Prilagođeni certifikati s programom ESET PROTECT On-Prem
Ako imate vlastitu infrastrukturu javnog ključa (PKI) i želite da ESET PROTECT On-Prem upotrebljava vaše prilagođene certifikate za komunikaciju među komponentama, pogledajte primjer u nastavku. Ovaj primjer izvršen je na sustavu Windows Server 2012 R2. Snimke zaslona mogu se razlikovati u drugim verzijama Windowsa, no opći je postupak isti.
Nemojte upotrebljavati certifikate s kratkim trajanjem valjanosti (na primjer, certifikati Let's Encrypt koji vrijede 90 dana) kako biste izbjegli kompleksnu proceduru njihove česte zamjene. |
Za stvaranje novih samostalno potpisanih certifikata možete upotrijebiti OpenSSL. Dodatne informacije potražite u članku u bazi znanja. |
Potrebne uloge servera:
•Servisi domene Active Directory.
•Usluge izdavanja certifikata Active Directory (AD CS) s instaliranim samostalnim korijenskim izdavateljem certifikata.
1.Otvorite Upravljačku konzolu i dodajte dodatni alat Certifikati:
a)Prijavite se na server kao član lokalne administratorske grupe.
b)Pokrenite mmc.exe da biste otvorili Upravljačku konzolu.
c)Kliknite Datoteka i odaberite Dodaj/ukloni dodatni alat… (ili pritisnite CTRL+M).
d)Odaberite Certifikati u lijevom oknu i kliknite gumb Dodaj.
e)Odaberite Računalni račun i kliknite Sljedeće.
f)Provjerite je li odabrano Lokalno računalo (standardno) i kliknite Završi.
g)Kliknite U redu.
2.Stvorite Zahtjev za prilagođeni certifikat:
a)Dvaput kliknite Certifikati (lokalno računalo) da biste ih proširili.
b)Dvaput kliknite Osobno da biste proširili sadržaj. Desnom tipkom miša kliknite Certifikati i odaberite Svi zadaci > Napredne radnje pa odaberite Stvori prilagođeni zahtjev.
c)Otvorit će se prozor čarobnjaka za prijavu certifikata, kliknite Dalje.
d)Odaberite opciju Nastavi bez pravila prijave i kliknite Dalje za nastavak.
e)Odaberite (Bez predloška) Naslijeđen ključ iz padajućeg popisa i provjerite je li odabran format zahtjeva PKCS #10. Kliknite Dalje.
f)Kliknite strelicu da biste proširili odjeljak Pojedinosti i zatim kliknite Svojstva.
g)U kartici Općenito upišite Neslužbeni naziv za svoj certifikat. Također možete unijeti opis (neobavezno).
h)U kartici Predmet učinite sljedeće:
U odjeljku Naziv predmeta odaberite Uobičajeni naziv iz padajućeg popisa pod Vrsta, unesite era server u polje Vrijednost pa kliknite Dodaj. U okviru s informacijama sa strane prikazat će se CN=era server. Ako stvarate zahtjev za certifikat za ESET Management agent, upišite era agent u polje vrijednosti Uobičajeni naziv.
Uobičajeni naziv mora sadržavati jedan od sljedećih nizova: „server” ili „agent”, ovisno o tome koji zahtjev za certifikat želite stvoriti. |
i)U odjeljku Alternativni naziv odaberite DNS iz padajućeg izbornika pod Vrsta i unesite * (zvjezdica) u polje Vrijednost pa kliknite gumb Dodaj.
Alternativni naziv predmeta (SAN) treba definirati kao "DNS:*" za ESET PROTECT server i za sve agente. |
j)U kartici Proširenja proširite odjeljak Upotreba ključa tako da kliknete strelicu. Dodajte sljedeće iz Dostupnih opcija: Digitalni potpis, Slaganje ključa, Šifriranje ključa. Poništite odabir opcije Učini ove upotrebe ključa ključnima.
Obavezno odaberite ove 3 opcije u odjeljku Upotreba ključa > Potpisivanje certifikata ključa: •digitalni potpis •slaganje ključa •šifriranje ključa |
k)Na kartici Privatni ključ učinite sljedeće:
i.Proširite odjeljak Davatelj usluga šifriranja tako da kliknete strelicu. Prikazat će se popis svih davatelja usluga šifriranja (CSP-ovi). Provjerite je li odabran samo Microsoft RSA SChannel davatelj usluga šifriranja (šifriranje).
Poništite odabir svih drugih CSP-ova osim Microsoft RSA SChannel davatelja usluga šifriranja (šifriranje). |
i.Proširite odjeljak Mogućnosti ključa. U izborniku Veličina ključa postavite vrijednost od barem 2048. Odaberite Učini privatni ključ dostupnim za izvoz.
ii.Proširite odjeljak Vrsta ključa i odaberite opciju Razmjena. Kliknite Primijeni i provjerite svoje postavke.
l)Kliknite U redu. Prikazat će se informacije o certifikatu. Kliknite gumb Dalje za nastavak. Kliknite Pregledaj da biste odabrali lokaciju na koju će se spremiti zahtjev za potpisivanje certifikata (CSR). Upišite naziv datoteke i provjerite jeste li odabrali opciju Baza 64.
m)Kliknite Završi da biste generirali CSR.
