ESET 联机帮助

搜索 简体字
选择类别
选择主题

ESET PROTECT 的自定义证书

如果您拥有自己的 PKI(公共密钥基础架构)并且希望 ESET PROTECT 使用您的自定义证书实现组件之间的通信,请查看下面的示例。此示例在 Windows Server 2012 R2 上执行。在其他 Windows 版本中,屏幕截图可能会有所不同,但常规步骤相同。


warning

请勿使用有效期短的证书(例如,90 天有效的 Let's Encrypt),以避免其频繁替换的复杂过程。

如果管理移动设备,不建议使用自签名证书(包括由 ESET PROTECT CA 签名的证书),因为并非所有移动设备都允许用户接受自签名证书。建议使用由第三方证书颁发机构提供的自定义证书。


note

可以使用 OpenSSL 来创建新的自签名证书。有关详细信息,请参阅我们的知识库文章

所需的服务器角色:

Active Directory 域服务。

安装了独立根 CA 的 Active Directory 证书服务。

 

1.打开管理控制台并添加证书管理单元:

a)以本地管理员组成员的身份登录服务器。

b)运行 mmc.exe 以打开管理控制台。

c)单击文件并选择添加/删除管理单元…(或按 CTRL+M)。

d)选择左侧窗格中的证书并单击添加

using_custom_certificate_02

e)选择计算机帐户并单击下一步

f)确保选择本地计算机(默认)并单击完成

g)单击确定

2.创建自定义证书请求

a)双击证书(本地计算机)以将其展开。

b)双击个人以将其展开。右键单击证书并依次选择所有任务 > 高级操作,然后选择创建自定义请求。

using_custom_certificate_05

c)证书注册向导窗口将打开,请单击下一步

d)选择不使用注册策略继续并单击下一步以继续。

using_custom_certificate_06

e)从下拉列表中选择(无模板)旧密钥并确保选择 PKCS #10 请求格式。单击下一步

using_custom_certificate_07

f)单击箭头以展开详细信息部分,然后单击属性

using_custom_certificate_08

g)常规选项卡中,键入证书的友好名称,您还可以键入说明(可选)。

h)主题选项卡中,执行以下操作:

主题名称部分中,从类型下的下拉列表中选择常用名,在字段中输入 era server,然后单击添加CN=era server 将显示在右侧的信息框中。如果您正在常用名值字段中为 ESET Management 服务器代理类型 era agent 创建证书请求。


important

常用名必须包含以下字符串之一:“server”或“agent”,具体取决于要创建的证书请求。

i)备用名称部分中,从类型下的下拉列表中选择 DNS 并在字段中输入 *(星号),然后单击添加按钮。


important

对于 ESET PROTECT 服务器和所有服务器代理,主体别名 (SAN) 应定义为“DNS:*”。

using_custom_certificate_09

j)扩展选项卡中,通过单击箭头展开密钥用法部分。从可用选项中添加以下内容:数字签名密钥协议密钥加密。取消选中将这些密钥用法标成关键


important

确保在密钥使用 > 密钥证书签名下选择以下 3 个选项:

数字签名

密钥协议

密钥加密

using_custom_certificate_10

k)私钥选项卡中,执行以下操作:

i.通过单击箭头展开加密服务提供程序部分。将显示所有加密服务提供程序 (CSP) 的列表。确保仅选择 Microsoft RSA SChannel 加密提供程序(加密)


note

取消选择除了 Microsoft RSA SChannel 加密提供程序(加密)之外的所有 CSP。

using_custom_certificate_11

i.展开密钥选项部分。在密钥大小菜单中,设置一个至少为 2048 的值。选择使私钥可以导出

ii.展开密钥类型部分,然后选择 Exchange。单击应用,并检查设置。

l)单击确定。将显示证书信息。单击下一步按钮以继续。单击浏览以选择将保存证书签名请求 (CSR) 的位置。键入文件名,并确保 Base 64 处于选中状态。

using_custom_certificate_12

m)单击完成以生成 CSR。

 

3.要导入您的自定义证书请求,请按照下面的步骤操作:

a)打开服务器管理器,然后依次单击工具 > 证书颁发机构

b)证书颁发机构(本地)树中,依次选择您的服务器(通常为 FQDN) > 属性,然后选择策略模块选项卡。单击属性,然后选择将证书请求状态设置为未决。管理员必须明确地颁发证书。否则,它将无法正常工作。如果需要更改此设置,必须重新启动 Active Directory 证书服务。

using_custom_certificate_13

c)证书颁发机构(本地)树中,请依次选择您的服务器(通常为 FQDN) > 所有任务 > 提交新请求并导航到之前在步骤 2 中生成的 CSR 文件。

d)证书将添加到未决请求下。在右侧导航窗格中选择 CSR。在操作菜单中,依次选择所有任务 > 颁发

using_custom_certificate_14

4.已颁发的自定义证书导出到 .tmp 文件。

a)选择左侧窗格中的已颁发证书。右键单击要导出的证书,然后依次单击所有任务 > 导出二进制数据

b)导出二进制数据对话框中,从下拉列表中选择二进制证书。在导出选项中,单击将二进制数据保存到文件,然后单击确定

using_custom_certificate_15

c)在“保存二进制数据”对话框中,移动到要保存证书的文件位置,然后单击保存

5.导入 ..tmp 文件。

a)导航到“证书(本地计算机)”> 右键单击“个人”,依次选择“所有任务”>“导入”。

b)单击下一步

c)使用浏览找到您保存的 .tmp 二进制文件并单击打开。依次选择“将所有证书置于以下存储”> 个人。单击下一步

d)单击完成以导入证书。

6.将包括私钥的证书导出为 .pfx 文件。

a)证书(本地计算机)中,展开个人并单击证书,选择要导出的新证书,然后在操作菜单上指向所有任务 > 导出

b)证书导出向导中,单击是,导出私钥。(此选项仅在私钥标记为可导出并且您有权访问私钥时显示。)

c)在“导出文件格式”下,选择个人信息交换 -PKCS #12 (.PFX),选中包括证书路径中的所有证书(如果可能)旁的复选框,然后单击下一步

using_custom_certificate_16

d)密码,键入密码以加密要导出的私钥。在确认密码字段中,再次键入相同的密码,然后单击下一步


warning

证书密码中不得包含以下字符:" \ 这些字符在初始化服务器代理期间会导致严重错误。

using_custom_certificate_17

e)文件名,为将存储导出的证书和私钥的 .pfx 文件键入文件名和路径。单击下一步,然后单击完成


note

上述示例介绍如何创建 ESET Management 服务器代理证书。为 ESET PROTECT 服务器证书重复相同步骤。

您无法在 Web 控制台中使用此证书签名其他新证书。

7.导出证书颁发机构:

a)打开服务器管理器,然后依次单击工具 > 证书颁发机构

b)证书颁发机构(本地)树中,依次选择您的服务器(通常为 FQDN) > 属性 > 常规选项卡,然后单击查看证书

c)详细信息选项卡中,单击复制到文件。将打开证书导出向导

d)导出文件模板窗口中,选择 DER 编码的二进制 X.509 (.CER),然后单击下一步

e)单击浏览以选择将保存 .cer 文件的位置,然后单击下一步

f)单击完成以导出证书颁发机构。

有关使用 ESET PROTECT 中的自定义证书的分步说明,请参见下一章节