Certificats personnalisés avec ESET PROTECT
Si vous avez votre propre PKI (infrastructure de clé publique) et souhaitez qu'ESET PROTECT utilise vos certificats personnalisés pour la communication entre ses composants, reportez-vous à l'exemple ci-dessous. Cet exemple a été réalisé sous Windows Server 2012 R2. Certains écrans peuvent être différents sous d'autres versions de Windows, mais la procédure générale reste la même.
•N'utilisez pas de certificats dont la validité est courte (par exemple Let's Encrypt qui sont valides pendant 90 jours) pour éviter la procédure complexe de leur remplacement fréquent. •Si vous administrez des appareils mobiles, il n'est pas recommandé d'utiliser des certificats signés automatiquement (y compris les certificats signés par l'autorité de certification ESET PROTECT), car les appareils mobiles ne permettent pas tous de les accepter. Il est recommandé d'utiliser un certificat personnalisé qui a été fourni par une autorité de certification tierce. |
Vous pouvez utiliser OpenSSL pour créer des certificats signés automatiquement. Pour plus d'informations, consultez cet article de la base de connaissances. |
Rôles de serveur requis :
•Services de domaine Active Directory.
•Services de certificats Active Directory avec l'autorité de certification racine autonome installée.
1.Ouvrez la console de gestion et ajoutez les snap-ins de certificat :
a)Connectez-vous au serveur en tant que membre du groupe administrateur local.
b)Exécutez mmc.exe pour ouvrir la console de gestion.
c)Cliquez sur Fichier et sélectionnez Ajouter/Supprimer un snap-in... (ou appuyez sur CTRL+M).
d)Sélectionnez Certificats dans le volet de gauche et cliquez sur Ajouter.
e)Sélectionnez Compte d'ordinateur et cliquez sur Suivant.
f)Vérifiez que l'option Ordinateur local est sélectionnée (par défaut) et cliquez sur Terminer.
g)Cliquez sur OK.
2.Créez une demande de certificat personnalisé :
a)Double-cliquez sur Certificats (Ordinateur local) pour l'ouvrir.
b)Double-cliquez sur Personnel pour l'ouvrir. Cliquez avec le bouton droit sur Certificats et sélectionnez Toutes les tâches > Opérations avancées et choisissez Créer une demande personnalisée
c)La fenêtre de l'assistant d'inscription du certificat s'ouvre, cliquez sur Suivant.
d)Sélectionnez l'option Continuer sans politique d’inscription et cliquez sur Suivant pour continuer.
e)Choisissez Clé existante (Aucun modèle) dans la liste déroulante et vérifiez que le format de demande PKCS #10 est sélectionné. Cliquez sur Suivant.
f)Cliquez sur la flèche pour développer la section Détails, puis cliquez sur Propriétés.
g)Dans l'onglet Général, saisissez le Nom convivial du certificat ; vous pouvez également saisir une description (facultatif).
h)Dans l'onglet Sujet, effectuez les opérations suivantes :
Dans la section Nom du sujet sélectionnez un nom commun dans la liste déroulante sous Type, entrez era server dans le champ Valeur, puis cliquez sur le bouton Ajouter. CN=era server apparaîtra dans la boite d'information sur la droite. Si vous créez une demande de certificat pour ESET Management Agent, saisissez era agent dans le champ de valeur du nom commun.
Le nom commun doit contenir l'une de ces chaînes : « serveur » ou « agent », selon la demande de certificat que vous souhaitez créer. |
i)Dans la section Autre nom, choisissez DNS à partir de la liste déroulante sous Type et entrez * (astérisque) dans le champ Valeur, puis cliquez sur le bouton Ajouter.
Le SAN doit être défini en tant que « DNS :* » pour ESET PROTECT Server et pour tous les Agents. |
j)Dans l'onglet Extensions, développez la section Utilisation de clé en cliquant sur la flèche. Ajoutez les informations suivantes des Options disponibles : Signature numérique, Accord de clé, Chiffrement de clé. Désélectionnez Rendre ces utilisations de clé critiques.
Veillez à sélectionner ces 3 options sous Utilisation de clé > Signature du certificat de clé : •Signature numérique •Accord de clé •Chiffrement de la clé |
k)Dans l'onglet Clé privée, effectuez les opérations suivantes :
i.Développez la section Fournisseur de service cryptographique en cliquant sur la flèche. La liste de tous les fournisseurs de services cryptographiques s'affiche. Vérifiez que seule l'option Fournisseur de service cryptographique Microsoft RSA SChannel (cryptage) est sélectionnée.
Désélectionnez tous les fournisseurs de services cryptographiques autres que Fournisseur de service cryptographique Microsoft RSA SChannel (cryptage). |
i.Développez la section Options de clé. Dans le menu Taille de clé, définissez une valeur d'au moins 2048. Sélectionnez Rendre la clé privée exportable.
ii.Développez la section Type de clé et sélectionnez Échanger. Cliquez sur Appliquer et vérifiez les paramètres.
l)Cliquez sur OK. Les informations de certificat s'affichent. Cliquez sur le bouton Suivant pour continuer. Cliquez sur Parcourir pour sélectionner l'emplacement dans lequel la demande de signature de certificat sera enregistrée. Saisissez le nom de fichier et vérifiez que l'option Base 64 est sélectionnée.
m)Cliquez sur Terminer pour générer la demande de signature de certificat.
