ESET PROTECT On-Prem Ürünündeki özel sertifikalar
Kendinize ait PKI (genel anahtar altyapısı) varsa ve ESET PROTECT On-Prem ürününün bileşenleri arasındaki iletişim için özel sertifikalarınızı kullanmasını istiyorsanız aşağıdaki örneğe bakın. Bu örnek Windows Server 2025'de gerçekleştirilir. Ekran görüntüleri Windows'un farklı sürümlerine göre değişebilir, ancak genel işlemler aynıdır.
|
Sık sık değiştirme işlemlerinin karmaşık sürecini önlemek için geçerlilik süresi kısa olan sertifikaları (örneğin, 90 gün boyunca geçerli olan Let's Encrypt) kullanmayın. |
|
Kendi kendine imzalanan yeni sertifikalar oluşturmak için OpenSSL aracını kullanabilirsiniz. Daha fazla bilgi için Bilgi Bankası makalemize bakın. |
Gerekli sunucu rolleri:
•Active Directory Etki Alanı Hizmetleri.
•Active Directory Sertifika Hizmetleri (Bağımsız Kök Sertifika Yetkilisi Yüklü).
1.Yönetim Konsolu'nu açın ve Sertifika Ek bileşenlerini ekleyin:
a)Yerel Yönetici grubunun üyesi olarak sunucuya giriş yapın.
b)Yönetim Konsolu'nu açmak için mmc.exe dosyasını çalıştırın.
c)Dosya'yı tıklatın ve Ek Bileşen Ekle/Kaldır… öğesini seçin (veya CTRL+M'ye basın).
d)Sol bölmede Sertifikalar'ı seçip Ekle düğmesine basın.
e)Bilgisayar Hesabı'nı seçin ve İleri'yi tıklatın.
f)Yerel Bilgisayar'ın seçildiğinden emin olun (varsayılan) ve Bitir'i tıklatın.
g)Tamam'ı tıklayın.
2.Özel Sertifika İsteği oluşturun:
a)Genişletmek için Sertifikalar (Yerel Bilgisayar) öğesini çift tıklatın.
b)Kişisel'i sağ tıklayın ve Tüm Görevler > Gelişmiş İşlemler'i, ardından Özel İstek Oluştur öğesini seçin.
c)Sertifika Kaydı sihirbaz penceresi açılır, İleri'yi tıklayın.
d)Kayıt ilkesi olmadan devam et'i seçip devam etmek için İleri'yi tıklatın.
e)Açılır listeden (Şablon Yok) CNG Anahtarı'nı seçin ve PKCS #10 istek biçiminin seçili olduğundan emin olun. İleri'yi tıklayın.
f)Ayrıntılar bölümünü genişletmek için oku, ardından Özellikler'i tıklatın.
g)Genel sekmesinde sertifikanız için Kolay ad girin, ayrıca Açıklama da (isteğe bağlı) girebilirsiniz.
h)Konu sekmesinde şunları yapın:
Konu adı bölümünde, Tür altındaki açılır listeden Genel ad'ı seçin ve server değerini Değer alanına girdikten sonra Ekle'yi tıklayın. CN=server yan taraftaki bilgi kutusunda görüntülenir. ESET Management Agent için bir sertifika isteği oluşturuyorsanız, Genel ad değer alanına agent yazın.
|
Genel Ad, oluşturmak istediğiniz Sertifika İsteğine göre şu dizelerden birini içermelidir: server veya agent |
i)Alternatif ad bölümünde, Tür altındaki açılır listeden DNS'i seçin ve * (yıldız) sembolünü Değer alanına girdikten sonra Ekle düğmesini tıklatın.
|
Konu Alternatif Adı (SAN) ESET PROTECT Server ve tüm Agent’lar için "DNS:*" olarak tanımlanmalıdır. |
j)Uzantılar sekmesinde aşağıdakileri yapın:
i.Oku tıklayarak Anahtar kullanımı bölümünü genişletin.
|
Mevcut seçeneklerden bu 3 seçeneği seçtiğinizden ve eklediğinizden emin olun: •Dijital imza •Anahtar sözleşmesi •Anahtar şifresi çözme Onay kutusunu kullanarak Bu anahtar kullanımlarını çok önemli durumuna getir seçeneğinin işaretini kaldırın. |
ii.Oku tıklayarak Genişletilmiş Anahtar kullanımı (uygulama ilkeleri) bölümünü genişletin. Sunucu sertifikası için Sunucu Kimlik Doğrulaması'nı veya Agent sertifikası için İstemci Kimlik Doğrulaması'nı seçin ve ekleyin.
k)Özel Anahtar sekmesinde şunları yapın:
i.Oku tıklatarak Şifreleme Hizmeti Sağlayıcısı bölümünü genişletin. Tüm şifreleme hizmeti sağlayıcılarının (CSP) listesi görüntülenir.
|
Yalnızca RSA, Microsoft Yazılım Anahtarı Depolama Sağlayıcısı'nın seçili olduğundan emin olun. Diğer tüm CSP'lerin seçimini kaldırın. |
ii.Anahtar Seçenekler bölümünü genişletin. Anahtar boyutu menüsünde, en az 2048 olmak üzere bir değer ayarlayın. Özel anahtarı dışa aktarılabilir hale getir seçeneğini işaretleyin.
iii.Uygula'yı tıklatın ve ayarlarınızı kontrol edin.
l)Tamam'ı tıklayın. Sertifika bilgileri görüntülenir. Devam etmek için İleri düğmesini tıklatın. Sertifika imzalama isteğinin (CSR) kaydedileceği konumu seçmek için Gözat'ı tıklatın. Dosya adını yazın ve Base 64'ün seçili olduğundan emin olun.
m) CSR'yi oluşturmak için Bitir'i tıklatın.
