Certificados personalizados com ESET PROTECT On-Prem
Se você tem seu próprio PKI (infraestrutura de chave pública) dentro do seu ambiente e quer que o ESET PROTECT On-Prem use seus certificados personalizados para comunicação entre os componentes, veja o exemplo abaixo. Esse exemplo é executado em um Windows Server 2025. Capturas de tela podem variar em outras versões do windows, mas o procedimento geral permanece o mesmo.
|
Não use certificados com validade curta (por exemplo, Let's Encrypt que são válidos por 90 dias) para evitar o procedimento complexo de uma substituição frequente. |
|
Você pode usar o OpenSSL para criar novos certificados com assinatura própria. Veja nosso artigo da Base de conhecimento para obter mais informações. |
Funções de servidor necessárias:
•Serviços de domínio do Active Directory.
•Certificado de Serviço do Active Directory com o CA de Raiz Autônomo instalado.
1.Abra o Console de gerenciamento e adicione snap-ins de Certificados:
a)Faça logon no servidor como membro do grupo Administrador local.
b)Execute o mmc.exe para abrir o Console de gerenciamento.
c)Clique em Arquivo e selecione Adicionar/remover Snap-in... (ou pressione CTRL+M).
d)Selecione Certificados no painel da esquerda e clique no botão Adicionar.
e)Selecione Conta de computador e clique em Avançar.
f)Certifique-se que o Computador Local está selecionado (padrão) e clique em Concluir.
g)Clique em OK.
2.Criar uma Solicitação de certificado personalizado:
a)Clique duas vezes em Certificados (Computador local) para expandir.
b)Clique com o botão direito em Pessoal e selecione Todas as tarefas > Operações avançadas e escolha Criar solicitação personalizada
c)A janela do assistente de Inscrição de certificado vai abrir, clique em Avançar.
d)Selecione Continuar sem política de inscrição e clique em Avançar para continuar.
e)Escolha (Sem modelo) Chave CNG da lista suspensa e certifique-se de que o formato de solicitação PKCS #10 foi selecionado. Clique em Avançar.
f)Clique na seta para abrir a seção Detalhes e clique em Propriedades.
g)Na guia Geral, digite o Nome amigável do seu certificado, você também pode digitar a Descrição (opcional).
h)Na guia Assunto, faça o seguinte:
Na seção Nome do assunto, selecione Nome comum na lista suspensa em Tipo e digite server no campo Valor, então clique em Adicionar. O CN=server vai aparecer na caixa de informações na lateral. Se você estiver criando uma solicitação de certificado para o Agente ESET Management digite agent no campo de valor de nome comum.
|
O Nome comum deve conter uma dessas strings: server ou agent, dependendo de qual Solicitação de certificado você quer criar. |
i)Na seção Nome alternativo, escolha DNS da lista suspensa em Tipo e digite * (asterisco) no campo Valor, então clique no botão Adicionar.
|
O Nome alternativo para o assunto (Subject Alternative Name – SAN) deve ser definido como "DNS:*" para o Servidor ESET PROTECT e para todos os agentes. |
j)Na guia Extensões, faça o seguinte:
i.Abra a seção Uso de chave clicando na seta.
|
Certifique-se de selecionar e adicionar estas 3 opções das Opções disponíveis: •Assinatura digital •Acordo de chave •Criptografia de chave Desmarque a opção Tornar o uso dessas chaves crítico. |
ii.Abra a seção Uso estendido de chave (políticas de aplicativo) clicando na seta. Selecione e adicione Autenticação de servidor para o certificado de servidor ou Autenticação de cliente para o certificado de agente.
k)Na guia Chave privada, faça o seguinte:
i.Abra a seção Provedor de serviço criptográfico clicando na seta. Uma lista de todos os provedores de serviços de criptografia (CSP) será exibida.
|
Certifique-se de que apenas RSA, Provedor de Armazenamento de Chave de Software da Microsoft esteja selecionado. Desmarque todos os outros CSPs. |
ii.Abra a seção Chave Opções. No menu Tamanho da chave, defina um valor de pelo menos 2048. Selecione Tornar chave privada exportável.
iii.Clique em Aplicar e verifique suas configurações.
l)Clique em OK. Informações do certificado serão exibidas. Clique no botão Avançar para continuar. Clique em Procurar para selecionar o local onde a solicitação de assinatura de certificado (CSR) será salva. Digite o nome do arquivo e certifique-se de que Base 64 está selecionado.
m) Clique em Concluir para gerar o CSR.
