ESET 線上說明

搜尋 繁體字
選取類別
選取主題

搭配 ESET PROTECT On-Prem 的自訂憑證

如果您在環境內有自己的 PKI (公開金鑰基礎結構),而且想要 ESET PROTECT On-Prem 使用您的自訂憑證在其元件之間進行通訊,請參閱以下範例。此範例會在 Windows Server 2012 R2 上執行。螢幕擷取畫面可能因 Windows 版本而異,但一般程序維持不變。


warning

請勿使用有效性短的憑證 (例如 Let's Encrypt 的有效性為 90 天),以避開其頻繁替換的複雜過程。

如果您在管理行動裝置,不建議使用自我簽署憑證 (包括由 ESET PROTECT On-Prem CA 簽署的憑證),因為並非所有的行動裝置都能讓使用者接受自我簽署憑證。建議使用由第三方憑證授權單位提供的自訂憑證。


note

您可以使用 OpenSSL 建立新的自我簽署憑證。如需詳細資訊,請參閱我們的知識庫文章

必要伺服器角色:

Active Directory 網域服務。

已安裝 Stand-Alone Root CA 的 Active Directory 憑證服務。

1.開啟 [管理主控台],然後新增 [憑證] 嵌入式管理單元:

a)以本機管理員群組的成員身分登入伺服器。

b)執行 mmc.exe 來開啟管理主控台。

c)按一下 [檔案],然後選取 [新增/移除嵌入式管理單元...] (或按 CTRL+M)。

d)在左窗格中選取 [憑證],然後按一下 [新增]

using_custom_certificate_02

e)選取 [電腦帳戶],再按 [下一步]

f)確定已選取 [本機電腦] (預設值),然後按一下 [完成]

g)按一下 [確定]

2.建立 [自訂憑證要求]

a)按兩下 [憑證] (本機電腦) 來展開它。

b)按兩下 [個人] 來展開它。用滑鼠右鍵按一下 [憑證] 並選取 [所有工作] > [進階操作],然後選擇 [建立自訂要求]。

using_custom_certificate_05

c)憑證註冊精靈視窗即會開啟,請按一下 [下一步]

d)選取 [在沒有註冊原則的情況下繼續],再按一下 [下一步] 以繼續。

using_custom_certificate_06

e)從下拉式清單中選擇 [(沒有範本) 舊版金鑰],並確定已選取 PKCS #10 要求格式。按一下 [下一步]

using_custom_certificate_07

f)按一下箭號以展開 [詳細資料] 區段並按一下 [內容]

using_custom_certificate_08

g)[一般] 索引標籤中,為您的憑證輸入 [易記名稱],您也可以輸入 [說明] (選用)。

h)[主體] 索引標籤中,請執行下列動作:

[主體名稱] 區段中,從 [類型] 下的下拉清單中選取 [常用名稱],將 era server 輸入 [值] 欄位,然後按一下 [新增]CN=era server 將出現在右邊的資訊方塊中。如果您針對 ESET Management 代理程式建立憑證要求,請在 [通訊名稱值] 欄位中輸入 era agent


important

常見名稱必須包含下列其中一個字串:"server" 或 "agent",視您要建立的憑證要求而定。

i)[替代名稱] 區段中,從 [類型] 下的下拉清單中選擇 DNS,並將 * (星號) 輸入至 [值] 欄位,然後按一下 [新增] 按鈕。


important

對於 ESET PROTECT 伺服器和所有代理程式,主旨替代名稱 (SAN) 應該定義為「DNS:*」。

using_custom_certificate_09

j)[副檔名] 索引標籤中,按一下箭頭展開 [金鑰使用方法] 區段。從可用選項中新增下列選項:[數位簽章][金鑰合約][金鑰編密]。取消選取 [令這些金鑰使用方法成為關鍵] 選項。


important

請確保在 [金鑰使用方法] > [金鑰憑證簽署] 下選取這 3 個選項:

數位簽章

金鑰合約

金鑰加密

using_custom_certificate_10

k)[私密金鑰] 索引標籤中,執行下列動作:

i.按一下箭頭展開 [密碼編譯服務提供者] 區段。會顯示所有密碼編譯服務提供者 (CSP)。確定只選取 [Microsoft RSA SChannel 密碼編譯提供者] (加密)


note

取消選取 [Microsoft RSA SChannel 密碼編譯提供者] (加密) 以外的所有其他 CSP。

using_custom_certificate_11

i.展開 [金鑰] [選項] 區段。在 [金鑰大小] 功能表中,設定至少 2048 的值。選取 [可匯出私密金鑰]

ii.展開 [金鑰類型] 區段並選取 [交換]。按一下 [套用],並檢查您的設定。

l)按一下 [確定]。將顯示憑證資訊。按一下 [下一步] 按鈕繼續。按一下 [瀏覽],以選取用來儲存憑證簽署要求 (CSR) 的位置。輸入檔案名稱,並確定選取 [Base 64]

using_custom_certificate_12

m)按一下 [完成] 以產生 CSR。

 

