ESET PROTECT 的自定义证书
如果您拥有自己的 PKI(公共密钥基础架构)并且希望 ESET PROTECT 使用您的自定义证书实现组件之间的通信,请查看下面的示例。此示例在 Windows Server 2012 R2 上执行。在其他 Windows 版本中,屏幕截图可能会有所不同,但常规步骤相同。
|
•请勿使用有效期短的证书(例如,90 天有效的 Let's Encrypt),以避免其频繁替换的复杂过程。 •如果管理移动设备,不建议使用自签名证书(包括由 ESET PROTECT CA 签名的证书),因为并非所有移动设备都允许用户接受自签名证书。建议使用由第三方证书颁发机构提供的自定义证书。 |
|
可以使用 OpenSSL 来创建新的自签名证书。有关详细信息,请参阅我们的知识库文章。 |
所需的服务器角色:
•Active Directory 域服务。
•安装了独立根 CA 的 Active Directory 证书服务。
1.打开管理控制台并添加证书管理单元:
a)以本地管理员组成员的身份登录服务器。
b)运行 mmc.exe 以打开管理控制台。
c)单击文件并选择添加/删除管理单元…(或按 CTRL+M)。
d)选择左侧窗格中的证书并单击添加。
e)选择计算机帐户并单击下一步。
f)确保选择本地计算机(默认)并单击完成。
g)单击确定。
2.创建自定义证书请求:
a)双击证书(本地计算机)以将其展开。
b)双击个人以将其展开。右键单击证书并依次选择所有任务 > 高级操作,然后选择创建自定义请求。
c)证书注册向导窗口将打开,请单击下一步。
d)选择不使用注册策略继续并单击下一步以继续。
e)从下拉列表中选择(无模板)旧密钥并确保选择 PKCS #10 请求格式。单击下一步。
f)单击箭头以展开详细信息部分,然后单击属性。
g)在常规选项卡中,键入证书的友好名称,您还可以键入说明(可选)。
h)在主题选项卡中,执行以下操作:
在主题名称部分中,从类型下的下拉列表中选择常用名,在值字段中输入 era server,然后单击添加。CN=era server 将显示在右侧的信息框中。如果您正在常用名值字段中为 ESET Management 服务器代理类型 era agent 创建证书请求。
|
常用名必须包含以下字符串之一:“server”或“agent”,具体取决于要创建的证书请求。 |
i)在备用名称部分中,从类型下的下拉列表中选择 DNS 并在值字段中输入 *(星号),然后单击添加按钮。
|
对于 ESET PROTECT 服务器和所有服务器代理,主体别名 (SAN) 应定义为“DNS:*”。 |
j)在扩展选项卡中,通过单击箭头展开密钥用法部分。从可用选项中添加以下内容:数字签名、密钥协议、密钥加密。取消选中将这些密钥用法标成关键。
|
确保在密钥使用 > 密钥证书签名下选择以下 3 个选项: •数字签名 •密钥协议 •密钥加密 |
k)在私钥选项卡中,执行以下操作:
i.通过单击箭头展开加密服务提供程序部分。将显示所有加密服务提供程序 (CSP) 的列表。确保仅选择 Microsoft RSA SChannel 加密提供程序(加密)。
|
取消选择除了 Microsoft RSA SChannel 加密提供程序(加密)之外的所有 CSP。 |
i.展开密钥选项部分。在密钥大小菜单中,设置一个至少为 2048 的值。选择使私钥可以导出。
ii.展开密钥类型部分,然后选择 Exchange。单击应用,并检查设置。
l)单击确定。将显示证书信息。单击下一步按钮以继续。单击浏览以选择将保存证书签名请求 (CSR) 的位置。键入文件名,并确保 Base 64 处于选中状态。
m)单击完成以生成 CSR。
3.要导入您的自定义证书请求,请按照下面的步骤操作:
a)打开服务器管理器,然后依次单击工具 > 证书颁发机构。
b)在证书颁发机构(本地)树中,依次选择您的服务器(通常为 FQDN) > 属性,然后选择策略模块选项卡。单击属性,然后选择将证书请求状态设置为未决。管理员必须明确地颁发证书。否则,它将无法正常工作。如果需要更改此设置,必须重新启动 Active Directory 证书服务。
c)在证书颁发机构(本地)树中,请依次选择您的服务器(通常为 FQDN) > 所有任务 > 提交新请求并导航到之前在步骤 2 中生成的 CSR 文件。
d)证书将添加到未决请求下。在右侧导航窗格中选择 CSR。在操作菜单中,依次选择所有任务 > 颁发。
4.将已颁发的自定义证书导出到 .tmp 文件。
a)选择左侧窗格中的已颁发证书。右键单击要导出的证书,然后依次单击所有任务 > 导出二进制数据。
b)在导出二进制数据对话框中,从下拉列表中选择二进制证书。在导出选项中,单击将二进制数据保存到文件,然后单击确定。
c)在“保存二进制数据”对话框中,移动到要保存证书的文件位置,然后单击保存。
5.导入 ..tmp 文件。
a)导航到“证书(本地计算机)”> 右键单击“个人”,依次选择“所有任务”>“导入”。
b)单击下一步。
c)使用浏览找到您保存的 .tmp 二进制文件并单击打开。依次选择“将所有证书置于以下存储”> 个人。单击下一步。
d)单击完成以导入证书。
6.将包括私钥的证书导出为 .pfx 文件。
a)在证书(本地计算机)中,展开个人并单击证书,选择要导出的新证书,然后在操作菜单上指向所有任务 > 导出。
b)在证书导出向导中,单击是,导出私钥。(此选项仅在私钥标记为可导出并且您有权访问私钥时显示。)
c)在“导出文件格式”下,选择个人信息交换 -PKCS #12 (.PFX),选中包括证书路径中的所有证书(如果可能)旁的复选框,然后单击下一步。
d)密码,键入密码以加密要导出的私钥。在确认密码字段中,再次键入相同的密码,然后单击下一步。
|
证书密码中不得包含以下字符:" \ 这些字符在初始化服务器代理期间会导致严重错误。 |
e)文件名,为将存储导出的证书和私钥的 .pfx 文件键入文件名和路径。单击下一步,然后单击完成。
|
上述示例介绍如何创建 ESET Management 服务器代理证书。为 ESET PROTECT 服务器证书重复相同步骤。 您无法在 Web 控制台中使用此证书签名其他新证书。 |
7.导出证书颁发机构:
a)打开服务器管理器,然后依次单击工具 > 证书颁发机构。
b)在证书颁发机构(本地)树中,依次选择您的服务器(通常为 FQDN) > 属性 > 常规选项卡,然后单击查看证书。
c)在详细信息选项卡中,单击复制到文件。将打开证书导出向导。
d)在导出文件模板窗口中,选择 DER 编码的二进制 X.509 (.CER),然后单击下一步。
e)单击浏览以选择将保存 .cer 文件的位置,然后单击下一步。
f)单击完成以导出证书颁发机构。
有关使用 ESET PROTECT 中的自定义证书的分步说明,请参见下一章节。