Vlastné certifikáty pre ESET PROTECT On-Prem
Ak máte svoju vlastnú PKI (infraštruktúru verejných kľúčov) a chcete, aby ESET PROTECT On-Prem používal vaše vlastné certifikáty na komunikáciu medzi jednotlivými súčasťami, pozrite si príklad nižšie. Tento príklad bol vykonaný na systéme Windows Server 2012 R2. Niektoré obrazovky sa môžu do malej miery líšiť v závislosti od konkrétnej verzie operačného systému Windows, avšak cieľ tohto postupu ostáva rovnaký.
•Nepoužívajte certifikáty s krátkou platnosťou (napr. Let's Encrypt, ktoré sú platné iba 90 dní), aby ste sa vyhli zložitému postupu pri ich častej výmene. •Pri správe mobilných zariadení neodporúčame používať certifikáty s vlastným podpisom (vrátane certifikátov podpísaných certifikačnou autoritou ESET PROTECT On-Prem), pretože niektoré mobilné zariadenia takéto certifikáty neakceptujú. Odporúčame používať vlastný certifikát vystavený certifikačnou autoritou tretej strany. |
Na vytvorenie nových certifikátov s vlastným podpisom môžete použiť OpenSSL. Viac informácií nájdete v nasledujúcom článku databázy znalostí spoločnosti ESET. |
Požadované serverové roly:
•Active Directory Domain Services.
•Active Directory Certificate Services s nainštalovanou samostatnou koreňovou certifikačnou autoritou.
1.Otvorte Management Console a pridajte snap-in Certificates:
a)Prihláste sa na server ako člen lokálnej skupiny správcov.
b)Spustite Management Console pomocou príkazu mmc.exe.
c)Kliknite na File a vyberte možnosť Add/Remove Snap-in (prípadne použite klávesovú skratku CTRL + M).
d)Vyberte položku Certificates v ľavej časti okna a kliknite na Add.
e)Zvoľte možnosť Computer Account a kliknite na Next.
f)Uistite sa, že ste zvolili možnosť Local Computer a kliknite na tlačidlo Finish.
g)Kliknite na OK.
2.Vytvorte Custom Certificate Request:
a)Dvojitým kliknutím rozbaľte ponuku Certificates (Local Computer).
b)Dvojitým kliknutím rozbaľte ponuku Personal. Pravým tlačidlom kliknite na Certificates, vyberte možnosť All Tasks > Advanced Operations a zvoľte Create Custom Request.
c)V okne sprievodcu pre registráciu certifikátu kliknite na Next.
d)Zvoľte možnosť Proceed without enrollment policy a pokračujte kliknutím na tlačidlo Next.
e)Z roletového menu vyberte možnosť (No Template) Legacy Key a uistite sa, že máte vybratý formát PKCS #10. Kliknite na Ďalej.
f)Kliknite na šípku pre rozbalenie sekcie Details a následne kliknite na Properties.
g)Na karte General zadajte Friendly name pre váš certifikát, pričom môžete zadať aj popis.
h)Na karte Subject vykonajte nasledovné:
V sekcii Subject name vyberte z roletového menu Type položku Common Name. Zadajte era server ako hodnotu do poľa Value a kliknite na Add. CN=era server sa následne zobrazí ako informácia v poli napravo. Ak vytvárate žiadosť o vydanie certifikátu pre ESET Management Agenta, do poľa hodnoty pre Common name zadajte era agent.
Common Name musí obsahovať jeden z nasledujúcich reťazcov v závislosti od toho, aký Certificate Request chcete vytvoriť: „server“ alebo „agent“. |
i)V sekcii Alternative name vyberte z roletového menu Type položku DNS. Zadajte * (hviezdičku) ako hodnotu do poľa Value a kliknite na tlačidlo Add.
Subject Alternative Name (SAN) by mal byť definovaný ako „DNS:*“ pre ESET PROTECT Server a pre všetky agenty. |
j)Na karte Extensions rozbaľte sekciu Key usage kliknutím na šípku. Vyberte nasledujúce položky: Digital signature, Key agreement a Key encipherment. Zrušte výber položky Make these key usages critical.
Uistite sa, že ste vybrali nasledujúce 3 možnosti v sekcii Key usage > Key certificate signing: •Digital signature •Key agreement •Key encipherment |
k)Na karte Private Key vykonajte nasledovné:
i.Rozbaľte sekciu Cryptographic Service Provider. Následne sa zobrazí zoznam všetkých poskytovateľov kryptografických služieb (CSP). Uistite sa, že je zvolená iba položka Microsoft RSA SChannel Cryptographic Provider (Encryption).