3.若要匯入您的自訂憑證要求,請依照下列步驟:

a)開啟 [伺服器管理員]並按一下 [工具] > [憑證授權單位]

b)[憑證授權單位 (本機)] 樹狀結構中,選取 [您的伺服器] (通常為 FQDN) > [內容],然後選取 [原則模組] 索引標籤。按一下 [內容 並選取 [將憑證要求的狀態設定為擱置。系統管理員必須明確發行憑證]。否則,這無法正常運作。如果您需要變更此設定,您必須重新啟動 Active Directory 憑證服務。

using_custom_certificate_13

c)[憑證授權單位] (本機) 樹狀結構中,選取 [您的伺服器] (通常為 FQDN) > [所有工作] > [提交新要求...],然後瀏覽至您先前在步驟 2 中產生的 CSR 檔案。

d)憑證將新增至 [擱置的要求] 下方。在右瀏覽窗格中選取 CSR。在 [動作] 功能表中,選取 [所有工作] > [發出]

using_custom_certificate_14

4.[發出的自訂憑證] 匯出至 .tmp 檔案。

a)選取左窗格中的 [發出的憑證]。用滑鼠右鍵按一下您要匯出的憑證,然後按一下 [所有工作] > [匯出二進位資料...]

b)[匯出二進位資料] 對話方塊中,從下拉清單中選擇 [二進位檔案憑證]。在 [匯出] 選項中,按一下 [將二進位資料儲存到檔案],然後按一下 [確定]

using_custom_certificate_15

c)在 [儲存二進位資料] 對話方塊中,移動至您要儲存憑證的檔案位置,然後按一下 [儲存]

5.匯入 ..tmp 檔案。

a)移至 [憑證] (本機電腦) > 用滑鼠右鍵按一下 [個人],選取 [所有工作] > [匯入...]。

b)按一下 [下一步]

c)使用 [瀏覽] 找出儲存的 .tmp 二進位檔案,然後按一下 [開啟]。選取 [將所有憑證放入以下的存放區] > [個人]。按一下 [下一步]

d)按一下 [完成] 匯入憑證。

6.將包括私密金鑰的憑證匯出至 .pfx 檔案。

a)[憑證] (本機電腦) 中展開 [個人],然後按一下 [憑證]、選取您要匯出的新憑證、在 [動作] 功能表上指向 [所有工作] > [匯出...]

b)[憑證匯出精靈] 中,按一下 [是,匯出私密金鑰]。(只在私密金鑰標示為可匯出,而且您有私密金鑰存取權時,此選項才會顯示。)

c)在 [匯出檔案格式] 下,選取 [Personal Information Exchange -PKCS #12 (.PFX)]、選取 [如果可能的話,包含憑證路徑中的所有憑證] 核取方塊,再按一下 [下一步]

using_custom_certificate_16

d)[密碼],輸入要加密您正要匯出的私密金鑰的密碼。在 [確認密碼] 中,再次輸入相同密碼,然後按一下 [下一步]


warning

憑證密碼不得包含下列字元:" \ 這些字元會在初始化代理程式期間造成嚴重錯誤。

using_custom_certificate_17

e)[檔案 名稱],輸入 .pfx 檔案的名稱和路徑,而此檔案將儲存已匯出的憑證和私密金鑰。按一下 [下一步],然後按一下 [完成]


note

上面範例顯示如何建立 ESET Management 伺服器憑證。對 ESET PROTECT 伺服器憑證重複相同步驟。

您可以使用此憑證在 Web 主控台中簽署其他新憑證。

7.匯出憑證授權單位:

a)開啟 [伺服器管理員]並按一下 [工具] > [憑證授權單位]

b)[憑證授權單位 (本機)] 樹狀結構中,選取 [您的伺服器] (通常為 FQDN) > [內容] > [一般],然後選取 [檢視憑證] 索引標籤。

c)[詳細資料] 索引標籤中按一下 [複製到檔案][憑證匯出精靈] 將會開啟。

d)[匯出檔案格式] 視窗中,選取 [DER 加密二進位檔案 X.509 (.CER)] 並按一下 [下一步]

e)按一下 [瀏覽],以選取用來儲存 .cer 檔案的位置並按一下 [下一步]

f)按一下 [完成] 匯入憑證授權單位。

如需在 ESET PROTECT On-Prem 中使用自訂憑證的逐步指示,請參閱下一章節