Vlastné certifikáty pre ESET PROTECT On-Prem
Ak máte svoju vlastnú PKI (infraštruktúru verejných kľúčov) a chcete, aby ESET PROTECT On-Prem používal vaše vlastné certifikáty na komunikáciu medzi jednotlivými súčasťami, pozrite si príklad nižšie. Tento príklad bol vykonaný na systéme Windows Server 2025. Niektoré obrazovky sa môžu do malej miery líšiť v závislosti od konkrétnej verzie operačného systému Windows, avšak všeobecný postup ostáva rovnaký.
|
Nepoužívajte certifikáty s krátkou platnosťou (napr. Let's Encrypt, ktoré sú platné iba 90 dní), aby ste sa vyhli zložitému postupu pri ich častej výmene. |
|
Na vytvorenie nových certifikátov s vlastným podpisom môžete použiť OpenSSL. Viac informácií nájdete v tomto článku databázy znalostí. |
Požadované serverové roly:
•Active Directory Domain Services.
•Active Directory Certificate Services s nainštalovanou samostatnou koreňovou certifikačnou autoritou.
1.Otvorte Management Console a pridajte modul Certificates:
a)Prihláste sa na server ako člen lokálnej skupiny správcov.
b)Spustite Management Console pomocou príkazu mmc.exe.
c)Kliknite na File a vyberte možnosť Add/Remove Snap-in (prípadne použite klávesovú skratku CTRL + M).
d)V ľavej časti okna vyberte Certificates a kliknite na Add.
e)Zvoľte možnosť Computer Account a kliknite na Next.
f)Uistite sa, že ste zvolili možnosť Local Computer a kliknite na tlačidlo Finish.
g)Kliknite na OK.
2.Vytvorte Custom Certificate Request:
a)Dvojitým kliknutím rozbaľte ponuku Certificates (Local Computer).
b)Pravým tlačidlom kliknite na Personal, vyberte možnosť All Tasks > Advanced Operations a zvoľte Create Custom Request.
c)V okne sprievodcu pre registráciu certifikátu kliknite na Next.
d)Zvoľte možnosť Proceed without enrollment policy a pokračujte kliknutím na tlačidlo Next.
e)Z roletového menu vyberte možnosť (No Template) CNG Key a uistite sa, že máte vybratý formát PKCS #10. Kliknite na Next.
f)Kliknite na šípku pre rozbalenie sekcie Details a následne kliknite na Properties.
g)Na karte General zadajte Friendly name pre váš certifikát, pričom môžete zadať aj popis v poli Description.
h)Na karte Subject vykonajte nasledovné:
V sekcii Subject name vyberte z roletového menu Type položku Common Name. Zadajte server ako hodnotu do poľa Value a kliknite na Add. CN=server sa následne zobrazí ako informácia v bočnom poli. Ak vytvárate žiadosť o vydanie certifikátu pre ESET Management Agenta, do poľa hodnoty pre Common name zadajte agent.
|
Common Name musí obsahovať jeden z nasledujúcich reťazcov v závislosti od toho, aký Certificate Request chcete vytvoriť: server alebo agent. |
i)V sekcii Alternative name vyberte z roletového menu Type položku DNS. Zadajte * (hviezdičku) ako hodnotu do poľa Value a kliknite na tlačidlo Add.
|
Subject Alternative Name (SAN) by mal byť definovaný ako „DNS:*“ pre ESET PROTECT Server a pre všetky agenty. |
j)Na karte Extensions vykonajte nasledujúce kroky:
i.Rozbaľte sekciu Key usage kliknutím na šípku.
|
Z ponuky Available options vyberte a pridajte tieto tri možnosti: •Digital signature •Key agreement •Key encipherment Zrušte výber položky Make these key usages critical. |
ii.Kliknutím na šípku rozbaľte sekciu Extended Key usage (application policies). Vyberte a pridajte Server Authentication pre certifikát servera alebo Client Authentication pre certifikát agenta.
k)Na karte Private Key vykonajte nasledovné:
i.Rozbaľte sekciu Cryptographic Service Provider. Následne sa zobrazí zoznam všetkých poskytovateľov kryptografických služieb (CSP).
|
Uistite sa, že je vybraná len možnosť RSA, Microsoft Software Key Storage Provider. Zrušte výber všetkých ostatných CSP. |
ii.Rozbaľte sekciu Key Options. V menu Key size nastavte hodnotu aspoň 2048. Označte možnosť Make private key exportable.
iii.Kliknite na Apply a skontrolujte si svoje nastavenia.
l)Kliknite na OK. Zobrazia sa informácie o certifikáte. Pokračujte kliknutím na tlačidlo Next. Kliknite na Browse a vyberte umiestnenie, kde chcete uložiť žiadosť o vydanie certifikátu (CSR). Zadajte názov súboru a uistite sa, že je zvolená možnosť Base 64.
m) Vašu žiadosť CSR vygenerujete kliknutím na tlačidlo Finish.