Zrušte výber všetkých ostatných CSP okrem Microsoft RSA SChannel Cryptographic Provider (Encryption). |
i.Rozbaľte sekciu Key Options. V menu Key size nastavte hodnotu aspoň 2048. Označte možnosť Make private key exportable.
ii.Rozbaľte sekciu Key Type a vyberte možnosť Exchange. Kliknite na Apply a skontrolujte si svoje nastavenia.
l)Kliknite na OK. Zobrazia sa informácie o certifikáte. Pokračujte kliknutím na tlačidlo Next. Kliknite na Browse a vyberte umiestnenie, kde chcete uložiť žiadosť o vydanie certifikátu (CSR). Zadajte názov súboru a uistite sa, že je zvolená možnosť Base 64.
m)Vašu žiadosť CSR vygenerujete kliknutím na tlačidlo Finish.
3.Ak chcete importovať svoj vlastný Custom Certificate Request, postupujte podľa krokov uvedených nižšie:
a)Otvorte Server Manager a kliknite na Tools > Certification Authority.
b)V stromovej štruktúre Certification Authority (Local) vyberte možnosť Your Server (usually FQDN) > Properties a následne prejdite na kartu Policy Module. Kliknite na Properties a vyberte možnosť Set the certificate request status to pending. The administrator must explicitly issue the certificate. V opačnom prípade táto operácia nebude fungovať správne. Ak potrebujete toto nastavenie zmeniť, musíte reštartovať certifikačné služby Active Directory.
c)V stromovej štruktúre Certification Authority (Local) vyberte Your Server (usually FQDN) > All Tasks > Submit new request... a vyberte súbor žiadosti CSR, vygenerovaný v kroku 2.
d)Certifikát bude pridaný do zoznamu Pending Requests. V pravom navigačnom okne vyberte konkrétne CSR. V menu Action vyberte All Tasks > Issue.
4.Exportujte Issued Custom Certificate do .tmp súboru.
a)Kliknite na Issued Certificates v ľavom okne. Kliknite pravým tlačidlom na certifikát, ktorý chcete exportovať, a následne kliknite na All Tasks > Export Binary Data.
b)V dialógovom okne Export Binary Data vyberte z roletového menu Binary Certificate. V časti Export options kliknite na Save binary data to a file a potom kliknite na OK.
c)V dialógovom okne Save Binary Data vyberte lokalitu, kde chcete uložiť certifikát a kliknite na Save.
5.Importujte vytvorený ..tmp súbor.
a)Prejdite na Certificate (Local Computer) > kliknite pravým tlačidlom na Personal a vyberte All Tasks > Import.
b)Kliknite na Ďalej.
c)Pomocou tlačidla Browse nájdite vytvorený .tmp binárny súbor a kliknite na Open. Ďalej vyberte možnosť Place all certificates in the following store > Personal. Kliknite na Ďalej.
d)Certifikát sa importuje po kliknutí na tlačidlo Finish.
6.Exportujte certifikát vrátane súkromného kľúča do .pfx súboru.
a)V časti Certificates (Local Computer) rozbaľte možnosť Personal a kliknite na Certificates. Vytvorený certifikát, ktorý chcete exportovať, vyberte v menu Action a prejdite na All Tasks > Export.
b)V sprievodcovi Certificate Export Wizard kliknite na Yes, export the private key. (Táto možnosť sa zobrazí iba v prípade, že je súkromný kľúč označený ako exportovateľný a máte k nemu prístup.)
c)V sekcii Export File Format vyberte možnosť Personal Information Exchange -PKCS #12 (.PFX), následne označte možnosť Include all certificates in the certification path if possible pomocou začiarkavacieho políčka a kliknite na Next.
d)V sekcii Password zadajte heslo, ktoré bude chrániť súkromný kľúč, ktorý exportujete. Pre potvrdenie hesla ho zadajte znova v poli Confirm password a potom kliknite na Next.
Prístupová fráza certifikátu nesmie obsahovať nasledujúce znaky: " \ Tieto znaky spôsobujú kritickú chybu počas inicializácie agenta. |
e)V sekcii File name zadajte názov súboru a cestu pre súbor .pfx, kde bude uložený vyexportovaný certifikát a súkromný kľúč. Kliknite na Next a potom na Finish.
Príklad vyššie znázorňuje, ako vytvoriť certifikát pre ESET Management Agenta. Rovnaký postup platí aj pri vytváraní certifikátov pre ESET PROTECT Server. Tento certifikát nie je možné použiť na podpísanie ďalšieho nového certifikátu vo Web Console. |
7.Exportujte certifikačnú autoritu:
a)Otvorte Server Manager a kliknite na Tools > Certification Authority.
b)V stromovej štruktúre Certification Authority (Local) vyberte možnosť Your Server (usually FQDN) > Properties > karta General a kliknite na View Certificate.
c)Na karte Details kliknite na Copy to File. Otvorí sa sprievodca Certificate Export Wizard.
d)V okne Export File Format vyberte DER encoded binary X.509 (.CER) a kliknite na Next.
e)Kliknite na Browse, vyberte umiestnenie, kde chcete uložiť .cer súbor, a následne kliknite na Next.
f)Certifikačná autorita bude vyexportovaná po kliknutí na Finish.
Podrobné inštrukcie týkajúce sa používania vlastných certifikátov v ESET PROTECT On-Prem nájdete v nasledujúcej kapitole.