搭配 ESET PROTECT On-Prem 的自訂憑證
如果您在環境內有自己的 PKI (公開金鑰基礎結構),而且想要 ESET PROTECT On-Prem 使用您的自訂憑證在其元件之間進行通訊,請參閱以下範例。此範例會在 Windows Server 2025 上執行。螢幕擷取畫面可能因 Windows 版本而異,但一般程序維持不變。
|
請勿使用有效性短的憑證 (例如 Let's Encrypt 的有效性為 90 天),以避開其頻繁替換的複雜過程。 |
|
您可以使用 OpenSSL 建立新的自我簽署憑證。如需詳細資訊,請參閱我們的知識庫文章。 |
必要伺服器角色:
•Active Directory 網域服務。
•已安裝 Stand-Alone Root CA 的 Active Directory 憑證服務。
1.開啟 [管理主控台],然後新增 [憑證] 嵌入式管理單元:
a)以本機管理員群組的成員身分登入伺服器。
b)執行 mmc.exe 來開啟管理主控台。
c)按一下 [檔案],然後選取 [新增/移除嵌入式管理單元...] (或按 CTRL+M)。
d)在左窗格中選取 [憑證],然後按一下 [新增]。
e)選取 [電腦帳戶],再按 [下一步]。
f)確定已選取 [本機電腦] (預設值),然後按一下 [完成]。
g)按一下 [確定]。
2.建立 [自訂憑證要求]:
a)按兩下 [憑證] (本機電腦) 來展開它。
b)用滑鼠右鍵按一下 [個人] 並選取 [所有工作] > [進階操作],然後選擇 [建立自訂要求]。
![建立 [自訂憑證要求]。](./images/using_custom_certificate_02.png "建立 [自訂憑證要求]。")
c)憑證註冊精靈視窗即會開啟,請按一下 [下一步]。
d)選取 [在沒有註冊原則的情況下繼續],再按一下 [下一步] 以繼續。
e)從下拉式清單中選擇 [(沒有範本) CNG 金鑰],並確定已選取 [PKCS #10] 要求格式。按一下 [下一步]。
f)按一下箭號以展開 [詳細資料] 區段並按一下 [內容]。
![展開 [詳細資訊] 並按一下 [屬性]。](./images/using_custom_certificate_05.png "展開 [詳細資訊] 並按一下 [屬性]。")
g)在 [一般] 索引標籤中,為您的憑證輸入 [易記名稱],您也可以輸入 [說明] (選用)。
h)在 [主體] 索引標籤中,請執行下列動作:
在 [主體名稱] 區段中,從 [類型] 下的下拉清單中選取 [常用名稱],將 server 輸入 [值] 欄位,然後按一下 [新增]。CN=server 將出現在側邊的資訊方塊中。如果您針對 ESET Management 代理程式建立憑證要求,請在 [通訊名稱值] 欄位中輸入 agent。
|
通用名稱必須包含下列其中一個字串:server 或 agent,視您要建立的憑證要求而定。 |
i)在 [替代名稱] 區段中,從 [類型] 下的下拉清單中選擇 DNS,並將 * (星號) 輸入至 [值] 欄位,然後按一下 [新增] 按鈕。
|
對於 ESET PROTECT 伺服器和所有代理程式,主旨替代名稱 (SAN) 應該定義為「DNS:*」。 |
j)在 [延伸模組] 索引標籤中,請執行下列操作:
i.按一下箭頭展開 [金鑰使用方法] 區段。
|
請務必從 [可用選項] 中選取並新增下列 3 個選項: •數位簽章 •金鑰合約 •金鑰加密 取消選取 [令這些金鑰使用方法成為關鍵] 選項。 |
ii.按一下箭頭展開 [延伸的金鑰使用方法 (應用程式原則)] 區段。選取並新增 [伺服器驗證] 用於伺服器憑證,或 [用戶端驗證] 用於代理程式憑證。
k)在 [私密金鑰] 索引標籤中,執行下列動作:
i.按一下箭頭展開 [密碼編譯服務提供者] 區段。會顯示所有密碼編譯服務提供者 (CSP)。
|
確保只選取 [RSA,Microsoft 軟體金鑰儲存提供者]。取消選取所有其他的 CSP。 |
ii.展開 [金鑰] [選項] 區段。在 [金鑰大小] 功能表中,設定至少 2048 的值。選取 [可匯出私密金鑰]。
iii.按一下 [套用],並檢查您的設定。
