ESET PROTECT ürünündeki özel sertifikalar
Kendinize ait PKI (genel anahtar altyapısı) varsa ve ESET PROTECT ürününün bileşenleri arasındaki iletişim için özel sertifikalarınızı kullanmasını istiyorsanız aşağıdaki örneğe bakın. Bu örnek Windows Server 2012 R2'de gerçekleştirilir. Ekran görüntüleri Windows'un farklı sürümlerine göre değişebilir, ancak genel işlemler aynıdır.
|
•Sık sık değiştirme işlemlerinin karmaşık sürecini önlemek için geçerlilik süresi kısa olan sertifikaları (örneğin, 90 gün boyunca geçerli olan Let's Encrypt) kullanmayın. •Mobil cihazları yönetiyorsanız tüm mobil cihazlar kullanıcıların kendi kendine imzalanan sertifikaları kabul etmelerine izin vermediği için kendi kendine imzalanan sertifikaları (ESET PROTECT Sertifika Yetkilisi tarafından imzalananlar da dahil) kullanmanızı önermiyoruz. Üçüncü taraf Sertifika Yetkilisi tarafından sağlanan özel bir sertifikanın kullanılması önerilir. |
|
Kendi kendine imzalanan yeni sertifikalar oluşturmak için OpenSSL aracını kullanabilirsiniz. Daha fazla bilgi için Bilgi Bankası makalemize bakın. |
Gerekli sunucu rolleri:
•Active Directory Etki Alanı Hizmetleri.
•Active Directory Sertifika Hizmetleri (Bağımsız Kök Sertifika Yetkilisi Yüklü).
1.Yönetim Konsolu'nu açın ve Sertifika Ek bileşenlerini ekleyin:
a)Yerel Yönetici grubunun üyesi olarak sunucuya giriş yapın.
b)Yönetim Konsolu'nu açmak için mmc.exe dosyasını çalıştırın.
c)Dosya'yı tıklatın ve Ek Bileşen Ekle/Kaldır… öğesini seçin (veya CTRL+M'ye basın).
d)Sol bölmede Sertifikalar'ı seçip Ekle düğmesine basın.
e)Bilgisayar Hesabı'nı seçin ve İleri'yi tıklatın.
f)Yerel Bilgisayar'ın seçildiğinden emin olun (varsayılan) ve Bitir'i tıklatın.
g)Tamam'ı tıklayın.
2.Özel Sertifika İsteği oluşturun:
a)Genişletmek için Sertifikalar (Yerel Bilgisayar) öğesini çift tıklatın.
b)Genişletmek için Kişisel öğesini çift tıklatın. Sertifikalar'ı sağ tıklatın ve Tüm Görevler > Gelişmiş İşlemler'i, ardından Özel İstek Oluştur öğesini seçin.
c)Sertifika Kaydı sihirbaz penceresi açılır, İleri'yi tıklayın.
d)Kayıt ilkesi olmadan devam et'i seçip devam etmek için İleri'yi tıklatın.
e)Açılır listeden (Şablon Yok) Eski Anahtar'ı seçin ve PKCS #10 İstek biçiminin seçili olduğundan emin olun. İleri'yi tıklayın.
f)Ayrıntılar bölümünü genişletmek için oku, ardından Özellikler'i tıklatın.
g)Genel sekmesinde sertifikanız için Kolay ad girin, ayrıca Açıklama da (isteğe bağlı) girebilirsiniz.
h)Konu sekmesinde şunları yapın:
Konu adı bölümünde, Tür altındaki açılır listeden Genel ad'ı seçin ve era server değerini Değer alanına girdikten sonra Ekle'yi tıklatın. CN=era server sağ tarafta bilgi kutusunda görüntülenir. ESET Management Agent için bir sertifika isteği oluşturuyorsanız, Genel ad değer alanına era agent yazın.