3.Para importar sua solicitação de certificado personalizado, siga as etapas abaixo:
a)Abra o Gerenciador de servidor e clique em Ferramentas > Autoridade de Certificação.
b)Na árvore Autoridade de Certificação (Local), selecione Seu servidor (geralmente FQDN) > Propriedades e selecione a guia Módulo de Política. Clique em Propriedades e selecione Definir o status da solicitação de certificado como pendente. O administrador deve emitir explicitamente o certificado. Caso contrário, o processo não funcionará corretamente. Clique em OK. Você precisará reiniciar os serviços de certificados do Active Directory se precisar alterar essa configuração.
c)Na árvore Autoridade de Certificação (Local), clique com o botão direito do mouse em Seu servidor (geralmente FQDN) > Todas as tarefas > Enviar nova solicitação e vá para o arquivo CSR gerado anteriormente na etapa 2.
d)O certificado será adicionado a Solicitações pendentes. Clique com o botão direito do mouse em CSR no painel de navegação e selecione Todas as tarefas > Emissão.
4.Exportar Certificado personalizado emitido para o arquivo .tmp.
a)Selecione Certificados Emitidos no painel da esquerda. Clique com o botão direito no certificado que você deseja exportar e clique em Todas as tarefas > Exportar dados binários.
b)No diálogo Exportar dados binários, escolha Certificado binário da lista suspensa. Em Opções de exportação, clique em Salvar dados binários para um arquivo e clique em OK.
c)Na caixa de diálogo Salvar dados binários, vá para o local do arquivo onde deseja salvar o certificado e clique em Salvar.
5.Importar o arquivo ..tmp.
a)Vá para Certificado (Computador local) > clique com o botão direito em Pessoal, selecione Todas as tarefas > Importar.
b)Clique em Avançar.
c)Localize seu arquivo binário .tmp salvo anteriormente usando Procurar e clique em Abrir. Selecione Colocar todos os certificados no armazenamento a seguir > Pessoal. Clique em Avançar.
d)Clique em Concluir para importar o certificado.
6.Exporte o Certificado incluindo uma chave privada para o arquivo .pfx.
a)Em Certificados (computador local), abra Pessoal e clique em Certificados, clique com o botão direito do mouse no novo certificado que deseja exportar e selecione Todas as tarefas > Exportar.
b)No Assistente de exportação de certificados, clique em Sim, exportar a chave privada. (Esta opção vai aparecer somente se a chave privada for marcada como de exportação possível e se você tiver acesso à chave privada.)
c)Em Formato de arquivo de exportação, selecione Personal Information Exchange -PKCS #12 (.PFX), selecione a caixa de marcação ao lado de Incluir todos os certificados no caminho de certificação se possível e clique em Avançar.
d)Selecione a caixa de seleção Senha e digite uma senha para criptografar a chave privada que você está exportando. No campo Confirmar senha, digite a mesma senha novamente e clique em Avançar.
|
•A senha do certificado não deve ter os seguintes caracteres: " \ Esses caracteres causam um erro crítico durante a inicialização do Agente. •A senha deve conter pelo menos 14 caracteres em três categorias: letras minúsculas, letras maiúsculas, dígitos ou caracteres especiais. Recomendamos o uso de uma senha com pelo menos 17 caracteres. |
e)No Nome do arquivo, digite um nome de arquivo e caminho para o arquivo .pfx que vai armazenar o certificado exportado e a chave privada. Clique em Avançar e depois em Concluir.
|
O exemplo acima mostra como criar o certificado de um Agente ESET Management. Repita as mesmas etapas para os certificados do Servidor ESET PROTECT. Não é possível usar esse certificado para assinar outro novo certificado no console da Web. |
7.Exportar Autoridade de certificação
a)Abra o Gerenciador de servidor e clique em Ferramentas > Autoridade de Certificação.
b)Na árvore Autoridade de Certificação (Local), selecione Seu servidor (geralmente FQDN) > Propriedades > Geral e selecione a guia Exibir certificado.
c)Na guia Detalhes, clique em Copiar para o arquivo. O Assistente de exportação do certificado vai abrir.
d)Na janela Formato de exportação do arquivo, selecione binário codificado DER X.509 (.CER) e clique em Avançar.
e)Clique em Procurar para selecionar o local onde o arquivo .cer será salvo e clique em Avançar.
f)Clique em Concluir para exportar a autoridade de certificação.
Para instruções passo a passo sobre o uso de certificados personalizados no ESET PROTECT On-Prem, consulte o próximo capítulo.