ESET PROTECT On-Prem – 目次

ESET PROTECT On-Premのカスタム証明書

環境内に固有のPKI (公開鍵インフラストラクチャ)があり、ESET PROTECT On-Premでカスタム証明書を使用してコンポーネント間の通信を行う場合は、次の手順ですべて設定できます。この例はWindows Server 2025で実行されます。スクリーンショットはWindowsのバージョンによって異なる場合がありますが、一般的な手順は同じです。


警告

頻繁な置換の複雑な手順を回避するため、短い有効期間(90日間有効のLet's Encryptなど)の証明書を使用しないでください。


注意

OpenSSLを使用して、新しい自己署名証明書を作成できます。詳細については、「ナレッジベース記事」を参照してください。

ESET PROTECT On-Premでカスタム証明書を使用するための段階的な手順については、次の章を参照してください。

必要なサーバーロール:

Active Directoryドメインサービス。

Active Directory Certificate ServicesとスタンドアロンRoot CAがインストールされます。

次の手順に従い、カスタム証明書を作成します。

1.管理コンソールを開き、証明書スナップインを追加します

2.カスタム証明書要求を作成します。

3.カスタム証明書要求をインポートします

4.発行されたカスタム証明書を.tmpファイルにエクスポートします。

5..tmp.ファイルをインポートします。

6.pfxファイルへの秘密鍵を含む証明書をエクスポートします。

7.認証機関のエクスポート

1.管理コンソールを開き、証明書スナップインを追加します

1.ローカル管理者グループのメンバーとしてサーバーにログインします。

2.mmc.exeを実行し、管理コンソールを開きます。

3.ファイルをクリックし、スナップインの追加と削除…を選択(またはCTRL+Mを押下)します。

4.左のペインで証明書を選択し、追加をクリックします。

証明書を追加

5.コンピューターアカウントを選択し、次へをクリックします。

6.ローカルコンピューターが選択(既定)されていることを確認し、完了をクリックします。

7.OKをクリックします。

2.カスタム証明書要求を作成します。

1.証明書(ローカルコンピューター)をダブルクリックして展開します。

2.個人を右クリックし、すべてのタスク > 詳細オプションを選択しカスタム要求の作成を選択します

カスタム証明書要求を作成します。

3.証明書登録ウィザードウィンドウが開きます。次へをクリックします。

4.登録ポリシーなしで続行するを選択し、次へをクリックして続行します。

登録ポリシーなしで続行します。

5.ドロップダウンリストから(テンプレートなし)CNGキーを選択し、PKCS #10要求形式が選択されていることを確認します。次へをクリックします。

(テンプレートなし)CNGキー

6.矢印をクリックして詳細 セクションを展開し、プロパティをクリックします。

[詳細]を展開し、[プロパティ]をクリックします。

7.全般タブで証明書のフレンドリ名を入力します。説明(任意)も入力できます。

8.件名タブの件名セクションでタイプの下のドロップダウンリストから共通名を選択し、serverフィールドに入力します。次に、追加をクリックします。CN=serverが横側の情報ボックスに表示されます。ESET Managementエージェントの証明書要求を作成する場合は、共通名値フィールドでagentを入力します。


重要

共通名には次の文字列のいずれかを含める必要があります。serverまたはagent (作成する証明書要求によって異なる)。

9.代替名 セクションで、タイプの下のドロップダウンリストからDNSを選択し、* (アスタリスク)をフィールドに入力して、追加ボタンをクリックします。


重要

件名代替名(SAN)は、ESET PROTECTサーバーとすべてのエージェントの「DNS: *」として定義してください。

代替名

10. 拡張タブで、次の操作を行います。

a)矢印をクリックして、キーの使用セクションを展開します。


重要

使用可能なオプションから次の3つのオプションを選択して追加してください。

デジタル署名

キーの承諾

キーの暗号化

これらの鍵使用を重要にするをオフにします。

キーの使用

b)矢印をクリックして、拡張キーの使用(アプリケーションポリシー)セクションを展開します。サーバー証明書のサーバー認証またはエージェント証明書のクライアント認証を選択して追加します。

