ESET PROTECT On-Prem – Índice

Certificados personalizados com ESET PROTECT On-Prem

Se você tem seu próprio PKI (infraestrutura de chave pública) dentro do seu ambiente e quer que o ESET PROTECT On-Prem use seus certificados personalizados para comunicação entre os componentes, veja o exemplo abaixo. Esse exemplo é executado em um Windows Server 2025. Capturas de tela podem variar em outras versões do windows, mas o procedimento geral permanece o mesmo.


Alerta

Não use certificados com validade curta (por exemplo, Let's Encrypt que são válidos por 90 dias) para evitar o procedimento complexo de uma substituição frequente.


Observação

Você pode usar o OpenSSL para criar novos certificados com assinatura própria. Veja nosso artigo da Base de conhecimento para obter mais informações.

Para instruções passo a passo sobre o uso de certificados personalizados no ESET PROTECT On-Prem, consulte o próximo capítulo.

Funções de servidor necessárias:

Serviços de domínio do Active Directory.

Certificado de Serviço do Active Directory com o CA de Raiz Autônomo instalado.

Para criar um certificado personalizado, siga as etapas abaixo:

1. Abra o Console de gerenciamento e adicione Snap-ins de Certificados

2. Criar uma Solicitação de certificado personalizado:

3. Importar sua solicitação de certificado personalizado

4. Exportar Certificado personalizado emitido para o arquivo .tmp.

5. Importar o arquivo .tmp

6. Exporte o Certificado incluindo uma chave privada para o arquivo .pfx.

7. Exportar Autoridade de certificação

1. Abra o Console de gerenciamento e adicione Snap-ins de Certificados

1.Faça logon no servidor como membro do grupo Administrador local.

2.Execute o mmc.exe para abrir o Console de gerenciamento.

3.Clique em Arquivo e selecione Adicionar/remover Snap-in... (ou pressione CTRL+M).

4.Selecione Certificados no painel da esquerda e clique no botão Adicionar.

Adicionar certificado

5.Selecione Conta de computador e clique em Avançar.

6.Certifique-se que o Computador Local está selecionado (padrão) e clique em Concluir.

7.Clique em OK.

2. Criar uma Solicitação de certificado personalizado:

1.Clique duas vezes em Certificados (Computador local) para expandir.

2.Clique com o botão direito em Pessoal e selecione Todas as tarefas > Operações avançadas e escolha Criar solicitação personalizada

Criar uma Solicitação de certificado personalizado.

3.A janela do assistente de Inscrição de certificado vai abrir, clique em Avançar.

4.Selecione Continuar sem política de inscrição e clique em Avançar para continuar.

Continuar sem a política de inscrição.

5.Escolha (Sem modelo) Chave CNG da lista suspensa e certifique-se de que o formato de solicitação PKCS #10 foi selecionado. Clique em Avançar.

(Sem modelo) Chave CNG

6.Clique na seta para abrir a seção Detalhes e clique em Propriedades.

Expanda os Detalhes e clique em Propriedades.

7.Na guia Geral, digite o Nome amigável do seu certificado, você também pode digitar a Descrição (opcional).

8.Na guia Assunto, na seção Nome do assunto, selecione Nome comum na lista suspensa em Tipo, digite server no campo Valor, então clique em Adicionar. O CN=server vai aparecer na caixa de informações na lateral. Se você estiver criando uma solicitação de certificado para o Agente ESET Management digite agent no campo de valor de nome comum.


IMPORTANTE

O Nome comum deve conter uma dessas strings: server ou agent, dependendo de qual Solicitação de certificado você quer criar.

9.Na seção Nome alternativo, escolha DNS da lista suspensa em Tipo e digite * (asterisco) no campo Valor, então clique no botão Adicionar.


IMPORTANTE

O Nome alternativo para o assunto (Subject Alternative Name – SAN) deve ser definido como "DNS:*" para o Servidor ESET PROTECT e para todos os agentes.

Nome alternativo

10. Na guia Extensões, faça o seguinte:

a)Abra a seção Uso de chave clicando na seta.


IMPORTANTE

Certifique-se de selecionar e adicionar estas 3 opções das Opções disponíveis:

Assinatura digital

Acordo de chave

Criptografia de chave

Desmarque a opção Tornar o uso dessas chaves crítico.

Uso da chave

b)Abra a seção Uso estendido de chave (políticas de aplicativo) clicando na seta. Selecione e adicione Autenticação de servidor para o certificado de servidor ou Autenticação de cliente para o certificado de agente.

Uso estendido de chave

11. Na guia Chave privada, faça o seguinte:

a)Abra a seção Provedor de serviço criptográfico clicando na seta. Uma lista de todos os provedores de serviços de criptografia (CSP) será exibida.


Observação

Certifique-se de que apenas RSA, Provedor de Armazenamento de Chave de Software da Microsoft esteja selecionado. Desmarque todos os outros CSPs.

b)Abra a seção Chave Opções. No menu Tamanho da chave, defina um valor de pelo menos 2048. Selecione Tornar chave privada exportável.

c)Clique em Aplicar e verifique suas configurações.

