˄˅

ESET PROTECT 的自定义证书

如果您拥有自己的 PKI（公共密钥基础架构）并且希望 ESET PROTECT 使用您的自定义证书实现组件之间的通信，请查看下面的示例。此示例在 Windows Server 2012 R2 上执行。在其他 Windows 版本中，屏幕截图可能会有所不同，但常规步骤相同。

•请勿使用有效期短的证书（例如，90 天有效的 Let's Encrypt），以避免其频繁替换的复杂过程。

•如果管理移动设备，不建议使用自签名证书（包括由 ESET PROTECT CA 签名的证书），因为并非所有移动设备都允许用户接受自签名证书。建议使用由第三方证书颁发机构提供的自定义证书。

可以使用 OpenSSL 来创建新的自签名证书。有关详细信息，请参阅我们的知识库文章。

所需的服务器角色：

•Active Directory 域服务。

•安装了独立根 CA 的 Active Directory 证书服务。

1.打开管理控制台并添加证书管理单元：

a)以本地管理员组成员的身份登录服务器。

b)运行 mmc.exe 以打开管理控制台。

c)单击文件并选择添加/删除管理单元…（或按 CTRL+M）。

d)选择左侧窗格中的证书并单击添加。

using_custom_certificate_02

e)选择计算机帐户并单击下一步。

f)确保选择本地计算机（默认）并单击完成。

g)单击确定。

2.创建自定义证书请求：

a)双击证书(本地计算机)以将其展开。

b)双击个人以将其展开。右键单击证书并依次选择所有任务 > 高级操作，然后选择创建自定义请求。

using_custom_certificate_05

c)证书注册向导窗口将打开，请单击下一步。

d)选择不使用注册策略继续并单击下一步以继续。

using_custom_certificate_06

e)从下拉列表中选择(无模板)旧密钥并确保选择 PKCS #10 请求格式。单击下一步。

using_custom_certificate_07

f)单击箭头以展开详细信息部分，然后单击属性。

using_custom_certificate_08

g)在常规选项卡中，键入证书的友好名称，您还可以键入说明（可选）。

h)在主题选项卡中，执行以下操作：

在主题名称部分中，从类型下的下拉列表中选择常用名，在值字段中输入 era server，然后单击添加。CN=era server 将显示在右侧的信息框中。如果您正在常用名值字段中为 ESET Management 服务器代理类型 era agent 创建证书请求。

常用名必须包含以下字符串之一：“server”或“agent”，具体取决于要创建的证书请求。

i)在备用名称部分中，从类型下的下拉列表中选择 DNS 并在值字段中输入 *（星号），然后单击添加按钮。

对于 ESET PROTECT 服务器和所有服务器代理，主体别名 (SAN) 应定义为“DNS:*”。

using_custom_certificate_09

j)在扩展选项卡中，通过单击箭头展开密钥用法部分。从可用选项中添加以下内容：数字签名、密钥协议、密钥加密。取消选中将这些密钥用法标成关键。

确保在密钥使用 > 密钥证书签名下选择以下 3 个选项：

•数字签名

•密钥协议

•密钥加密

using_custom_certificate_10

k)在私钥选项卡中，执行以下操作：

i.通过单击箭头展开加密服务提供程序部分。将显示所有加密服务提供程序 (CSP) 的列表。确保仅选择 Microsoft RSA SChannel 加密提供程序(加密)。

取消选择除了 Microsoft RSA SChannel 加密提供程序(加密)之外的所有 CSP。

using_custom_certificate_11

i.展开密钥选项部分。在密钥大小菜单中，设置一个至少为 2048 的值。选择使私钥可以导出。

ii.展开密钥类型部分，然后选择 Exchange。单击应用，并检查设置。

l)单击确定。将显示证书信息。单击下一步按钮以继续。单击浏览以选择将保存证书签名请求 (CSR) 的位置。键入文件名，并确保 Base 64 处于选中状态。

using_custom_certificate_12

m)单击完成以生成 CSR。

3.要导入您的自定义证书请求，请按照下面的步骤操作：

a)打开服务器管理器，然后依次单击工具 > 证书颁发机构。

b)在证书颁发机构(本地)树中，依次选择您的服务器(通常为 FQDN) > 属性，然后选择策略模块选项卡。单击属性，然后选择将证书请求状态设置为未决。管理员必须明确地颁发证书。否则，它将无法正常工作。如果需要更改此设置，必须重新启动 Active Directory 证书服务。

using_custom_certificate_13

c)在证书颁发机构(本地)树中，请依次选择您的服务器(通常为 FQDN) > 所有任务 > 提交新请求并导航到之前在步骤 2 中生成的 CSR 文件。

d)证书将添加到未决请求下。在右侧导航窗格中选择 CSR。在操作菜单中，依次选择所有任务 > 颁发。

using_custom_certificate_14

4.将已颁发的自定义证书导出到 .tmp 文件。

a)选择左侧窗格中的已颁发证书。右键单击要导出的证书，然后依次单击所有任务 > 导出二进制数据。

b)在导出二进制数据对话框中，从下拉列表中选择二进制证书。在导出选项中，单击将二进制数据保存到文件，然后单击确定。

using_custom_certificate_15

c)在“保存二进制数据”对话框中，移动到要保存证书的文件位置，然后单击保存。

5.导入 ..tmp 文件。

a)导航到“证书(本地计算机)”> 右键单击“个人”，依次选择“所有任务”>“导入”。

b)单击下一步。

c)使用浏览找到您保存的 .tmp 二进制文件并单击打开。依次选择“将所有证书置于以下存储”> 个人。单击下一步。

d)单击完成以导入证书。

6.将包括私钥的证书导出为 .pfx 文件。

a)在证书(本地计算机)中，展开个人并单击证书，选择要导出的新证书，然后在操作菜单上指向所有任务 > 导出。

b)在证书导出向导中，单击是，导出私钥。（此选项仅在私钥标记为可导出并且您有权访问私钥时显示。）

c)在“导出文件格式”下，选择个人信息交换 -PKCS #12 (.PFX)，选中包括证书路径中的所有证书(如果可能)旁的复选框，然后单击下一步。

using_custom_certificate_16

d)密码，键入密码以加密要导出的私钥。在确认密码字段中，再次键入相同的密码，然后单击下一步。

证书密码中不得包含以下字符：" \ 这些字符在初始化服务器代理期间会导致严重错误。

using_custom_certificate_17

e)文件名，为将存储导出的证书和私钥的 .pfx 文件键入文件名和路径。单击下一步，然后单击完成。

上述示例介绍如何创建 ESET Management 服务器代理证书。为 ESET PROTECT 服务器证书重复相同步骤。

您无法在 Web 控制台中使用此证书签名其他新证书。

7.导出证书颁发机构：

a)打开服务器管理器，然后依次单击工具 > 证书颁发机构。

b)在证书颁发机构(本地)树中，依次选择您的服务器(通常为 FQDN) > 属性 > 常规选项卡，然后单击查看证书。

c)在详细信息选项卡中，单击复制到文件。将打开证书导出向导。

d)在导出文件模板窗口中，选择 DER 编码的二进制 X.509 (.CER)，然后单击下一步。

e)单击浏览以选择将保存 .cer 文件的位置，然后单击下一步。

f)单击完成以导出证书颁发机构。

有关使用 ESET PROTECT 中的自定义证书的分步说明，请参见下一章节。

˄˅