拡張キーの使用

11. 秘密鍵タブで次の手順を実行します。

a)矢印をクリックし、暗号化サービスプロバイダーセクションを展開します。すべての暗号化サービスプロバイダー(CSP)の一覧が表示されます。


注意

RSA, Microsoft Software Key Storage Providerのみが選択されていることを確認します。他のすべてのCSPの選択を解除します。

b)鍵オプションセクションを展開します。鍵サイズメニューで、2048以上の値を設定します。秘密鍵をエクスポート可能にするを選択します。

c)適用をクリックして設定を確認します。

秘密鍵の設定

12. OKをクリックします。証明書情報が表示されます。次へボタンをクリックして続行します。参照をクリックして、証明書署名要求(CSR)が保存される場所を選択します。ファイル名を入力し、Base 64が選択されていることを確認します。

証明書署名要求が保存される場所を選択します。

13. 完了をクリックして、 CSRを生成します。

3.カスタム証明書要求をインポートします

1.Server Managerを開き、ツール > 認証局をクリックします。

2.認証局(ローカル)ツリーで、サーバー(通常はFQDN) > プロパティを選択し、ポリシーモジュールタブを選択します。プロパティをクリックし、[証明書要求ステータスを保留に設定する]を選択します。管理者は明示的に証明書を発行する必要があります。そうしないと、正常に動作しません。OKをクリックします。この設定を変更する必要がある場合は、Active Directory証明書サービスを再起動する必要があります。

証明書要求ステータスを保留に設定します。

3.認証局(ローカル)ツリーで、サーバー(通常はFQDN) > すべてのタスク > 新しい要求の送信を右クリックし、手順2で生成されたCSRファイルに移動します。

4.証明書は保留中の要求に追加されます。ナビゲーションペインでCSRを右クリックし、すべてのタスク > 発行を選択します。

カスタム証明書を発行します。

4.発行されたカスタム証明書を.tmpファイルにエクスポートします。

1.左のペインで発行された証明書をクリックします。エクスポートする証明書を右クリックし、すべてのタスク > バイナリデータのエクスポートをクリックします。

2.[バイナリデータのエクスポート]ダイアログで、ドロップダウンリストからバイナリ証明書を選択します。エクスポートオプションバイナリデータをファイルに保存を選択し、OKをクリックします。

バイナリデータをエクスポートします。

3.[バイナリデータの保存]ダイアログボックスで、証明書を保存するファイルの場所に移動し、保存をクリックします。

5..tmp.ファイルをインポートします。

1.証明書(ローカルコンピューター)に移動し、個人を右クリックして、すべてのタスク > インポートを選択します。

2.次へをクリックします。

3.参照を使用して以前に保存された.tmpバイナリファイルを見つけ、開くをクリックします。すべての証明書を次のストアに配置する > 個人を選択します。次へをクリックします。

4.完了をクリックし、証明書をインポートします。

6.pfxファイルへの秘密鍵を含む証明書をエクスポートします。

1.証明書(ローカルコンピューター)で、個人を展開し、証明書をクリックし、エクスポートする新しい証明書を右クリックしてすべてのタスク > エクスポートを選択します。

2.証明書エクスポートウィザードはい、秘密鍵をエクスポートしますをクリックします。(このオプションは、秘密鍵がエクスポート可能に設定され、秘密鍵にアクセスできる場合にのみ表示されます。)

3.エクスポートファイル形式の下で、Personal Information Exchange -PKCS #12 (.PFX)を選択し、すべての証明書を認証パスに含めるには、可能な場合には認証パスのすべての証明書を含めることを選択するチェックボックスをオンにし、次へをクリックします。

エクスポートファイル形式

4.パスワードチェックボックスを選択して、エクスポートする秘密鍵を暗号化するパスワードを入力します。パスワードの確認フィールドで、同じパスワードをもう一度入力し、次へをクリックします。


警告

証明書パスフレーズには、次の文字を含めることはできません:" \これらの文字は、エージェントの初期化中に重大なエラーを引き起こします。

パスワードには、小文字、大文字、数字、特殊文字のうち3つのカテゴリで、10文字以上が含まれている必要があります。17文字以上のパスワードを使用することをお勧めします。

秘密鍵を暗号化するパスワードを入力します。

5.ファイル名で、エクスポートされた証明書と秘密鍵を保存する.pfxファイルのファイル名とパスを入力します。[次へ]をクリックし、[終了]をクリックします。


注意

上記の例は、ESET Managementエージェント証明書の作成方法です。ESET PROTECTサーバー証明書で同じ手順を繰り返します。

この証明書を使用して、Webコンソールの別の新しい証明書に署名することはできません。

7.認証機関のエクスポート

1.Server Managerを開き、ツール > 認証局をクリックします。

2.認証局(ローカル)ツリーで、サーバー(通常はFQDN) > プロパティ > 一般タブを選択し、証明書の表示をクリックします。

3.詳細タブで、ファイルにコピーをクリックします。証明書エクスポートウィザードが開きます。

4.エクスポートファイル形式ウィンドウで、DER暗号化バイナリX.509 (.CER)を選択し、次へをクリックします。

5.参照をクリックして、.cerファイルが保存される場所を選択し、次へをクリックします。

6.完了をクリックし、認証局をエクスポートします。