Certificados personalizados con ESET PROTECT On-Prem
Si tiene su propia PKI (infraestructura de clave pública) y desea ESET PROTECT On-Prem usar sus certificados personalizados para comunicación entre sus componentes, vea los siguientes ejemplos. Este ejemplo se realiza en Windows Server 2012 R2. Las capturas de pantalla pueden variar en otras versiones de Windows, aunque el procedimiento general permanece igual.
No utilice certificados con una validez corta (por ejemplo, Let's Encrypt que sean válidos durante 90 días) para evitar el procedimiento complejo de su sustitución frecuente. |
Puede utilizar OpenSSL para crear nuevos certificados autofirmados. Para más información, consulte nuestro artículo de la Base de conocimiento. |
Roles de servidor necesarios:
•Servicios de dominio de Active Directory.
•Servicios de certificados de Active Directory con el AC raín independiente.
1.Abra la Consola de gestión y agregue las extensiones de los Certificados:
a)Inicie sesión en el servidor como miembro del grupo de administrador local.
b)Ejecute mmc.exe para abrir la consola de administración.
c)Haga clic en el Archivo y seleccione Agregar/Eliminar extensión… (o presione CTRL+M).
d)Seleccione Certificados en el panel izquierdo y haga clic en Agregar.
e)Seleccione Cuenta del equipo y haga clic en Siguiente.
f)Asegúrese de seleccionar Equipo local (predeterminado) y haga clic en Finalizar.
g)Haga clic en OK.
2.Cree una Solicitud de certificado personalizado:
a)Haga doble clic en Certificados (Equipo local) para expandirlo.
b)Haga doble clic en Personal para expandirlo. Haga clic con el botón secundario en Certificados y seleccione Todas las tareas > Operaciones avanzadas y elija Crear solicitud personalizada
c)Se abrirá la ventana del asistente de inscripción de certificados, haga clic en Siguiente.
d)Seleccione la opción Continuar sin política de inscripción y haga clic en Siguiente para continuar.
e)Elija Clave heredada (sin plantilla) de la lista desplegable y asegúrese de seleccionar el formato de solicitud PKCS #10. Haga clic en Siguiente.
f)Haga clic en la flecha para expandir la sección Detalles y, luego, haga clic en Propiedades.
g)En la pestaña General, escriba un nombre simple para su certificado o también puede escribir la Descripción (opcional).
h)En la pestaña Asunto, haga lo siguiente:
En la sección Nombre del asunto, seleccione Nombre común de la lista desplegable en Tipo e ingrese era server en el campo Valor, luego haga clic en Agregar. CN=era server aparecerá en el cuadro de información lateral. Si está creando una solicitud de certificado para el agente ESET Management, ingrese era agent en el campo del valor del nombre común.
El nombre común debe contener una de las siguientes cadenas: "servidor« o "agente"", según qué solicitud de certificado desea crear. |
i)En la sección Nombre alternativo, seleccione DNS de la lista desplegable en Tipo y escriba * (asterisco) en el campo Valor y, luego, haga clic en el botón Agregar.
El Nombre Alternativo del Sujeto (SAN) debería definirse como “DNS:*” para el servidor de ESET PROTECT y todos los agentes. |
j)En la pestaña Extensiones, expanda la sección Uso de clave; para ello, haga clic en la flecha. Agregue lo siguiente a partir de las opciones disponibles: Firma digital, Acuerdo clave, Cifrado de claves. Anule la selección de la opción Hacer críticos estos usos de claves.
Asegúrese de seleccionar estas 3 opciones en Uso de claves > Firma de certificados clave: •Firma digital •Acuerdo clave •Cifrado de clave |
k)En la pestaña Clave privada, haga lo siguiente:
i.Expanda la sección Proveedor de servicios criptográficos; para ello, haga clic en la flecha. Se mostrará una lista de proveedores de servicio criptográficos (CSP). Asegúrese de seleccionar solo Proveedor criptográfico de canales S de Microsoft RSA (Cifrado).
Anule la selección de los demás CSP, excepto la opción Proveedor criptográfico de canales S de Microsoft RSA (Cifrado). |
i.Expanda la sección Opciones de claves. En el menú Tamaño de claves, configure un valor de al menos 2048. Seleccione Hacer exportable la clave privada.
ii.Expanda la sección Tipo de clave y seleccione Exchange. Haga clic en Aplicar y compruebe su configuración.
l)Haga clic en OK. Se mostrará la información de los certificados. Haga clic en el botón Siguiente para continuar. Haga clic en Navegar para seleccionar la ubicación donde se guardará la solicitud de firma del certificado (CSR). Escriba el nombre del archivo y asegúrese de que esté seleccionada Base 64.
m)Haga clic en Finalizar para generar el CSR.
