问题
- 在 ESET PROTECT On-Prem 中创建 ESET Inspect Server 证书的要求
- 在安装 ESET Inspect Server 时从文件导入 ESET Inspect Server 证书
详细信息
单击展开
成功安装 ESET Inspect Server 需要 Inspect Server 证书。安装过程中会提示您使用证书。您可以从文件导入证书,或 使用 ESET PROTECT On-Prem。
设置 ESET Inspect 服务器证书后,继续为 ESET Inspect Web 控制台和 Web 浏览器之间的 HTTPS/SSL 连接配置证书。您可以选择以下选项之一:
- 从 ESET PROTECT On-Prem 获取 ESET Inspect Web 控制台证书
- 从文件导入 ESET Inspect Web 控制台证书
- 使用 ESET Inspect 服务器证书(您在上一个安装步骤中选择的证书)
解决方案
在 ESET PROTECT On-Prem 中创建 ESET Inspect 服务器证书的要求
默认情况下,在 ESET PROTECT On-Prem 中创建对等证书时,"主机"字段设置为 *,这使得证书的 "通用名"(CN) 和 "主题备选名"(SAN) 等于单个星号。ESET Inspect 不支持通用名称 (CN) 或主题替代名称 (SAN) 仅为 * 的证书。您必须在 "主机"字段中使用 ESET Inspect 服务器的实际主机名或 IP 地址。
格式
- 证书必须是 PKCS #12 格式。PKCS #12 是一种在单个文件(如证书)中存储多个加密对象的文件格式。PKCS #12 格式的文件通常有
.pfx或.p12扩展名。 - 认证机构以 X.509 格式存储(即以
.der为扩展名的文件),这是另一种常用于加密的文件格式。
通用名称 (CN) 和主题备选名称 (SAN) 规则
这些规则适用于主证书中的通用名 (CN)、主题备选名 (SAN) 条目,以及 PKCS #12 文件中包含的任何附加证书中的通用名 (CN) 和主题备选名 (SAN)。
- 通用名 (CN) 和主体替代名 (SAN) 必须包括真实主机名或 IP 地址
- 不允许: * (仅一个星号)
- 允许: *
.yourcompany.com或yourcompany.*.hq.com
(通配符只能作为域名的一部分,不能作为整个主机名)。
创建对等证书的必选参数
- 组件:ESET Inspect 服务器
- 主机:ESET Inspect 服务器的真实 IP 地址
要允许来自其他网络的连接,请添加多个 IP 地址或主机名,中间用空格、逗号或分号隔开。Example:192.168.20.22;10.1.183.88 - 证书路径的文件或文件夹名称中不含分号 (
;) (分号用作多个证书的分隔符)
在安装 ESET Inspect Server 时从文件导入 ESET Inspect Server 证书
-
在 ESET Inspect Server 安装程序的第一个服务器证书屏幕上,选择从文件导入证书,然后单击下一步。
图 1-1 -
在 "服务器证书"字段中,定义 ESET Inspect Server 证书文件(
.pfx文件)的路径:键入或粘贴文件路径,或单击 "更改"导航到文件位置并手动选择文件。如果需要,在证书密码字段中键入证书密码。
图 1-2 -
在 "验证机构"字段中,定义验证机构文件(
.der文件)的路径:键入或粘贴文件路径,或单击 "更改"导航到文件位置并手动选择文件。单击 下一步。
图 1-3
