ESET 線上說明

選取類別
選取主題

搭配 ESET PROTECT 的自訂憑證

如果您在環境內有自己的 PKI (公開金鑰基礎結構),而且想要 ESET PROTECT 使用您的自訂憑證在其元件之間進行通訊,請參閱以下範例。此範例會在 Windows Server 2012 R2 上執行。螢幕擷取畫面可能因 Windows 版本而異,但一般程序維持不變。


warning

請勿使用有效性短的憑證 (例如 Let's Encrypt 的有效性為 90 天),以避開其頻繁替換的複雜過程。

如果您在管理行動裝置,不建議使用自我簽署憑證 (包括由 ESET PROTECT CA 簽署的憑證),因為並非所有的行動裝置都能讓使用者接受自我簽署憑證。建議使用由第三方憑證授權單位提供的自訂憑證。


note

您可以使用 OpenSSL 建立新的自我簽署憑證。如需詳細資訊,請參閱我們的知識庫文章

必要伺服器角色:

Active Directory 網域服務。

已安裝 Stand-Alone Root CA 的 Active Directory 憑證服務。

 

1.開啟 [管理主控台],然後新增 [憑證] 嵌入式管理單元:

a)以本機管理員群組的成員身分登入伺服器。

b)執行 mmc.exe 來開啟管理主控台。

c)按一下 [檔案],然後選取 [新增/移除嵌入式管理單元...] (或按 CTRL+M)。

d)在左窗格中選取 [憑證],然後按一下 [新增]

using_custom_certificate_02

e)選取 [電腦帳戶],再按 [下一步]

f)確定已選取 [本機電腦] (預設值),然後按一下 [完成]

g)按一下 [確定]

2.建立 [自訂憑證要求]

a)按兩下 [憑證] (本機電腦) 來展開它。

b)按兩下 [個人] 來展開它。用滑鼠右鍵按一下 [憑證] 並選取 [所有工作] > [進階操作],然後選擇 [建立自訂要求]。

using_custom_certificate_05

c)憑證註冊精靈視窗即會開啟,請按一下 [下一步]

d)選取 [在沒有註冊原則的情況下繼續],再按一下 [下一步] 以繼續。

using_custom_certificate_06

e)從下拉式清單中選擇 [(沒有範本) 舊版金鑰],並確定已選取 PKCS #10 要求格式。按一下 [下一步]

using_custom_certificate_07

f)按一下箭號以展開 [詳細資料] 區段並按一下 [內容]

using_custom_certificate_08

g)[一般] 索引標籤中,為您的憑證輸入 [易記名稱],您也可以輸入 [說明] (選用)。

h)[主體] 索引標籤中,請執行下列動作:

[主體名稱] 區段中,從 [類型] 下的下拉清單中選取 [常用名稱],將 era server 輸入 [值] 欄位,然後按一下 [新增]CN=era server 將出現在右邊的資訊方塊中。如果您針對 ESET Management 代理程式建立憑證要求,請在 [通訊名稱值] 欄位中輸入 era agent


important

常見名稱必須包含下列其中一個字串:"server" 或 "agent",視您要建立的憑證要求而定。

i)[替代名稱] 區段中,從 [類型] 下的下拉清單中選擇 DNS,並將 * (星號) 輸入至 [值] 欄位,然後按一下 [新增] 按鈕。


important

對於 ESET PROTECT 伺服器和所有代理程式,主旨替代名稱 (SAN) 應該定義為「DNS:*」。

using_custom_certificate_09

j)[副檔名] 索引標籤中,按一下箭頭展開 [金鑰使用方法] 區段。從可用選項中新增下列選項:[數位簽章][金鑰合約][金鑰編密]。取消選取 [令這些金鑰使用方法成為關鍵] 選項。


important

請確保在 [金鑰使用方法] > [金鑰憑證簽署] 下選取這 3 個選項:

數位簽章

金鑰合約

金鑰加密

using_custom_certificate_10

k)[私密金鑰] 索引標籤中,執行下列動作:

i.按一下箭頭展開 [密碼編譯服務提供者] 區段。會顯示所有密碼編譯服務提供者 (CSP)。確定只選取 [Microsoft RSA SChannel 密碼編譯提供者] (加密)


note

取消選取 [Microsoft RSA SChannel 密碼編譯提供者] (加密) 以外的所有其他 CSP。

using_custom_certificate_11

i.展開 [金鑰] [選項] 區段。在 [金鑰大小] 功能表中,設定至少 2048 的值。選取 [可匯出私密金鑰]

ii.展開 [金鑰類型] 區段並選取 [交換]。按一下 [套用],並檢查您的設定。

l)按一下 [確定]。將顯示憑證資訊。按一下 [下一步] 按鈕繼續。按一下 [瀏覽],以選取用來儲存憑證簽署要求 (CSR) 的位置。輸入檔案名稱,並確定選取 [Base 64]

using_custom_certificate_12

m)按一下 [完成] 以產生 CSR。

 

