Certificados personalizados com ESET PROTECT On-Prem
Se você tem seu próprio PKI (infraestrutura de chave pública) dentro do seu ambiente e quer que o ESET PROTECT On-Prem use seus certificados personalizados para comunicação entre os componentes, veja o exemplo abaixo. Esse exemplo é executado em um Windows Server 2025. Capturas de tela podem variar em outras versões do windows, mas o procedimento geral permanece o mesmo.
Não use certificados com validade curta (por exemplo, Let's Encrypt que são válidos por 90 dias) para evitar o procedimento complexo de uma substituição frequente. |
•Você pode usar o OpenSSL para criar novos certificados com assinatura própria. Veja nosso artigo da Base de conhecimento para obter mais informações. •Para instruções passo a passo sobre o uso de certificados personalizados no ESET PROTECT On-Prem, consulte o próximo capítulo. |
Funções de servidor necessárias:
•Serviços de domínio do Active Directory.
•Certificado de Serviço do Active Directory com o CA de Raiz Autônomo instalado.
Para criar um certificado personalizado, siga as etapas abaixo:
1. Abra o Console de gerenciamento e adicione Snap-ins de Certificados
2. Criar uma Solicitação de certificado personalizado:
3. Importar sua solicitação de certificado personalizado
4. Exportar Certificado personalizado emitido para o arquivo .tmp.
6. Exporte o Certificado incluindo uma chave privada para o arquivo .pfx.
7. Exportar Autoridade de certificação
1. Abra o Console de gerenciamento e adicione Snap-ins de Certificados
1.Faça logon no servidor como membro do grupo Administrador local.
2.Execute o mmc.exe para abrir o Console de gerenciamento.
3.Clique em Arquivo e selecione Adicionar/remover Snap-in... (ou pressione CTRL+M).
4.Selecione Certificados no painel da esquerda e clique no botão Adicionar.

5.Selecione Conta de computador e clique em Avançar.
6.Certifique-se que o Computador Local está selecionado (padrão) e clique em Concluir.
7.Clique em OK.
2. Criar uma Solicitação de certificado personalizado:
1.Clique duas vezes em Certificados (Computador local) para expandir.
2.Clique com o botão direito em Pessoal e selecione Todas as tarefas > Operações avançadas e escolha Criar solicitação personalizada

3.A janela do assistente de Inscrição de certificado vai abrir, clique em Avançar.
4.Selecione Continuar sem política de inscrição e clique em Avançar para continuar.

5.Escolha (Sem modelo) Chave CNG da lista suspensa e certifique-se de que o formato de solicitação PKCS #10 foi selecionado. Clique em Avançar.

6.Clique na seta para abrir a seção Detalhes e clique em Propriedades.

7.Na guia Geral, digite o Nome amigável do seu certificado, você também pode digitar a Descrição (opcional).
8.Na guia Assunto, na seção Nome do assunto, selecione Nome comum na lista suspensa em Tipo, digite server no campo Valor, então clique em Adicionar. O CN=server vai aparecer na caixa de informações na lateral. Se você estiver criando uma solicitação de certificado para o Agente ESET Management digite agent no campo de valor de nome comum.
O Nome comum deve conter uma dessas strings: server ou agent, dependendo de qual Solicitação de certificado você quer criar. |
9.Na seção Nome alternativo, escolha DNS da lista suspensa em Tipo e digite * (asterisco) no campo Valor, então clique no botão Adicionar.
O Nome alternativo para o assunto (Subject Alternative Name – SAN) deve ser definido como "DNS:*" para o Servidor ESET PROTECT e para todos os agentes. |

10. Na guia Extensões, faça o seguinte:
a)Abra a seção Uso de chave clicando na seta.
Certifique-se de selecionar e adicionar estas 3 opções das Opções disponíveis: •Assinatura digital •Acordo de chave •Criptografia de chave Desmarque a opção Tornar o uso dessas chaves crítico. |

b)Abra a seção Uso estendido de chave (políticas de aplicativo) clicando na seta. Selecione e adicione Autenticação de servidor para o certificado de servidor ou Autenticação de cliente para o certificado de agente.

11. Na guia Chave privada, faça o seguinte:
a)Abra a seção Provedor de serviço criptográfico clicando na seta. Uma lista de todos os provedores de serviços de criptografia (CSP) será exibida.
Certifique-se de que apenas RSA, Provedor de Armazenamento de Chave de Software da Microsoft esteja selecionado. Desmarque todos os outros CSPs. |
b)Abra a seção Chave Opções. No menu Tamanho da chave, defina um valor de pelo menos 2048. Selecione Tornar chave privada exportável.
c)Clique em Aplicar e verifique suas configurações.