Configurações da chave privada

12. Clique em OK. Informações do certificado serão exibidas. Clique no botão Avançar para continuar. Clique em Procurar para selecionar o local onde a solicitação de assinatura de certificado (CSR) será salva. Digite o nome do arquivo e certifique-se de que Base 64 está selecionado.

Selecione o local onde a solicitação de assinatura de certificado será salva.

13. Clique em Concluir para gerar o CSR.

3. Importar sua solicitação de certificado personalizado

1.Abra o Gerenciador de servidor e clique em Ferramentas > Autoridade de Certificação.

2.Na árvore Autoridade de Certificação (Local), selecione Seu servidor (geralmente FQDN) > Propriedades e selecione a guia Módulo de Política. Clique em Propriedades e selecione Definir o status da solicitação de certificado como pendente. O administrador deve emitir explicitamente o certificado. Caso contrário, o processo não funcionará corretamente. Clique em OK. Você precisará reiniciar os serviços de certificados do Active Directory se precisar alterar essa configuração.

Definir o status da solicitação de certificado como pendente.

3.Na árvore Autoridade de Certificação (Local), clique com o botão direito do mouse em Seu servidor (geralmente FQDN) > Todas as tarefas > Enviar nova solicitação e vá para o arquivo CSR gerado anteriormente na etapa 2.

4.O certificado será adicionado a Solicitações pendentes. Clique com o botão direito do mouse em CSR no painel de navegação e selecione Todas as tarefas > Emissão.

Emitir um certificado personalizado.

4. Exportar Certificado personalizado emitido para o arquivo .tmp.

1.Selecione Certificados Emitidos no painel da esquerda. Clique com o botão direito no certificado que você deseja exportar e clique em Todas as tarefas > Exportar dados binários.

2.No diálogo Exportar dados binários, escolha Certificado binário da lista suspensa. Em Opções de exportação, clique em Salvar dados binários para um arquivo e clique em OK.

Exportar dados binários.

3.Na caixa de diálogo Salvar dados binários, vá para o local do arquivo onde deseja salvar o certificado e clique em Salvar.

5. Importar o arquivo .tmp

1.Vá para Certificado (Computador local) > clique com o botão direito em Pessoal, selecione Todas as tarefas > Importar.

2.Clique em Avançar.

3.Localize seu arquivo binário .tmp salvo anteriormente usando Procurar e clique em Abrir. Selecione Colocar todos os certificados no armazenamento a seguir > Pessoal. Clique em Avançar.

4.Clique em Concluir para importar o certificado.

6. Exporte o Certificado incluindo uma chave privada para o arquivo .pfx.

1.Em Certificados (computador local), abra Pessoal e clique em Certificados, clique com o botão direito do mouse no novo certificado que deseja exportar e selecione Todas as tarefas > Exportar.

2.No Assistente de exportação de certificados, clique em Sim, exportar a chave privada. (Esta opção vai aparecer somente se a chave privada for marcada como de exportação possível e se você tiver acesso à chave privada.)

3.Em Formato de arquivo de exportação, selecione Personal Information Exchange -PKCS #12 (.PFX), selecione a caixa de marcação ao lado de Incluir todos os certificados no caminho de certificação se possível e clique em Avançar.

Formato do arquivo exportado

4.Selecione a caixa de seleção Senha e digite uma senha para criptografar a chave privada que você está exportando. No campo Confirmar senha, digite a mesma senha novamente e clique em Avançar.


Alerta

A senha do certificado não deve ter os seguintes caracteres: " \ Esses caracteres causam um erro crítico durante a inicialização do Agente.

A senha deve conter pelo menos 14 caracteres em três categorias: letras minúsculas, letras maiúsculas, dígitos ou caracteres especiais. Recomendamos o uso de uma senha com pelo menos 17 caracteres.

Digite uma senha para criptografar a chave privada.

5.No Nome do arquivo, digite um nome de arquivo e caminho para o arquivo .pfx que vai armazenar o certificado exportado e a chave privada. Clique em Avançar e depois em Concluir.


Observação

O exemplo acima mostra como criar o certificado de um Agente ESET Management. Repita as mesmas etapas para os certificados do Servidor ESET PROTECT.

Não é possível usar esse certificado para assinar outro novo certificado no console da Web.

7. Exportar Autoridade de certificação

1.Abra o Gerenciador de servidor e clique em Ferramentas > Autoridade de Certificação.

2.Na árvore Autoridade de Certificação (Local), selecione Seu servidor (geralmente FQDN) > Propriedades > Geral e selecione a guia Exibir certificado.

3.Na guia Detalhes, clique em Copiar para o arquivo. O Assistente de exportação do certificado vai abrir.

4.Na janela Formato de exportação do arquivo, selecione binário codificado DER X.509 (.CER) e clique em Avançar.

5.Clique em Procurar para selecionar o local onde o arquivo .cer será salvo e clique em Avançar.

6.Clique em Concluir para exportar a autoridade de certificação.