3.若要匯入您的自訂憑證要求,請依照下列步驟:

a)開啟 [伺服器管理員]並按一下 [工具] > [憑證授權單位]

b)[憑證授權單位 (本機)] 樹狀結構中,選取 [您的伺服器] (通常為 FQDN) > [內容],然後選取 [原則模組] 索引標籤。按一下 [內容 並選取 [將憑證要求的狀態設定為擱置。系統管理員必須明確發行憑證]。否則,這無法正常運作。如果您需要變更此設定,您必須重新啟動 Active Directory 憑證服務。

using_custom_certificate_13

c)[憑證授權單位] (本機) 樹狀結構中,選取 [您的伺服器] (通常為 FQDN) > [所有工作] > [提交新要求...],然後瀏覽至您先前在步驟 2 中產生的 CSR 檔案。

d)憑證將新增至 [擱置的要求] 下方。在右瀏覽窗格中選取 CSR。在 [動作] 功能表中,選取 [所有工作] > [發出]

using_custom_certificate_14

4.[發出的自訂憑證] 匯出至 .tmp 檔案。

a)選取左窗格中的 [發出的憑證]。用滑鼠右鍵按一下您要匯出的憑證,然後按一下 [所有工作] > [匯出二進位資料...]

b)[匯出二進位資料] 對話方塊中,從下拉清單中選擇 [二進位檔案憑證]。在 [匯出] 選項中,按一下 [將二進位資料儲存到檔案],然後按一下 [確定]

using_custom_certificate_15

c)在 [儲存二進位資料] 對話方塊中,移動至您要儲存憑證的檔案位置,然後按一下 [儲存]

5.匯入 ..tmp 檔案。

a)移至 [憑證] (本機電腦) > 用滑鼠右鍵按一下 [個人],選取 [所有工作] > [匯入...]。

b)按一下 [下一步]

c)使用 [瀏覽] 找出儲存的 .tmp 二進位檔案,然後按一下 [開啟]。選取 [將所有憑證放入以下的存放區] > [個人]。按一下 [下一步]

d)按一下 [完成] 匯入憑證。

6.將包括私密金鑰的憑證匯出至 .pfx 檔案。

a)[憑證] (本機電腦) 中展開 [個人],然後按一下 [憑證]、選取您要匯出的新憑證、在 [動作] 功能表上指向 [所有工作] > [匯出...]

b)[憑證匯出精靈] 中,按一下 [是,匯出私密金鑰]。(只在私密金鑰標示為可匯出,而且您有私密金鑰存取權時,此選項才會顯示。)

c)在 [匯出檔案格式] 下,選取 [Personal Information Exchange -PKCS #12 (.PFX)]、選取 [如果可能的話,包含憑證路徑中的所有憑證] 核取方塊,再按一下 [下一步]

using_custom_certificate_16

d)[密碼],輸入要加密您正要匯出的私密金鑰的密碼。在 [確認密碼] 中,再次輸入相同密碼,然後按一下 [下一步]


warning

憑證密碼不得包含下列字元:" \ 這些字元會在初始化代理程式期間造成嚴重錯誤。

using_custom_certificate_17

e)[檔案 名稱],輸入 .pfx 檔案的名稱和路徑,而此檔案將儲存已匯出的憑證和私密金鑰。按一下 [下一步],然後按一下 [完成]


note

上面範例顯示如何建立 ESET Management 伺服器憑證。對 ESET PROTECT 伺服器憑證重複相同步驟。

您可以使用此憑證在 Web 主控台中簽署其他新憑證。

7.匯出憑證授權單位:

a)開啟 [伺服器管理員]並按一下 [工具] > [憑證授權單位]

b)[憑證授權單位 (本機)] 樹狀結構中,選取 [您的伺服器] (通常為 FQDN) > [內容] > [一般],然後選取 [檢視憑證] 索引標籤。

c)[詳細資料] 索引標籤中按一下 [複製到檔案][憑證匯出精靈] 將會開啟。

d)[匯出檔案格式] 視窗中,選取 [DER 加密二進位檔案 X.509 (.CER)] 並按一下 [下一步]

e)按一下 [瀏覽],以選取用來儲存 .cer 檔案的位置並按一下 [下一步]

f)按一下 [完成] 匯入憑證授權單位。

如需在 ESET PROTECT 中使用自訂憑證的逐步指示,請參閱下一章節