12. Clique em OK. Informações do certificado serão exibidas. Clique no botão Avançar para continuar. Clique em Procurar para selecionar o local onde a solicitação de assinatura de certificado (CSR) será salva. Digite o nome do arquivo e certifique-se de que Base 64 está selecionado.

13. Clique em Concluir para gerar o CSR.
3. Importar sua solicitação de certificado personalizado
1.Abra o Gerenciador de servidor e clique em Ferramentas > Autoridade de Certificação.
2.Na árvore Autoridade de Certificação (Local), selecione Seu servidor (geralmente FQDN) > Propriedades e selecione a guia Módulo de Política. Clique em Propriedades e selecione Definir o status da solicitação de certificado como pendente. O administrador deve emitir explicitamente o certificado. Caso contrário, o processo não funcionará corretamente. Clique em OK. Você precisará reiniciar os serviços de certificados do Active Directory se precisar alterar essa configuração.

3.Na árvore Autoridade de Certificação (Local), clique com o botão direito do mouse em Seu servidor (geralmente FQDN) > Todas as tarefas > Enviar nova solicitação e vá para o arquivo CSR gerado anteriormente na etapa 2.
4.O certificado será adicionado a Solicitações pendentes. Clique com o botão direito do mouse em CSR no painel de navegação e selecione Todas as tarefas > Emissão.

4. Exportar Certificado personalizado emitido para o arquivo .tmp.
1.Selecione Certificados Emitidos no painel da esquerda. Clique com o botão direito no certificado que você deseja exportar e clique em Todas as tarefas > Exportar dados binários.
2.No diálogo Exportar dados binários, escolha Certificado binário da lista suspensa. Em Opções de exportação, clique em Salvar dados binários para um arquivo e clique em OK.

3.Na caixa de diálogo Salvar dados binários, vá para o local do arquivo onde deseja salvar o certificado e clique em Salvar.
5. Importar o arquivo .tmp
1.Vá para Certificado (Computador local) > clique com o botão direito em Pessoal, selecione Todas as tarefas > Importar.
2.Clique em Avançar.
3.Localize seu arquivo binário .tmp salvo anteriormente usando Procurar e clique em Abrir. Selecione Colocar todos os certificados no armazenamento a seguir > Pessoal. Clique em Avançar.
4.Clique em Concluir para importar o certificado.
6. Exporte o Certificado incluindo uma chave privada para o arquivo .pfx.
1.Em Certificados (computador local), abra Pessoal e clique em Certificados, clique com o botão direito do mouse no novo certificado que deseja exportar e selecione Todas as tarefas > Exportar.
2.No Assistente de exportação de certificados, clique em Sim, exportar a chave privada. (Esta opção vai aparecer somente se a chave privada for marcada como de exportação possível e se você tiver acesso à chave privada.)
3.Em Formato de arquivo de exportação, selecione Personal Information Exchange -PKCS #12 (.PFX), selecione a caixa de marcação ao lado de Incluir todos os certificados no caminho de certificação se possível e clique em Avançar.

4.Selecione a caixa de seleção Senha e digite uma senha para criptografar a chave privada que você está exportando. No campo Confirmar senha, digite a mesma senha novamente e clique em Avançar.
•A senha do certificado não deve ter os seguintes caracteres: " \ Esses caracteres causam um erro crítico durante a inicialização do Agente. •A senha deve conter pelo menos 14 caracteres em três categorias: letras minúsculas, letras maiúsculas, dígitos ou caracteres especiais. Recomendamos o uso de uma senha com pelo menos 17 caracteres. |

5.No Nome do arquivo, digite um nome de arquivo e caminho para o arquivo .pfx que vai armazenar o certificado exportado e a chave privada. Clique em Avançar e depois em Concluir.
O exemplo acima mostra como criar o certificado de um Agente ESET Management. Repita as mesmas etapas para os certificados do Servidor ESET PROTECT. Não é possível usar esse certificado para assinar outro novo certificado no console da Web. |
7. Exportar Autoridade de certificação
1.Abra o Gerenciador de servidor e clique em Ferramentas > Autoridade de Certificação.
2.Na árvore Autoridade de Certificação (Local), selecione Seu servidor (geralmente FQDN) > Propriedades > Geral e selecione a guia Exibir certificado.
3.Na guia Detalhes, clique em Copiar para o arquivo. O Assistente de exportação do certificado vai abrir.
4.Na janela Formato de exportação do arquivo, selecione binário codificado DER X.509 (.CER) e clique em Avançar.
5.Clique em Procurar para selecionar o local onde o arquivo .cer será salvo e clique em Avançar.
6.Clique em Concluir para exportar a autoridade de certificação.