασης, πληκτρολογήστε έναν κωδικό πρόσβασης για να κρυπτογραφήσετε το ιδιωτικό κλειδί που εξάγετε. Στο πεδίο Επιβεβαίωση κωδικού πρόσβασης, πληκτρολογήστε ξανά τον ίδιο κωδικό πρόσβασης και κάντε κλικ στο στοιχείο Επόμενο.

Ο κωδικός πρόσβασης του πιστοποιητικού δεν πρέπει να περιέχει τους ακόλουθους χαρακτήρες: " \ Αυτοί οι χαρακτήρες προκαλούν κρίσιμο σφάλμα κατά την αρχικοποίηση του φορέα.

using_custom_certificate_17

e)Στο πεδίο Όνομα αρχείου, πληκτρολογήστε ένα όνομα αρχείου και τη διαδρομή για το αρχείο .pfx, στο οποίο θα αποθηκευτεί το πιστοποιητικό και το ιδιωτικό κλειδί που θα εξαγάγετε. Κάντε κλικ στο στοιχείο Επόμενο και, στη συνέχεια, στο στοιχείο Τέλος.

Το παραπάνω παράδειγμα υποδεικνύει πώς μπορείτε να δημιουργήσετε ένα πιστοποιητικό διακομιστή ESET Management. Επαναλάβετε τα ίδια βήματα για το πιστοποιητικά του διακομιστή ESET PROTECT.

Δεν μπορείτε να χρησιμοποιήσετε αυτό το πιστοποιητικό για να υπογράψετε ένα άλλο νέο πιστοποιητικό στην κονσόλα διαδικτύου.

7.Εξαγωγή αρχής έκδοσης πιστοποιητικού:

a)Ανοίξτε τη Διαχείριση διακομιστή και κάντε κλικ στα στοιχεία Εργαλεία > Αρχή έκδοσης πιστοποιητικών.

b)Στη δομή Αρχή έκδοσης πιστοποιητικών (Τοπική), επιλέξτε Ο διακομιστής σας (συνήθως FQDN) > Ιδιότητες > την καρτέλα Γενικά και κάντε κλικ στο στοιχείο Προβολή πιστοποιητικού.

c)Στην καρτέλα Λεπτομέρειες, κάντε κλικ στο στοιχείο Αντιγραφή σε αρχείο. Θα ανοίξει ο Οδηγός εξαγωγής πιστοποιητικών.

d)Στο παράθυρο Μορφή αρχείου εξαγωγής, επιλέξτε Δυαδικό με κωδικοποίηση DER X.509 (.CER) και κάντε κλικ στο στοιχείο Επόμενο.

e)Κάντε κλικ στο στοιχείο Αναζήτηση για να επιλέξετε τη θέση στην οποία θα αποθηκευτεί το αρχείο .cer και, στη συνέχεια κάντε κλικ στο Επόμενο.

f)Κάντε κλικ στο στοιχείο Τέλος για εξαγωγή της αρχή έκδοσης πιστοποιητικού.

Για οδηγίες βήμα προς βήμα για τη χρήση προσαρμοσμένων πιστοποιητικών στο ESET PROTECT, ανατρέξτε στο επόμενο κεφάλαιο.

˄˅