3.Da biste uvezli zahtjev za prilagođeni certifikat, slijedite korake u nastavku:
a)Otvorite Upravitelj servera i kliknite Alati > Izdavatelj certifikata.
b)U stablu Izdavatelj certifikata (lokalni) odaberite karticu Vaš server (obično FQDN) > Svojstva pa odaberite karticu Modul s pravilima. Kliknite Svojstva i odaberite Postavi status zahtjeva za certifikat na „na čekanju”. Administrator mora izričito izdati certifikat. U suprotnom neće ispravno raditi. Ako trebate promijeniti tu postavku, morate ponovno pokrenuti usluge izdavanja certifikata Active Directory.
c)U stablu Izdavatelj certifikata (lokalni) odaberite Vaš server (obično FQDN) > Svi zadaci > Pošalji novi zahtjev i idite do CSR datoteke koju ste stvorili u 2. koraku.
d)Certifikat će se dodati u Zahtjeve na čekanju. Odaberite CSR u navigacijskom oknu. U izborniku Radnja odaberite Svi zadaci > Problem.
4.Izvezite Izdani prilagođeni certifikat u .tmp datoteku.
a)Odaberite Izdani certifikati u lijevom oknu. Desnom tipkom miša kliknite certifikat koji želite izvesti i kliknite Svi zadaci > Izvoz binarnih podataka.
b)U prozoru Izvoz binarnih podataka odaberite Binarni certifikat iz padajućeg popisa. U opciji Mogućnosti izvoza kliknite Spremi binarne podatke u datoteku pa kliknite U redu.
c)U prozoru Spremanje binarnih podataka prebacite se na lokaciju datoteke na koju želite spremiti certifikat pa kliknite Spremi.
5.Uvezite datoteku .tmp.
a)Idite na Certifikat (lokalno računalo) > desnom tipkom miša kliknite Osobno i odaberite Svi zadaci > Uvoz.
b)Kliknite Dalje.
c)Pronađite .tmp binarnu datoteku koju ste spremili pomoću opcije Pregledaj i kliknite Otvori. Odaberite Stavi sve certifikate u sljedeće spremište > Osobno. Kliknite Dalje.
d)Kliknite Završi da biste uvezli certifikat.
6.Izvezite certifikat zajedno s privatnim ključem u .pfx datoteku.
a)Pod Certifikati (lokalno računalo) proširite Osobno i kliknite Certifikati, odaberite novi certifikat koji želite izvesti, u izborniku Radnja pokažite na Svi zadaci > Izvoz.
b)U Čarobnjaku za izvoz certifikata kliknite Da, izvezi privatni ključ. (Ta će se opcija pojaviti samo ako je privatni ključ označen kao dostupan za izvoz i ako imate pristup privatnom ključu.)
c)Pod Format datoteke za izvoz odaberite Razmjena osobnih podataka -PKCS #12 (.PFX), odaberite potvrdni okvir pored opcije Uključi sve certifikate u put certificiranja ako je to moguće pa kliknite Dalje.
d)Lozinka, upišite lozinku za šifriranje privatnog ključa koji izvozite. U polje Potvrdi lozinku ponovno upišite istu lozinku pa kliknite Dalje.
Pristupni izraz za certifikat ne smije sadržavati sljedeće znakove: " \ Ti znakovi uzrokuju kritičnu pogrešku tijekom pokretanja agenta. |
e)Naziv datoteke, upišite naziv datoteke i put .pfx datoteke u koju će se pohraniti izvezeni certifikat i privatni ključ. Kliknite Dalje i zatim Završi.
Prethodni primjer pokazuje kako stvoriti certifikat ESET Management agenta. Ponovite iste korake za certifikate ESET PROTECT servera. Ne možete upotrijebiti ovaj certifikat da biste potpisali još jedan novi certifikat na web konzoli. |
7.Izvoz izdavatelja certifikata:
a)Otvorite Upravitelj servera i kliknite Alati > Izdavatelj certifikata.
b)U stablu Izdavatelj certifikata (lokalni) odaberite karticu Vaš server (obično FQDN) > Svojstva > Općenito i kliknite opciju Prikaži certifikat.
c)Na kartici Pojedinosti kliknite Kopiraj u datoteku. Otvorit će se Čarobnjak za izvoz certifikata.
d)U prozoru Format datoteke za izvoz odaberite DER šifrirani binarni podatak X.509 (.CER) i kliknite Dalje.
e)Kliknite Pregledaj da biste odabrali lokaciju na koju će se spremiti .cer datoteka, a zatim kliknite Dalje.
f)Kliknite Završi da biste izvezli izdavatelja certifikata.
Detaljne upute za upotrebu prilagođenih certifikata u programu ESET PROTECT On-Prem potražite u sljedećem poglavlju.