Ajuda on-line ESET

Selecionar categoria
Selecionar tópico

Certificados personalizados com ESET PROTECT On-Prem

Se você tem seu próprio PKI (infraestrutura de chave pública) dentro do seu ambiente e quer que o ESET PROTECT On-Prem use seus certificados personalizados para comunicação entre os componentes, veja o exemplo abaixo. Esse exemplo é executado em um Windows Server 2012 R2. Capturas de tela podem variar em outras versões do windows, mas o procedimento geral permanece o mesmo.


warning

Não use certificados com validade curta (por exemplo, Let's Encrypt que são válidos por 90 dias) para evitar o procedimento complexo de uma substituição frequente.


note

Você pode usar o OpenSSL para criar novos certificados com assinatura própria. Veja nosso artigo da Base de conhecimento para obter mais informações.

Funções de servidor necessárias:

Serviços de domínio do Active Directory.

Certificado de Serviço do Active Directory com o CA de Raiz Autônomo instalado.

1.Abra o Console de gerenciamento e adicione snap-ins de Certificados:

a)Faça logon no servidor como membro do grupo Administrador local.

b)Execute o mmc.exe para abrir o Console de gerenciamento.

c)Clique em Arquivo e selecione Adicionar/remover Snap-in... (ou pressione CTRL+M).

d)Selecione Certificados no painel da esquerda e clique no botão Adicionar.

using_custom_certificate_02

e)Selecione Conta de computador e clique em Avançar.

f)Certifique-se que o Computador Local está selecionado (padrão) e clique em Concluir.

g)Clique em OK.

2.Criar uma Solicitação de certificado personalizado:

a)Clique duas vezes em Certificados (Computador local) para expandir.

b)Clique duas vezes em Pessoal para expandir. Clique com o botão direito em Certificados e selecione Todas as tarefas > Operações avançadas e escolha Criar solicitação personalizada

using_custom_certificate_05

c)A janela do assistente de Inscrição de certificado vai abrir, clique em Avançar.

d)Selecione Continuar sem política de inscrição e clique em Avançar para continuar.

using_custom_certificate_06

e)Escolha (Sem modelo) Chave de legado da lista suspensa e certifique-se de que o formato de solicitação PKCS #10 foi selecionado. Clique em Avançar.

using_custom_certificate_07

f)Clique na seta para abrir a seção Detalhes e clique em Propriedades.

using_custom_certificate_08

g)Na guia Geral, digite o Nome amigável do seu certificado, você também pode digitar a Descrição (opcional).

h)Na guia Assunto, faça o seguinte:

Na seção Nome do assunto, selecione Nome comum na lista suspensa em Tipo e digite era server no campo Valor, então clique em Adicionar. O CN=era server vai aparecer na caixa de informações na lateral. Se você estiver criando uma solicitação de certificado para o Agente ESET Management digite era agent no campo de valor de nome comum.


important

O nome comum deve conter uma dessas strings: "servidor" ou "agente", dependendo de qual Solicitação de certificado você quer criar.

i)Na seção Nome alternativo, escolha DNS da lista suspensa em Tipo e digite * (asterisco) no campo Valor, então clique no botão Adicionar.


important

O Nome alternativo para o assunto (Subject Alternative Name – SAN) deve ser definido como "DNS:*" para o Servidor ESET PROTECT e para todos os agentes.

using_custom_certificate_09

j)Na guia Extensões, abra a seção Uso de chave clicando na seta. Adicione o seguinte das Opções disponíveis: Assinatura digital, Combinação de chave, Criptografia de chave. Desmarque a opção Tornar o uso dessas chaves crítico.


important

Certifique-se de selecionar as três opções sob Uso da chave > Assinatura de certificado da chave:

Assinatura digital

Acordo de chave

Criptografia de chave

using_custom_certificate_10

k)Na guia Chave privada, faça o seguinte:

i.Abra a seção Provedor de serviço criptográfico clicando na seta. Uma lista de todos os provedores de serviços de criptografia (CSP) será exibida. Certifique-se de que somente Microsoft RSA SChannel Cryptographic Provider (Encryption) está selecionado.


note

Desmarcar todos os CSPs que não sejam o Microsoft RSA SChannel Cryptographic Provider (Criptografia).

using_custom_certificate_11

i.Abra a seção Chave Opções. No menu Tamanho da chave, defina um valor de pelo menos 2048. Selecione Tornar chave privada exportável.

ii.Abra a seção Tipo de chave e selecione Exchange. Clique em Aplicar e verifique suas configurações.

l)Clique em OK. Informações do certificado serão exibidas. Clique no botão Avançar para continuar. Clique em Procurar para selecionar o local onde a solicitação de assinatura de certificado (CSR) será salva. Digite o nome do arquivo e certifique-se de que Base 64 está selecionado.

using_custom_certificate_12

m)Clique em Concluir para gerar o CSR.