|
Genel Ad, oluşturmak istediğiniz Sertifika İsteğine göre şu dizelerden birini içermelidir: "server" veya "agent". |
i)Alternatif ad bölümünde, Tür altındaki açılır listeden DNS'i seçin ve * (yıldız) sembolünü Değer alanına girdikten sonra Ekle düğmesini tıklatın.
|
Konu Alternatif Adı (SAN) ESET PROTECT Server ve tüm Agent’lar için "DNS:*" olarak tanımlanmalıdır. |
j)Uzantılar sekmesinde, oku tıklatarak Anahtar kullanımı bölümünü genişletin. Kullanılabilir seçeneklerden şunları ekleyin: Dijital imza, Anahtar sözleşmesi, Anahtar şifrelemesi. Onay kutusunu kullanarak Bu anahtar kullanımlarını çok önemli durumuna getir seçeneğinin işaretini kaldırın.
|
Anahtar kullanımı > Anahtar sertifikası imzalama altında bu 3 seçeneği belirlediğinizden emin olun: •Dijital imza •Anahtar sözleşmesi •Anahtar şifresi çözme |
k)Özel Anahtar sekmesinde şunları yapın:
i.Oku tıklatarak Şifreleme Hizmeti Sağlayıcısı bölümünü genişletin. Tüm şifreleme hizmeti sağlayıcılarının (CSP) listesi görüntülenir. Yalnızca Microsoft RSA SChannel Şifreleme Sağlayıcısı (Şifreleme) öğesinin seçili olduğundan emin olun.
|
Microsoft RSA SChannel Cryptographic Provider (Encryption) haricindeki tüm diğer CSP'lerin işaretini kaldırın. |
i.Anahtar Seçenekler bölümünü genişletin. Anahtar boyutu menüsünde, en az 2048 olmak üzere bir değer ayarlayın. Özel anahtarı dışa aktarılabilir hale getir seçeneğini işaretleyin.
ii.Anahtar Türü bölümünü genişletin ve Exchange seçeneğini belirleyin. Uygula'yı tıklatın ve ayarlarınızı kontrol edin.
l)Tamam'ı tıklayın. Sertifika bilgileri görüntülenir. Devam etmek için İleri düğmesini tıklatın. Sertifika imzalama isteğinin (CSR) kaydedileceği konumu seçmek için Gözat'ı tıklatın. Dosya adını yazın ve Base 64'ün seçili olduğundan emin olun.
m)CSR'yi oluşturmak için Bitir'i tıklatın.
3.Özel sertifika isteğinizi içe aktarmak için aşağıdaki adımları izleyin:
a)Sunucu Yöneticisi'ni açın ve Araçlar > Sertifika Yetkilisi'ni tıklatın.
b)Sertifika Yetkilisi (Yerel) ağacında, Sunucunuz (genellikle FQDN) > Özellikler > İlke Modülü sekmesini seçin. Özellikler'i tıklatın ve Sertifika isteği durumunu beklemede olarak ayarlayın. Yönetici sertifikayı açık bir şekilde yayınlamalıdır. Aksi halde sertifika düzgün çalışmaz. Bu ayarı değiştirmeniz gerekirse Active Directory sertifika hizmetlerini yeniden başlatmalısınız.
c)Sertifika Yetkilisi (Yerel) ağacında, Sunucunuz (genellikle FQDN) > Tüm Görevler > Yeni istek gönder... öğelerini seçin ve daha önce 2. adımda oluşturulan CSR dosyasına gidin.
d)Sertifika Bekleyen İstekler'e eklenir. Sağ gezinme bölmesinde CSR'yi seçin. Eylem menüsünde Tüm Görevler > Yayınla'yı seçin.
4.Yayınlanan Özel Sertifika'yı .tmp dosyasına aktarın.
a)Sol bölmede Yayınlanan Sertifikalar'ı seçin. Dışa aktarmak istediğiniz sertifikayı sağ tıklatın, Tüm Görevler > İkili Verileri Dışa Aktar...'ı tıklatın.
b)İkili Verileri Dışa Aktar iletişim kutusunda, açılır menüden İkili Sertifika'yı seçin. Dışa Aktarma seçeneklerinde İkili verileri bir dosyaya kaydet'i tıklatıp Tamam'ı tıklatın.
c)İkili Verileri Kaydet iletişim kutusunda, sertifikayı kaydetmek istediğiniz dosya konumuna gidin ve Kaydet'i tıklatın.