3.Para importar la solicitud de certificados personalizados, siga los siguientes pasos:
a)Abra Server Manager y haga clic en Herramientas > Autoridad de certificación.
b)En el árbol Autoridad de certificación (Local), seleccione la pestaña Su servidor (generalmente FQDN) > Propiedades y seleccione la pestaña Módulo de políticas, Haga clic en Propiedades y seleccione Configurar el estado de solicitud del certificado a pendiente. El administrador debe emitir explícitamente el certificado. De lo contrario, no funcionará de manera adecuada. Debe reiniciar los servicios del certificado Active Directory si necesita cambiar esta configuración.
c)En el árbol Autoridad de certificación (Local), seleccione Su servidor (generalmente FQDN) > Todas las tareas > Enviar nueva solicitud... y vaya al archivo CSR generado previamente en el paso 2.
d)El certificado se agregará a Solicitudes pendientes. Seleccione CSR en el panel de navegación. En el menú Acción, seleccione Todas las tareas > Emitir.
4.Exporte el Certificado personalizado emitido al archivo .tmp.
a)Seleccione Certificados Emitidos en el panel izquierdo. Haga clic con el botón secundario en el certificado que desea exportar y haga clic en Todas las tareas > Exportar datos binarios.
b)En el diálogo Exportar datos binarios, elija Certificado binario de la lista desplegable. En las opciones Exportar, haga clic en Guardar datos binarios a un archivo y luego haga clic en Aceptar.
c)En el cuadro de diálogo Guardar datos binarios, desplácese hacia la ubicación del archivo donde desea guardar el certificado y, luego, haga clic en Guardar.
5.Importe el archivo ..tmp.
a)Vaya a Certificado (Equipo local) > haga clic con el botón secundario en Personal y seleccione Todas las tareas > Importar.
b)Haga clic en Siguiente.
c)Encuentre el archivo binario .tmp guardado previamente mediante Explorar y haga clic en Abrir. Seleccione Colocar todos los certificados en el siguiente almacenamiento > Personal. Haga clic en Siguiente.
d)Haga clic en Finalizar para importar el certificado.
6.Exporte el certificado, incluida una clave privada al archivo .pfx.
a)En Certificados (Equipo local) expanda Personal y haga clic en Certificados, seleccione su nuevo certificado que desea exportar, en el menú Acción, apunte a Todas las tareas > Exportar...
b)En el Asistente de exportación de certificados, haga clic en Sí, exporte la clave privada. (Esta opción aparecerá solo si la clave privada está marcada como exportable y tiene acceso a la clave privada).
c)En Formato de archivo de exportación, seleccione Intercambio de información personal -PKCS #12 (.PFX), seleccione la casilla de verificación Incluir todos los certificados en la ruta de certificación si es posible y luego haga clic en Siguiente.
d)Contraseña, escriba una contraseña para cifrar la clave privada que está exportando. En el campo Confirmar contraseña, vuelva a escribir la misma contraseña y luego haga clic en Siguiente.
•La frase de contraseña del certificado no debe contener los siguientes caracteres: " \ Estos caracteres provocan un error crítico durante la inicialización del agente. •La contraseña debe contener al menos 10 caracteres en al menos tres de estas categorías: letras minúsculas, letras mayúsculas, dígitos o caracteres especiales. Recomendamos utilizar una contraseña de no menos de 12 caracteres. |
e)En Nombre de archivo, escriba un nombre de archivo y ruta para el archivo .pfx que almacenará el certificado exportado y la clave privada. Haga clic en Siguiente y, a continuación, en Finalizar.
El ejemplo anterior le muestra cómo crear una certificado del servidor ESET Management. Repita los mismos pasos para los certificados del servidor ESET PROTECT. Ahora puede usar este certificado para firmar otro certificado nuevo en la Consola Web. |
7.Exportar autoridad de certificación:
a)Abra Server Manager y haga clic en Herramientas > Autoridad de certificación.
b)En el árbol Autoridad de certificación (Local), seleccione la pestaña Su servidor (generalmente FQDN) > Propiedades > General y haga clic en Ver certificado.
c)En la pestaña Detalles, haga clic en Copiar a archivo. Se abrirá el Asistente de exportación de certificados.
d)En la ventana Exportar formato de archivos, seleccione DER codificado binario X.509 (.CER) y haga clic en Siguiente.
e)Haga clic en Navegar para seleccionar la ubicación donde se guardará el archivo .cer y haga clic en Siguiente.
f)Haga clic en Finalizar para exportar la autoridad de certificación.
Para obtener instrucciones paso a paso para usar certificados personalizados en ESET PROTECT On-Prem, consulte el siguiente capítulo.