ESET PROTECT On-Premのカスタム証明書
環境内に固有のPKI (公開鍵インフラストラクチャ)があり、ESET PROTECT On-Premでカスタム証明書を使用してコンポーネント間の通信を行う場合は、次の手順ですべて設定できます。この例はWindows Server 2012 R2で実行されます。スクリーンショットはWindowsのバージョンによって異なる場合がありますが、一般的な手順は同じです。
|
頻繁な置換の複雑な手順を回避するため、短い有効期間(90日間有効のLet's Encryptなど)の証明書を使用しないでください。 |
|
OpenSSLを使用して、新しい自己署名証明書を作成できます。詳細については、「ナレッジベース記事」を参照してください。 |
必要なサーバーロール:
•Active Directoryドメインサービス。
•Active Directory Certificate ServicesとスタンドアロンRoot CAがインストールされます。
1.管理コンソールを開き、証明書スナップインを追加します。
a)ローカル管理者グループのメンバーとしてサーバーにログインします。
b)mmc.exeを実行し、管理コンソールを開きます。
c)ファイルをクリックし、スナップインの追加と削除…を選択(またはCTRL+Mを押下)します。
d)左のペインで証明書を選択し、追加をクリックします。
e)コンピューターアカウントを選択し、次へをクリックします。
f)ローカルコンピューターが選択(既定)されていることを確認し、完了をクリックします。
g)OKをクリックします。
2.カスタム証明書要求を作成します。
a)証明書(ローカルコンピューター)をダブルクリックして展開します。
b)個人をダブルクリックして展開します。証明書を右クリックし、すべてのタスク > 詳細オプションを選択し、カスタム要求の作成を選択します。
c)証明書登録ウィザードウィンドウが開きます。次へをクリックします。
d)登録ポリシーなしで続行するを選択し、次へをクリックして続行します。
e)ドロップダウンリストから(テンプレートなし)レガシーキーを選択し、PKCS #10要求形式が選択されていることを確認します。次へをクリックします。
f)矢印をクリックして詳細 セクションを展開し、プロパティをクリックします。
g)全般タブで証明書のフレンドリ名を入力します。説明(任意)も入力できます。
h)件名タブで次の手順を実行します。
件名セクションでタイプの下のドロップダウンリストから共通名を選択し、era serverを値フィールドに入力します。次に、追加をクリックします。CN=era serverが横側の情報ボックスに表示されます。ESET Managementエージェントの証明書要求を作成する場合は、共通名値フィールドでera agentを入力します。
|
共通名には次の文字列のいずれかを含める必要があります。"server"、 "agent"(作成する証明書要求によって異なる)。 |
i)代替名 セクションで、タイプの下のドロップダウンリストからDNSを選択し、* (アスタリスク)を値フィールドに入力して、追加ボタンをクリックします。
|
件名代替名(SAN)は、ESET PROTECTサーバーとすべてのエージェントの「DNS: *」として定義してください。 |
j)拡張タブで矢印をクリックして、鍵の使用セクションを展開します。使用可能なオプションから次の項目を追加します。デジタル署名、キーの承諾、 キーの暗号化。これらの鍵使用を重要にするをオフにします。
|
キーの使用 > 鍵証明書署名の下の次の3つのオプションを選択していることを確認してください。 •デジタル署名 •キーの承諾 •キーの暗号化 |
k)秘密鍵タブで次の手順を実行します。
i.矢印をクリックし、暗号化サービスプロバイダーセクションを展開します。すべての暗号化サービスプロバイダー(CSP)の一覧が表示されます。Microsoft RSA SChannel暗号化プロバイダー(暗号化)のみが選択されていることを確認します。
|
Microsoft RSA SChannel暗号化プロバイダー(暗号化)以外のすべてのCSPをオフにします。 |
i.鍵オプションセクションを展開します。鍵サイズメニューで、2048以上の値を設定します。秘密鍵をエクスポート可能にするを選択します。
ii.鍵タイプセクションを展開し、交換を選択します。適用をクリックして設定を確認します。
l)OKをクリックします。証明書情報が表示されます。次へボタンをクリックして続行します。参照をクリックして、証明書署名要求(CSR)が保存される場所を選択します。ファイル名を入力し、Base 64が選択されていることを確認します。