5...tmp dosyasını içe aktar.
a)Sertifika (Yerel Bilgisayar)'a gidin > Kişisel'i sağ tıklatın ve Tüm Görevler > İçe Aktar...'ı seçin.
b)İleri'yi tıklayın.
c)Kaydedilmiş olan .tmp ikili dosyasını Gözat seçeneğini kullanarak bulun ve Aç'ı tıklatın. Tüm sertifikaları şu depolamaya yerleştir > Kişisel'i seçin. İleri'yi tıklayın.
d)Sertifikayı içe aktarmak için Bitir'i tıklatın.
6.Sertifikayı özel anahtarla birlikte .pfx dosyasına aktarın.
a)Sertifikalar (Yerel Bilgisayar)'da Kişisel'i genişletin ve Sertifikalar'ı tıklatın, dışa aktarmak istediğiniz yeni sertifikanızı seçip Eylem menüsünde Tüm Görevler > Dışa Aktar...'a yönlendirin.
b)Sertifika Dışa Aktarma Sihirbazı'nda, Evet, özel anahtarı dışa aktar'ı tıklatın. (Bu seçenek yalnızca, özel anahtar dışa aktarılabilir olarak işaretlenmişse ve özel anahtara erişiminiz varsa görüntülenir.)
c)Dışa Aktarma Dosyası Biçimi'nin altında Personal Information Exchange -PKCS #12 (.PFX) seçeneğini belirleyin, Sertifika yolundaki tüm sertifikaları dahil etmek için mümkünse Sertifika yolundaki tüm sertifikaları dahil et onay kutusunu işaretleyip İleri'yi tıklatın.
d)Parola, dışa aktarmakta olduğunuz özel anahtarı şifrelemek için bir parola girin. Parolayı onayla alanında aynı parolayı tekrar girin ve İleri'yi tıklatın.
|
Sertifika parolası şu karakterleri içeremez: " \ Bu karakterler Agent'ın başlatılması sırasında ciddi bir hataya neden olabilir. |
e)Dosya adı, dışa aktarılan sertifikayı ve özel anahtarı depolayacak olan .pfx dosyası için bir dosya adı ve yol girin. İleri'yi ve ardından Bitir'i tıklatın.
|
Yukarıdaki örnek ESET Management Agent sertifikasının nasıl oluşturulduğunu göstermektedir. Aynı adımları ESET PROTECT Server sertifikaları için tekrarlayın. Bu sertifikayı Web Konsolu'nda başka bir yeni sertifika imzalamak için kullanamazsınız. |
7.ERA Sertifika Yetkilisi:
a)Sunucu Yöneticisi'ni açın ve Araçlar > Sertifika Yetkilisi'ni tıklatın.
b)Sertifika Yetkilisi (Yerel) ağacında, Sunucunuz (genellikle FQDN) > Özellikler > Genel sekmesini seçin ve Sertifikayı Görüntüle'yi tıklatın.
c)Ayrıntılar sekmesinde Dosyaya Kopyala'yı tıklatın. Sertifika Dışa Aktarma Sihirbazı'nı açın.
d)Dosya Biçimini Dışa aktar penceresinde DER encoded binary X.509 (.CER) seçeneğini belirleyip İleri'yi tıklatın.
e).cer dosyasının kaydedileceği konumu seçmek için Gözat'ı ardından İleri'yi tıklatın.
f)Sertifika yetkilisini dışa aktarmak için Bitir'i tıklatın.
ESET PROTECT ürününde özel sertifikaları kullanmayla ilgili adım adım talimatlar için sonraki bölüme bakın.