3.Pour importer la demande de certificat personnalisé, procédez comme suit :
a)Ouvrez le gestionnaire de serveurs, puis cliquez sur Outils > Autorité de certification.
b)Dans l'arborescence Autorité de certification (locale), sélectionnez votre serveur (généralement FQDN) > Propriétés, puis sélectionnez l'onglet Module de politique. Cliquez sur Propriétés et sélectionnez Définir le statut de demande de certificat sur En attente. L’administrateur doit explicitement émettre le certificat. Sinon, cette opération ne fonctionnera pas correctement. Vous devez redémarrer les services de certificat Active Directory si vous devez modifier ce paramètre.
c)Dans l'arborescence Autorité de certification (locale), sélectionnez votre serveur (généralement FQDN) > Toutes les tâches > Envoyer une nouvelle demande et accédez au fichier CSR généré à l'étape 2.
d)Le certificat est ajouté aux demandes en attente. Sélectionnez le fichier CSR dans le panneau de navigation de droite. Dans le menu Action, sélectionnez Toutes les tâches > Émettre.
4.Exportez le certificat personnalisé émis dans le fichier .tmp.
a)Sélectionnez les certificats émis dans le volet de gauche. Cliquez avec le bouton droit sur le certificat que vous souhaitez exporter, cliquez sur Toutes les tâches > Exporter les données binaires.
b)Dans la boîte de dialogue Exporter les données binaires, choisissez Certificat binaire dans la liste déroulante. Dans Options d'exportation, cliquez sur Enregistrer les données binaires dans un fichier et cliquez sur OK.
c)Dans la boîte de dialogue Enregistrer les données binaires, indiquez l'emplacement d'enregistrement du certificat, puis cliquez sur Enregistrer.
5.Importez le fichier ..tmp.
a)Accédez à Certificat (ordinateur local) > cliquez avec le bouton droit sur Personnel et sélectionnez Toutes les tâches > Importer.
b)Cliquez sur Suivant.
c)Localisez le fichier binaire .tmp enregistré en utilisant Parcourir... et cliquez sur Ouvrir. Sélectionnez Placer tous les certificats dans le magasin suivant > Personnel. Cliquez sur Suivant.
d)Cliquez sur Terminer pour importer le certificat.
6.Exportez le certificat, y compris la clé privée, dans le fichier .pfx.
a)Dans Certificats (ordinateur local) développez Personnel et cliquez sur Certificats, sélectionnez le nouveau certificat que vous souhaitez exporter. Dans le menu Action, pointez Toutes les tâches > Exporter.
b)Dans l'assistant d'exportation du certificat, cliquez sur Oui, exporter la clé privée. (Cette option n'apparaît que si la clé privée est marquée comme étant exportable et si vous avez accès à la clé privée.)
c)Dans Format du fichier exporté, sélectionnez Échange d'informations personnelles -PKCS #12 (.PFX), cochez la case en regard de l'option Inclure tous les certificats dans le chemin de certification si possible et cliquez sur Suivant.
d)Mot de passe, saisissez un mot de passe pour chiffrer la clé privée que vous exportez. Dans le champ Confirmer le mot de passe, saisissez de nouveau le même mot de passe, puis cliquez sur Suivant.
La phrase secrète du certificat ne doit pas contenir les caractères suivants : " \ Ces caractères peuvent entraîner une erreur critique lors de l'initialisation de l'Agent. |
e)Nom de fichier, saisissez un nom de fichier et le chemin du fichier .pfx dans lequel seront stockés le certificat et la clé privée exportés. Cliquez sur Suivant, puis sur Terminer.
L'exemple ci-dessus indiquent comment créer le certificat ESET Management Agent. Répétez les mêmes étapes pour les certificats ESET PROTECT Server. Vous ne pouvez pas utiliser ce certificat pour signer un autre nouveau certificat dans la console Web. |
7.Exporter l'autorité de certification :
a)Ouvrez le gestionnaire de serveurs, puis cliquez sur Outils > Autorité de certification.
b)Dans l'arborescence Autorité de certification (locale), sélectionnez votre serveur (généralement FQDN) > Propriétés > onglet Général et cliquez sur Afficher le certificat.
c)Dans l'onglet Détails, cliquez sur Copier dans le fichier. L'assistant d'exportation de certificat s'ouvre.
d)Dans la fenêtre Format du fichier exporté, sélectionnez Binaire codé DER X.509 (.cer) et cliquez sur Suivant.
e)Cliquez sur Parcourir pour sélectionner l'emplacement dans lequel le fichier .cer sera enregistrée. Cliquez ensuite sur Suivant.
f)Cliquez sur Terminer pour exporter l'autorité de certification.
Pour obtenir des instructions détaillées afin d'utiliser des certificats personnalisés dans ESET PROTECT, reportez-vous au chapitre suivant.