3.Özel sertifika isteğinizi içe aktarmak için aşağıdaki adımları izleyin:
a)Sunucu Yöneticisi'ni açın ve Araçlar > Sertifika Yetkilisi'ni tıklatın.
b)Sertifika Yetkilisi (Yerel) ağacında, Sunucunuz (genellikle FQDN) > Özellikler > İlke Modülü sekmesini seçin. Özellikler'i tıklatın ve Sertifika isteği durumunu beklemede olarak ayarlayın. Yönetici sertifikayı açık bir şekilde yayınlamalıdır. Aksi takdirde, düzgün çalışmaz. Tamam'ı tıklayın. Bu ayarı değiştirmeniz gerekirse Active Directory sertifika hizmetlerini yeniden başlatmalısınız.
c)Sertifika Yetkilisi (Yerel) ağacında, Sunucunuz (genellikle FQDN) > Tüm Görevler > Yeni istek gönder... öğelerini sağ tıklayın ve daha önce 2. adımda oluşturulan CSR dosyasına gidin.
d)Sertifika Bekleyen İstekler'e eklenir. Gezinti bölmesinde CSR'yi sağ tıklayın ve Tüm Görevler > Sorun'u seçin.
4.Yayınlanan Özel Sertifika'yı .tmp dosyasına aktarın.
a)Sol bölmede Yayınlanan Sertifikalar'ı seçin. Dışa aktarmak istediğiniz sertifikayı sağ tıklatın, Tüm Görevler > İkili Verileri Dışa Aktar...'ı tıklatın.
b)İkili Verileri Dışa Aktar iletişim kutusunda, açılır menüden İkili Sertifika'yı seçin. Dışa Aktarma seçeneklerinde İkili verileri bir dosyaya kaydet'i tıklatıp Tamam'ı tıklatın.
c)İkili Verileri Kaydet iletişim kutusunda, sertifikayı kaydetmek istediğiniz dosya konumuna gidin ve Kaydet'i tıklatın.
5...tmp dosyasını içe aktar.
a)Sertifika (Yerel Bilgisayar)'a gidin > Kişisel'i sağ tıklatın ve Tüm Görevler > İçe Aktar...'ı seçin.
b)İleri'yi tıklayın.
c)Kaydedilmiş olan .tmp ikili dosyasını Gözat seçeneğini kullanarak bulun ve Aç'ı tıklatın. Tüm sertifikaları şu depolamaya yerleştir > Kişisel'i seçin. İleri'yi tıklayın.
d)Sertifikayı içe aktarmak için Bitir'i tıklatın.
6.Sertifikayı özel anahtarla birlikte .pfx dosyasına aktarın.
a)Sertifikalar'da (Yerel Bilgisayar) Kişisel'i genişletin ve Sertifikalar'ı tıklayın, dışa aktarmak istediğiniz yeni sertifikayı sağ tıklayın ve Tüm Görevleri > Dışa aktar'ı seçin.
b)Sertifika Dışa Aktarma Sihirbazı'nda, Evet, özel anahtarı dışa aktar'ı tıklatın. (Bu seçenek yalnızca, özel anahtar dışa aktarılabilir olarak işaretlenmişse ve özel anahtara erişiminiz varsa görüntülenir.)
c)Dışa Aktarma Dosyası Biçimi'nin altında Personal Information Exchange -PKCS #12 (.PFX) seçeneğini belirleyin, Sertifika yolundaki tüm sertifikaları dahil etmek için mümkünse Sertifika yolundaki tüm sertifikaları dahil et onay kutusunu işaretleyip İleri'yi tıklatın.
d)Parola onay kutusunu işaretleyin, dışa aktarmakta olduğunuz özel anahtarı şifrelemek için bir parola girin. Parolayı onayla alanında aynı parolayı tekrar girin ve İleri'yi tıklatın.
|
•Sertifika parolası şu karakterleri içeremez: " \ Bu karakterler, Agent'ın başlatılması sırasında kritik bir hataya neden olur. •Parola üç kategoride en az 14 karakter içermelidir: küçük harfler, büyük harfler, rakamlar veya özel karakterler. En az 17 karakterden oluşan bir parola kullanmanızı öneririz. |
e)Dosya adı alanına, dışa aktarılan sertifikayı ve özel anahtarı depolayacak olan .pfx dosyası için bir dosya adı ve yol girin. İleri'yi ve ardından Bitir'i tıklatın.
|
Yukarıdaki örnek ESET Management Agent sertifikasının nasıl oluşturulduğunu göstermektedir. Aynı adımları ESET PROTECT Server sertifikaları için tekrarlayın. Bu sertifikayı Web Konsolu'nda başka bir yeni sertifika imzalamak için kullanamazsınız. |
7.ERA Sertifika Yetkilisi:
a)Sunucu Yöneticisi'ni açın ve Araçlar > Sertifika Yetkilisi'ni tıklatın.
b)Sertifika Yetkilisi (Yerel) ağacında, Sunucunuz (genellikle FQDN) > Özellikler > Genel sekmesini seçin ve Sertifikayı Görüntüle'yi tıklatın.
c)Ayrıntılar sekmesinde Dosyaya Kopyala'yı tıklatın. Sertifika Dışa Aktarma Sihirbazı'nı açın.
d)Dosya Biçimini Dışa aktar penceresinde DER encoded binary X.509 (.CER) seçeneğini belirleyip İleri'yi tıklatın.
e).cer dosyasının kaydedileceği konumu seçmek için Gözat'ı ardından İleri'yi tıklatın.
f)Sertifika yetkilisini dışa aktarmak için Bitir'i tıklatın.
ESET PROTECT On-Prem ürününde özel sertifikaları kullanmayla ilgili adım adım talimatlar için sonraki bölüme bakın.