Спеціальні сертифікати з ESET PROTECT On-Prem
Якщо ви маєте власну PKI (інфраструктуру відкритих ключів) і хочете, щоб ESET PROTECT On-Prem використовував ваші спеціальні сертифікати для обміну даними між компонентами, див. приклад нижче. Цей приклад базується на Windows Server 2025. Вміст знімків екрана в інших версіях Windows може відрізнятися, проте загальна процедура залишається без змін.
|
Не використовуйте сертифікати з коротким терміном дії (наприклад, Let's Encrypt, які дійсні протягом 90 дн.), щоб їх не довелося часто замінювати. |
|
Для створення нових самопідписаних сертифікатів можна використовувати OpenSSL. Щоб дізнатися більше, перегляньте статтю бази знань. |
Обов’язкові ролі на сервері:
•Служби домену Active Directory.
•Служби сертифікації Active Directory з інстальованим автономним кореневим центром сертифікації.
1.Відкрийте Консоль керування та додайте оснастку сертифікатів:
a)Увійдіть на сервер під обліковим записом учасника локальної групи адміністраторів.
b)Запустіть файл mmc.exe, щоб відкрити консоль керування.
c)Клацніть Файл і виберіть Додати/видалити оснастку… (або натисніть CTRL + M).
d)Виберіть Сертифікати на панелі зліва та натисніть кнопку Додати.
e)Виберіть Обліковий запис комп’ютера й натисніть Далі.
f)Переконайтеся, що вибрано параметр Локальний комп’ютер (за замовчуванням) і натисніть Готово.
g)Натисніть OK.
2.Створіть запит на спеціальний сертифікат:
a)Двічі клацніть Сертифікати (локальний комп’ютер), щоб розгорнути відповідний список.
b)Клацніть правою кнопкою миші пункт Особисті й виберіть Усі завдання > Розширені операції > Створити спеціальний запит.
c)У вікні майстра реєстрації сертифікатів, що відкрилося, натисніть Далі.
d)Виберіть Продовжити без політики реєстрації та натисніть Далі, щоб продовжити.
e)Виберіть із розкривного списку Ключ CNG (без шаблона) і перевірте, чи вибрано правильний формат запиту — PKCS № 10. Натисніть кнопку Далі.
f)Клацніть стрілку, щоб розгорнути список Подробиці, а потім натисніть Властивості.
g)На вкладці Загальні уведіть Зрозуміле ім’я свого сертифіката. Крім того, ви також можете вказати опис (необов’язково).
h)На вкладці Тема виконайте описані нижче дії.
У розділі Ім’я теми виберіть пункт Загальне ім’я з розкривного списку Тип, введіть server в поле Значення й клацніть Додати. В інформаційному полі збоку відобразиться значення CN=server. Якщо ви створюєте запит на сертифікат для агента ESET Management, введіть у полі «Загальне ім’я» значення agent.
|
Загальне ім’я має містити рядок server або agent (залежно від типу запиту, який потрібно створити). |
i)У розділі Альтернативне ім’я виберіть пункт DNS з розкривного списку Тип, уведіть * (зірочку) у поле Значення, а потім клацніть Додати.
|
Для альтернативного імені теми (Subject Alternative Name, SAN) необхідно задати "DNS:*" для ESET PROTECT Server і для всіх агентів Agents. |
j)На вкладці Розширення виконайте описані нижче дії.
i.Розгорніть розділ Способи використання ключів, натиснувши стрілку.
|
Обов’язково виберіть і додайте три наведені нижче параметри зі списку Доступні опції. •Цифровий підпис •Угода щодо ключів •Шифрування ключів Скасуйте вибір пункту Зробити ці способи використання ключів критично важливими. |
ii.Розгорніть розділ Розширене використання ключа (політики програми), натиснувши стрілку. Виберіть і додайте автентифікацію сервера для сертифіката сервера або автентифікацію клієнта для сертифіката агента.
k)На вкладці Закритий ключ виконайте описані нижче дії.
i.Розгорніть розділ Криптопровайдер, натиснувши стрілку. Відобразиться список усіх криптопровайдерів (CSP).
|
Переконайтеся, що вибрано лише RSA, Microsoft Software Key Storage Provider. Скасуйте вибір усіх інших постачальників хмарних послуг (CSP). |
ii.Розгорніть розділ Параметри ключів. У меню Розмір ключа встановіть значення не менше 2048. Виберіть Зробити закритий ключ придатним для експорту.
iii.Клацніть Застосувати та перевірте налаштування.
l)Натисніть OK. Після цього відобразиться інформація про сертифікат. Натисніть Далі, щоб продовжити. Натисніть Огляд, щоб вибрати місце для збереження запиту на підписання сертифіката (CSR). Уведіть ім’я файлу й виберіть стандарт кодування Base 64.
m) Клацніть «Готово», щоб створити CSR.