3.Ak chcete importovať svoj vlastný Custom Certificate Request, postupujte podľa krokov uvedených nižšie:
a)Otvorte Server Manager a kliknite na Tools > Certification Authority.
b)V stromovej štruktúre Certification Authority (Local) vyberte možnosť Your Server (usually FQDN) > Properties a následne prejdite na kartu Policy Module. Kliknite na Properties a vyberte možnosť Set the certificate request status to pending. The administrator must explicitly issue the certificate. V opačnom prípade certifikát nebude fungovať správne. Kliknite na OK. Ak potrebujete toto nastavenie zmeniť, musíte reštartovať certifikačné služby Active Directory.
c)V stromovej štruktúre Certification Authority (Local) kliknite pravým tlačidlom myši na Your Server (usually FQDN) > All Tasks > Submit new request... a vyberte súbor žiadosti CSR vygenerovaný v kroku 2.
d)Certifikát bude pridaný do zoznamu Pending Requests. V navigačnom okne kliknite pravým tlačidlom myši na CSR a vyberte možnosť All Tasks > Issue.
4.Exportujte Issued Custom Certificate do súboru .tmp:
a)Kliknite na Issued Certificates v ľavom okne. Kliknite pravým tlačidlom na certifikát, ktorý chcete exportovať, a následne kliknite na All Tasks > Export Binary Data.
b)V dialógovom okne Export Binary Data vyberte z roletového menu Binary Certificate. V časti Export options kliknite na Save binary data to a file a potom kliknite na OK.
c)V dialógovom okne Save Binary Data vyberte lokalitu, kde chcete uložiť certifikát a kliknite na Save.
5.Importujte vytvorený súbor .tmp.
a)Prejdite na Certificate (Local Computer) > kliknite pravým tlačidlom na Personal a vyberte All Tasks > Import.
b)Kliknite na Next.
c)Pomocou tlačidla Browse nájdite vytvorený binárny súbor .tmp a kliknite na Open. Ďalej vyberte možnosť Place all certificates in the following store > Personal. Kliknite na Next.
d)Certifikát sa importuje po kliknutí na tlačidlo Finish.
6.Exportujte certifikát vrátane súkromného kľúča do súboru .pfx.
a)V časti Certificates (Local Computer) rozbaľte možnosť Personal a kliknite na Certificates. Kliknite pravým tlačidlom na certifikát, ktorý chcete exportovať, a vyberte All Tasks > Export.
b)V sprievodcovi Certificate Export Wizard kliknite na Yes, export the private key. (Táto možnosť sa zobrazí iba v prípade, že je súkromný kľúč označený ako exportovateľný a máte k nemu prístup.)
c)V sekcii Export File Format vyberte možnosť Personal Information Exchange -PKCS #12 (.PFX), následne označte možnosť Include all certificates in the certification path if possible pomocou začiarkavacieho políčka a kliknite na Next.
d)Označte možnosť Password a zadajte heslo na zašifrovanie súkromného kľúča, ktorý exportujete. Pre potvrdenie hesla ho zadajte znova v poli Confirm password a potom kliknite na Next.
|
•Prístupová fráza certifikátu nesmie obsahovať nasledujúce znaky: " \ (tieto znaky spôsobujú kritickú chybu počas inicializácie agenta). •Heslo musí obsahovať aspoň 14 znakov z troch kategórií: malé písmená, veľké písmená, číslice alebo špeciálne znaky. Odporúčame používať heslo, ktoré nemá menej ako 17 znakov. |
e)V sekcii File name zadajte názov súboru a cestu pre súbor .pfx, kde bude uložený vyexportovaný certifikát a súkromný kľúč. Kliknite na Next a potom na Finish.
|
Príklad vyššie znázorňuje, ako vytvoriť certifikát pre ESET Management Agenta. Rovnaký postup platí aj pri vytváraní certifikátov pre ESET PROTECT Server. Tento certifikát nie je možné použiť na podpísanie ďalšieho nového certifikátu vo Web Console. |
7.Exportujte certifikačnú autoritu:
a)Otvorte Server Manager a kliknite na Tools > Certification Authority.
b)V stromovej štruktúre Certification Authority (Local) vyberte možnosť Your Server (usually FQDN) > Properties > karta General a kliknite na View Certificate.
c)Na karte Details kliknite na Copy to File. Otvorí sa sprievodca Certificate Export Wizard.
d)V okne Export File Format vyberte DER encoded binary X.509 (.CER) a kliknite na Next.
e)Kliknite na Browse, vyberte umiestnenie, kde chcete uložiť súbor .cer, a následne kliknite na Next.
f)Certifikačná autorita bude vyexportovaná po kliknutí na Finish.
Podrobné inštrukcie týkajúce sa používania vlastných certifikátov v ESET PROTECT On-Prem nájdete v nasledujúcej kapitole.