l)按一下 [確定]。將顯示憑證資訊。按一下 [下一步] 按鈕繼續。按一下 [瀏覽],以選取用來儲存憑證簽署要求 (CSR) 的位置。輸入檔案名稱,並確定選取 [Base 64]。
m) 按一下 [完成] 以產生 CSR。
3.若要匯入您的自訂憑證要求,請依照下列步驟:
a)開啟 [伺服器管理員]並按一下 [工具] > [憑證授權單位]。
b)在 [憑證授權單位 (本機)] 樹狀結構中,選取 [您的伺服器] (通常為 FQDN) > [內容],然後選取 [原則模組] 索引標籤。按一下 [內容 並選取 [將憑證要求的狀態設定為擱置。系統管理員必須明確發行憑證]。否則,其就無法正常運作。按一下 [確定]。如果您需要變更此設定,您必須重新啟動 Active Directory 憑證服務。
c)在 [憑證授權單位 (本機)] 樹狀結構中,以滑鼠右鍵按一下 [您的伺服器 (通常為 FQDN)] > [所有工作] > [提交新要求],然後瀏覽至您先前在步驟 2 中產生的 CSR 檔案。
d)憑證將新增至 [擱置的要求] 下方。在瀏覽窗格中以滑鼠右鍵按一下 [CSR],並且選取 [所有工作] > [問題]。
4.將 [發出的自訂憑證] 匯出至 .tmp 檔案。
a)選取左窗格中的 [發出的憑證]。用滑鼠右鍵按一下您要匯出的憑證,然後按一下 [所有工作] > [匯出二進位資料...]。
b)在 [匯出二進位資料] 對話方塊中,從下拉清單中選擇 [二進位檔案憑證]。在 [匯出] 選項中,按一下 [將二進位資料儲存到檔案],然後按一下 [確定]。
c)在 [儲存二進位資料] 對話方塊中,移動至您要儲存憑證的檔案位置,然後按一下 [儲存]。
5.匯入 ..tmp 檔案。
a)移至 [憑證 (本機電腦)] > 用滑鼠右鍵按一下 [個人],選取 [所有工作] > [匯入...]。
b)按一下 [下一步]。
c)使用 [瀏覽] 找出儲存的 .tmp 二進位檔案,然後按一下 [開啟]。選取 [將所有憑證放入以下的存放區] > [個人]。按一下 [下一步]。
d)按一下 [完成] 匯入憑證。
6.將包括私密金鑰的憑證匯出至 .pfx 檔案。
a)在 [憑證授權單位 (本機)] 中展開 [個人]並且選取 [憑證],以滑鼠右鍵按一下擊您想履匯出的新憑證,然後選取 [所有工作] > [匯出]。
b)在 [憑證匯出精靈] 中,按一下 [是,匯出私密金鑰]。(只在私密金鑰標示為可匯出,而且您有私密金鑰存取權時,此選項才會顯示。)
c)在 [匯出檔案格式] 下,選取 [Personal Information Exchange -PKCS #12 (.PFX)]、選取 [如果可能的話,包含憑證路徑中的所有憑證] 核取方塊,再按一下 [下一步]。
d)選取 [密碼] 核取方塊,輸入密碼以加密您正要匯出的私密金鑰。在 [確認密碼] 中,再次輸入相同密碼,然後按一下 [下一步]。
|
•憑證密碼不得包含下列字元:" \ 這些字元在代理程式初始化期間會造成嚴重錯誤。 •密碼必須至少包含 14 個字元,且包含下列其中三個類別:小寫字母、大寫字母、數字或特殊字元。我們建議使用不少於 17 個字元的密碼。 |
e)在 [檔案名稱] 中,輸入 .pfx 檔案的名稱和路徑,而此檔案將儲存已匯出的憑證和私密金鑰。按一下 [下一步],然後按一下 [完成]。
|
上面範例顯示如何建立 ESET Management 伺服器憑證。對 ESET PROTECT 伺服器憑證重複相同步驟。 您可以使用此憑證在 Web 主控台中簽署其他新憑證。 |
7.匯出憑證授權單位:
a)開啟 [伺服器管理員]並按一下 [工具] > [憑證授權單位]。
b)在 [憑證授權單位 (本機)] 樹狀結構中,選取 [您的伺服器] (通常為 FQDN) > [內容] > [一般],然後選取 [檢視憑證] 索引標籤。
c)在 [詳細資料] 索引標籤中按一下 [複製到檔案]。[憑證匯出精靈] 將會開啟。
d)在 [匯出檔案格式] 視窗中,選取 [DER 加密二進位檔案 X.509 (.CER)] 並按一下 [下一步]。
e)按一下 [瀏覽],以選取用來儲存 .cer 檔案的位置並按一下 [下一步]。
f)按一下 [完成] 匯入憑證授權單位。
如需在 ESET PROTECT On-Prem 中使用自訂憑證的逐步指示,請參閱下一章節。