3.Щоб імпортувати власний запит на сертифікат, виконайте наведені нижче дії.
a)Відкрийте Диспетчер сервера та натисніть Інструменти > Центр сертифікації.
b)У дереві Центр сертифікації (локальний) виберіть Ваш сервер (зазвичай FQDN) > Властивості та перейдіть на вкладку Модуль політики. Клацніть Властивості та виберіть Установити для запиту на сертифікат стан «В очікуванні». Сертифікат має бути виданий адміністратором. Інакше він не працюватиме належним чином. Натисніть OK. Щоб змінити цей параметр, потрібно перезавантажити служби сертифікатів Active Directory.
c)У дереві Центр сертифікації (локальний) натисніть правою кнопкою миші Ваш сервер (зазвичай FQDN) > Усі завдання > Надіслати новий запит та перейдіть до створеного впродовж кроку 2 файлу CSR.
d)Сертифікат буде додано в розділ Запити в очікуванні. На панелі навігації клацніть правою кнопкою миші CSR й виберіть Усі завдання > Випустити.
4.Експортуйте Виданий спеціальний сертифікат у файл .tmp:
a)На лівій панелі виберіть пункт Видані сертифікати. Клацніть правою кнопкою миші сертифікат, який слід експортувати, і виберіть Усі завдання > Експорт двійкових даних.
b)У діалоговому вікні Експорт двійкових даних виберіть пункт Двійковий сертифікат із розкривного списку. У меню Параметри експорту виберіть Зберегти двійкові дані у файл та натисніть ОК.
c)У діалоговому вікні «Зберегти двійкові дані» перейдіть до місця збереження сертифіката, а потім натисніть Зберегти.
5.Імпортуйте файл ..tmp.
a)Перейдіть до пункту «Сертифікат (локальний комп’ютер)», клацніть правою кнопкою миші «Особисті» та виберіть «Усі завдання» > «Імпортувати».
b)Натисніть кнопку Далі.
c)Знайдіть збережений двійковий файл .tmp в меню Огляд і натисніть Відкрити. Виберіть «Розташовувати всі сертифікати в такому сховищі» > Особисті. Натисніть кнопку Далі.
d)Клацніть Готово, щоб імпортувати сертифікат.
6.Експортуйте сертифікат із закритим ключом у файл .pfx.
a)У розділі Сертифікати (локальний комп’ютер) розгорніть пункт Особисті й натисніть Сертифікати. Правою кнопкою миші клацніть новий сертифікат, який потрібно експортувати, і виберіть Усі завдання > Експорт.
b)У Майстрі експорту сертифікатів натисніть Так, експортувати закритий ключ. (Цей параметр відобразиться лише якщо закритий ключ позначено як придатний до експорту, а ви маєте до нього доступ.)
c)У розділі «Формат файлу експорту» виберіть Обмін приватними відомостями – PKCS № 12 (.PFX), установіть прапорець поруч із пунктом За можливості додати всі сертифікати до шляху сертифікації та натисніть Далі.
d)Установіть прапорець Пароль і введіть пароль, щоб зашифрувати закритий ключ, який ви експортуєте. У полі Підтвердити пароль знову введіть той же пароль, а потім натисніть Далі.
|
•Парольна фраза сертифіката не може містити такі символи: " \ Ці символи спричиняють критичну помилку під час ініціалізації агента. •Пароль має містити не менше 14 символів із трьох категорій: малі літери, великі літери, цифри або спеціальні символи. Рекомендуємо використовувати пароль, що складається не менше ніж із 17 символів. |
e)У полі Ім’я файлу введіть ім’я і шлях до файлу .pfx, у якому буде збережено експортований сертифікат і закритий ключ. Клацніть Далі та Готово.
|
Вище наведено приклад створення сертифіката для агента ESET Management. У разі створення сертифіката для сервера ESET PROTECT слід виконувати ті самі дії. За допомогою цього сертифіката не можна підписати інший новий сертифікат у веб-консолі. |
7.Для експорту центру сертифікації виконайте описані нижче дії.
a)Відкрийте Диспетчер сервера та натисніть Інструменти > Центр сертифікації.
b)У дереві Центр сертифікації (локальний) виберіть Ваш сервер (зазвичай FQDN) > Властивості > Загальні та натисніть Переглянути сертифікат.
c)На вкладці Подробиці натисніть Скопіювати у файл. Відкриється Майстер експорту сертифікатів.
d)У вікні Формат файлу експорту виберіть Файл у DER-кодуванні X.509 (.CER) та натисніть Далі.
e)Натисніть Огляд, щоб вибрати місце для збереження файлу .cer, а потім натисніть Далі.
f)Клацніть Готово, щоб експортувати орган сертифікації.
Покрокові інструкції щодо використання спеціальних сертифікатів у ESET PROTECT On-Prem описані в наступному розділі.