m)完了をクリックして、 CSRを生成します。
3.カスタム証明書要求をインポートするには、次の手順に従います。
a)Server Managerを開き、ツール > 認証局をクリックします。
b)認証局(ローカル)ツリーで、サーバー(通常はFQDN) > プロパティを選択し、ポリシーモジュールタブを選択します。プロパティをクリックし、[証明書要求ステータスを保留に設定する]を選択します。管理者は明示的に証明書を発行する必要があります。そうでない場合は、正常に動作します。この設定を変更する必要がある場合は、Active Directory証明書サービスを再起動する必要があります。
c)認証局(ローカル)ツリーで、サーバー(通常はFQDN) > すべてのタスク > 新しい要求の送信... を選択し、手順2で生成されたCSRファイルに移動します。
d)証明書は保留中の要求に追加されます。ナビゲーションペインでCSRを選択します。アクションメニューで、 すべてのタスク > 発行を選択します。
4.発行されたカスタム証明書を.tmpファイルにエクスポートします。
a)左のペインで発行された証明書をクリックします。エクスポートする証明書を右クリックし、すべてのタスク > バイナリデータのエクスポートをクリックします。
b)[バイナリデータのエクスポート]ダイアログで、ドロップダウンリストからバイナリ証明書を選択します。エクスポートオプションでバイナリデータをファイルに保存を選択し、OKをクリックします。
c)[バイナリデータの保存]ダイアログボックスで、証明書を保存するファイルの場所に移動し、保存をクリックします。
5...tmpファイルをインポートします。
a)証明書(ローカルコンピューター)に移動し、個人を右クリックして、すべてのタスク > インポートを選択します。
b)次へをクリックします。
c)参照を使用して以前に保存された.tmpバイナリファイルを見つけ、開くをクリックします。すべての証明書を次のストアに配置する > 個人を選択します。次へをクリックします。
d)完了をクリックし、証明書をインポートします。
6..pfxファイルへの秘密鍵を含む証明書をエクスポートします。
a)証明書(ローカルコンピューター)で個人を展開し、証明書をクリックして、エクスポートする新しい証明書を選択します。アクションメニューですべてのタスク > エクスポート...を参照します。
b)証明書エクスポートウィザードではい、秘密鍵をエクスポートしますをクリックします。(このオプションは、秘密鍵がエクスポート可能に設定され、秘密鍵にアクセスできる場合にのみ表示されます。)
c)エクスポートファイル形式の下で、Personal Information Exchange -PKCS #12 (.PFX)を選択し、すべての証明書を認証パスに含めるには、可能な場合には認証パスのすべての証明書を含めることを選択するチェックボックスをオンにし、次へをクリックします。
d)パスワード。エクスポートする秘密鍵を暗号化するパスワードを入力します。パスワードの確認フィールドで、同じパスワードをもう一度入力し、次へをクリックします。
|
証明書パスフレーズには、次の文字を含めることはできません:" \ これらの文字は、エージェントの初期化中に重大なエラーが発生する原因となります。 |
e)ファイル名。エクスポートされた証明書と秘密鍵を保存する.pfxファイルのファイル名とパスを入力します。[次へ]をクリックし、[終了]をクリックします。
|
上記の例は、ESET Managementエージェント証明書の作成方法です。ESET PROTECTサーバー証明書で同じ手順を繰り返します。 この証明書を使用して、Webコンソールの別の新しい証明書に署名することはできません。 |
7.認証機関のエクスポート:
a)Server Managerを開き、ツール > 認証局をクリックします。
b)認証局(ローカル)ツリーで、サーバー(通常はFQDN) > プロパティ > 一般タブを選択し、証明書の表示をクリックします。
c)詳細タブで、ファイルにコピーをクリックします。証明書エクスポートウィザードが開きます。
d)エクスポートファイル形式ウィンドウで、DER暗号化バイナリX.509 (.CER)を選択し、次へをクリックします。
e)参照をクリックして、.cerファイルが保存される場所を選択し、次へをクリックします。
f)完了をクリックし、認証局をエクスポートします。
ESET PROTECT On-Premでカスタム証明書を使用するための段階的な手順については、次の章を参照してください。