 

3.Para importar sua solicitação de certificado personalizado, siga as etapas abaixo:

a)Abra o Gerenciador de servidor e clique em Ferramentas > Autoridade de Certificação.

b)Na árvore Autoridade de Certificação (Local), selecione Seu servidor (geralmente FQDN) > Propriedades e selecione a guia Módulo de Política. Clique em Propriedades e selecione Definir o status da solicitação de certificado como pendente. O administrador deve emitir explicitamente o certificado. Caso contrário, ele não vai funcionar adequadamente. Você precisará reiniciar os serviços de certificados do Active Directory se precisar alterar essa configuração.

using_custom_certificate_13

c)Na árvore Autoridade de Certificação (Local), selecione Seu servidor (geralmente FQDN) > Todas as tarefas > Enviar nova solicitação e vá para o arquivo CSR gerado anteriormente na etapa 2.

d)O certificado será adicionado a Solicitações pendentes. Selecione o CSR no painel de navegação. No menu Ação, selecione Todas as tarefas > Emitir.

using_custom_certificate_14

4.Exportar Certificado personalizado emitido para o arquivo .tmp.

a)Selecione Certificados Emitidos no painel da esquerda. Clique com o botão direito no certificado que você deseja exportar e clique em Todas as tarefas > Exportar dados binários.

b)No diálogo Exportar dados binários, escolha Certificado binário da lista suspensa. Em Opções de exportação, clique em Salvar dados binários para um arquivo e clique em OK.

using_custom_certificate_15

c)Na caixa de diálogo Salvar dados binários, vá para o local do arquivo onde deseja salvar o certificado e clique em Salvar.

5.Importar o arquivo ..tmp.

a)Vá para Certificado (Computador local) > clique com o botão direito em Pessoal, selecione Todas as tarefas > Importar.

b)Clique em Avançar.

c)Localize seu arquivo binário .tmp salvo anteriormente usando Procurar e clique em Abrir. Selecione Colocar todos os certificados no armazenamento a seguir > Pessoal. Clique em Avançar.

d)Clique em Concluir para importar o certificado.

6.Exporte o Certificado incluindo uma chave privada para o arquivo .pfx.

a)Em Certificados (computador local) abra Pessoal e clique em Certificados, selecione o certificado criado que você deseja exportar, no menu Ação, aponte para Todas as tarefas > Exportar.

b)No Assistente de exportação de certificados, clique em Sim, exportar a chave privada. (Esta opção vai aparecer somente se a chave privada for marcada como de exportação possível e se você tiver acesso à chave privada.)

c)Em Formato de arquivo de exportação, selecione Personal Information Exchange -PKCS #12 (.PFX), selecione a caixa de marcação ao lado de Incluir todos os certificados no caminho de certificação se possível e clique em Avançar.

using_custom_certificate_16

d)Senha, digite uma senha para criptografar a chave privada que você está exportando. No campo Confirmar senha, digite a mesma senha novamente e clique em Avançar.


warning

A senha do certificado não deve ter os seguintes caracteres: " \ Esses caracteres causam um erro crítico durante a inicialização do Agente.

using_custom_certificate_17

e)Nome do arquivo, digite um nome de arquivo e caminho para o arquivo .pfx que vai armazenar o certificado exportado e a chave privada. Clique em Avançar e depois em Concluir.


note

O exemplo acima mostra como criar o certificado de um Agente ESET Management. Repita as mesmas etapas para os certificados do Servidor ESET PROTECT.

Não é possível usar esse certificado para assinar outro novo certificado no console da Web.

7.Exportar Autoridade de certificação:

a)Abra o Gerenciador de servidor e clique em Ferramentas > Autoridade de Certificação.

b)Na árvore Autoridade de Certificação (Local), selecione Seu servidor (geralmente FQDN) > Propriedades > Geral e selecione a guia Exibir certificado.

c)Na guia Detalhes, clique em Copiar para o arquivo. O Assistente de exportação do certificado vai abrir.

d)Na janela Formato de exportação do arquivo, selecione binário codificado DER X.509 (.CER) e clique em Avançar.

e)Clique em Procurar para selecionar o local onde o arquivo .cer será salvo e clique em Avançar.

f)Clique em Concluir para exportar a autoridade de certificação.

Para instruções passo a passo sobre o uso de certificados personalizados no ESET PROTECT On-Prem, consulte o próximo capítulo.