ESET 联机帮助

搜索 简体字
选择类别
选择主题

ESET PROTECT On-Prem 的自定义证书

如果您拥有自己的 PKI(公共密钥基础架构)并且希望 ESET PROTECT On-Prem 使用您的自定义证书实现组件之间的通信,请查看下面的示例。此示例在 Windows Server 2012 R2 上执行。在其他 Windows 版本中,屏幕截图可能会有所不同,但常规步骤相同。


warning

请勿使用有效期短的证书(例如,90 天有效的 Let's Encrypt),以避免其频繁替换的复杂过程。

如果管理移动设备,不建议使用自签名证书(包括由 ESET PROTECT On-Prem CA 签名的证书),因为并非所有移动设备都允许用户接受自签名证书。建议使用由第三方证书颁发机构提供的自定义证书。


note

可以使用 OpenSSL 来创建新的自签名证书。有关详细信息,请参阅我们的知识库文章

所需的服务器角色:

Active Directory 域服务。

安装了独立根 CA 的 Active Directory 证书服务。

1.打开管理控制台并添加证书管理单元:

a)以本地管理员组成员的身份登录服务器。

b)运行 mmc.exe 以打开管理控制台。

c)单击文件并选择添加/删除管理单元…(或按 CTRL+M)。

d)选择左侧窗格中的证书并单击添加

using_custom_certificate_02

e)选择计算机帐户并单击下一步

f)确保选择本地计算机(默认)并单击完成

g)单击确定

2.创建自定义证书请求

a)双击证书(本地计算机)以将其展开。

b)双击个人以将其展开。右键单击证书并依次选择所有任务 > 高级操作,然后选择创建自定义请求。

using_custom_certificate_05

c)证书注册向导窗口将打开,请单击下一步

d)选择不使用注册策略继续并单击下一步以继续。

using_custom_certificate_06

e)从下拉列表中选择(无模板)旧密钥并确保选择 PKCS #10 请求格式。单击下一步

using_custom_certificate_07

f)单击箭头以展开详细信息部分,然后单击属性

using_custom_certificate_08

g)常规选项卡中,键入证书的友好名称,您还可以键入说明(可选)。

h)主题选项卡中,执行以下操作:

主题名称部分中,从类型下的下拉列表中选择常用名,在字段中输入 era server,然后单击添加CN=era server 将显示在右侧的信息框中。如果您正在常用名值字段中为 ESET Management 服务器代理类型 era agent 创建证书请求。


important

常用名必须包含以下字符串之一:“server”或“agent”,具体取决于要创建的证书请求。

i)备用名称部分中,从类型下的下拉列表中选择 DNS 并在字段中输入 *(星号),然后单击添加按钮。


important

对于 ESET PROTECT 服务器和所有服务器代理,主体别名 (SAN) 应定义为“DNS:*”。

using_custom_certificate_09

j)扩展选项卡中,通过单击箭头展开密钥用法部分。从可用选项中添加以下内容:数字签名密钥协议密钥加密。取消选中将这些密钥用法标成关键


important

确保在密钥使用 > 密钥证书签名下选择以下 3 个选项:

数字签名

密钥协议

密钥加密

using_custom_certificate_10

k)私钥选项卡中,执行以下操作:

i.通过单击箭头展开加密服务提供程序部分。将显示所有加密服务提供程序 (CSP) 的列表。确保仅选择 Microsoft RSA SChannel 加密提供程序(加密)


note

取消选择除了 Microsoft RSA SChannel 加密提供程序(加密)之外的所有 CSP。

using_custom_certificate_11

i.展开密钥选项部分。在密钥大小菜单中,设置一个至少为 2048 的值。选择使私钥可以导出

ii.展开密钥类型部分,然后选择 Exchange。单击应用,并检查设置。

l)单击确定。将显示证书信息。单击下一步按钮以继续。单击浏览以选择将保存证书签名请求 (CSR) 的位置。键入文件名,并确保 Base 64 处于选中状态。

using_custom_certificate_12

m)单击完成以生成 CSR。

 

3.要导入您的自定义证书请求,请按照下面的步骤操作:

a)打开服务器管理器,然后依次单击工具 > 证书颁发机构

b)证书颁发机构(本地)树中,依次选择您的服务器(通常为 FQDN) > 属性,然后选择策略模块选项卡。单击属性,然后选择将证书请求状态设置为未决。管理员必须明确地颁发证书。否则,它将无法正常工作。如果需要更改此设置,必须重新启动 Active Directory 证书服务。

using_custom_certificate_13

c)证书颁发机构(本地)树中,请依次选择您的服务器(通常为 FQDN) > 所有任务 > 提交新请求并导航到之前在步骤 2 中生成的 CSR 文件。

d)证书将添加到未决请求下。在右侧导航窗格中选择 CSR。在操作菜单中,依次选择所有任务 > 颁发

using_custom_certificate_14

4.已颁发的自定义证书导出到 .tmp 文件。

a)选择左侧窗格中的已颁发证书。右键单击要导出的证书,然后依次单击所有任务 > 导出二进制数据

b)导出二进制数据对话框中,从下拉列表中选择二进制证书。在导出选项中,单击将二进制数据保存到文件,然后单击确定

using_custom_certificate_15

c)在“保存二进制数据”对话框中,移动到要保存证书的文件位置,然后单击保存

5.导入 ..tmp 文件。

a)导航到“证书(本地计算机)”> 右键单击“个人”,依次选择“所有任务”>“导入”。

b)单击下一步

c)使用浏览找到您保存的 .tmp 二进制文件并单击打开。依次选择“将所有证书置于以下存储”> 个人。单击下一步

d)单击完成以导入证书。

6.将包括私钥的证书导出为 .pfx 文件。

a)证书(本地计算机)中,展开个人并单击证书,选择要导出的新证书,然后在操作菜单上指向所有任务 > 导出

b)证书导出向导中,单击是,导出私钥。(此选项仅在私钥标记为可导出并且您有权访问私钥时显示。)

c)在“导出文件格式”下,选择个人信息交换 -PKCS #12 (.PFX),选中包括证书路径中的所有证书(如果可能)旁的复选框,然后单击下一步

using_custom_certificate_16

d)密码,键入密码以加密要导出的私钥。在确认密码字段中,再次键入相同的密码,然后单击下一步


warning

证书密码中不得包含以下字符:" \ 这些字符在初始化服务器代理期间会导致严重错误。

using_custom_certificate_17

e)文件名,为将存储导出的证书和私钥的 .pfx 文件键入文件名和路径。单击下一步,然后单击完成


note

上述示例介绍如何创建 ESET Management 服务器代理证书。为 ESET PROTECT 服务器证书重复相同步骤。

您无法在 Web 控制台中使用此证书签名其他新证书。

7.导出证书颁发机构:

a)打开服务器管理器,然后依次单击工具 > 证书颁发机构

b)证书颁发机构(本地)树中,依次选择您的服务器(通常为 FQDN) > 属性 > 常规选项卡,然后单击查看证书

c)详细信息选项卡中,单击复制到文件。将打开证书导出向导

d)导出文件模板窗口中,选择 DER 编码的二进制 X.509 (.CER),然后单击下一步

e)单击浏览以选择将保存 .cer 文件的位置,然后单击下一步

f)单击完成以导出证书颁发机构。

有关使用 ESET PROTECT On-Prem 中的自定义证书的分步说明,请参见下一章节