[KB7930] Jak v ESET PROTECT On-Prem infrastruktuře vynutit TLS 1.2 a použít SHA-2 certifikáty?

Obsah

Z důvodu zpětné kompatibility se staršími operačními systémy se ve výchozím stavu v ESET PROTECT (dříve známý jako ESET Security Management Center) používají pro ověřování komunikace mezi jednotlivými komponentami infrastruktury SHA-1 certifikáty. V tomto článku si ukážeme, jak vynutit rozšířené zabezpečení a popíšeme výměnu certifikátů.

Podrobnosti


Klikněte pro rozbalení

  • Instalace ESET PROTECT Server má ve výchozím nastavení povoleno rozšířené zabezpečení
  • Nově vytvořené certifikáty a certifikační autority používají SHA-256 (místo SHA-1)
  • ESET PROTECT Server používá nejnovější TLS (TLS 1.2) pro komunikaci s Agenty
  • Rozšířené zabezpečení vynucuje používání TLS 1.2 pro Syslog a SMTP komunikaci

Řešení

Minimální požadavky na kompatibilitu pro rozšířené zabezpečení:

  • Před zapnutím rozšířeného zabezpečení se ujistěte, že všechny vaše klientské počítače mohou komunikovat prostřednictvím TLS 1.2
  • Podporované operační systémy: Windows, Linux nebo macOS
  • Pro zapnutí funkce rošířeného zabezpečení je nutné dvakrát restartovat službu ESET PROTECT Server

Rozšířené zabezpečení nemá vliv na stávající certifikační autority a certifikáty, pouze na nové certifikační autority a certifikáty vytvořené po povolení rozšířeného zabezpečení. Chcete-li použít rozšířené zabezpečení ve stávající infrastruktuře ESET PROTECT On-Prem, je potřeba vyměnit stávající certifikáty.


Aktivace rozšířeného zabezpečení v ESET PROTECT On-Prem

  1. Otevřete webovou konzoli ESET PROTECT ve vašem webovém prohlížeči a přihlaste se.

  2. Klikněte na DalšíNastavení serveru a poté kliknutím na přepínač u položky Rozšířené zabezpečení (vyžaduje restart! ) jej povolte.

  3. Kliknutím na tlačítko Uložit aplikujte změny.

  1. Zavřete webovou konzoli ESET PROTECT a restartujte službu ESET PROTECT Server (název služby je: eraserver).

  2. Po spuštění služby počkejte několik minut a přihlaste se do webové konzole ESET PROTECT.

    Ověřte funkčnost provedených změn:

    Vyčkejte alespoň 24 hodin a ověřte, že se k serveru stále připojují všichni klienti.

Jaký dopad bude mít tato provedená změna?

Server vynutí pro komunikaci s jednotlivými komponentami infrastruktury používání TLS protokolu. Nově vytvořené certifikační autority a vystavené certifikáty budou podepisovány SHA-2 algoritmem.


Vygenerujte novou certifikační autoritu

  1. Otevřete webovou konzoli ESET PROTECT ve vašem webovém prohlížeči a přihlaste se.

  2. V hlavním menu klikněte na Další Certifikační autority, vyberte Nová a vytvořte si novou certifikační autoritu.
 
Důležité:

Původní autoritu zatím neodstraňujte. V opačném případě by se agenti přestali připojovat k serveru z důvodu nedůvěryhodnosti.

Ověřte funkčnost provedených změn:

Vyčkejte alespoň 24 hodin, než se připojí všichni klienti a převezmou si informaci o nové certifikační autoritě.

 


Vystavte si nové certifikáty

  1. Otevřete webovou konzoli ESET PROTECT ve vašem webovém prohlížeči a přihlaste se.

  2. V hlavním menu klikněte na Další Klientské certifikáty.

  3. Klikněte na tlačítko Nový → Certifikát a vytvořte si nové certifikáty pro vámi používané komponenty ESET PROTECT On-Prem infrastruktury.

  4. V sekci Podepsat vyberte nově vytvořenou certifikační autoritu.

Mobile Device Connector:

Mobile Device Connector dosáhl konce svého životního cyklu a od ledna 2024 byla ukončena jeho podpora. Pokud i nadále používáte Mobile Device Connector, nezapomeňte rovněž na certifikát proxy. Spravujete-li iOS zařízení, certifikát vystavený ERA/ESMC/ESET PROTECT CA nesplňuje požadavky společnosti Apple na HTTPS certikát. V takovém případě použijte certifikát vydaný autoritou třetí strany. Případné potíže s funkčností doporučujeme řešit přechodem/migrací na CMDM (Cloud Mobile Device Connector)


 

Výměna certifikátů

Serverová část
  1. Otevřete webovou konzoli ESET PROTECT ve vašem webovém prohlížeči a přihlaste se.

  2. V hlavním menu klikněte na DalšíAdministrace → Nastavení.

  3. V sekci Připojení klikněte na možnost Změnit certifikát.

  4. V zobrazeném dialogovém okně klikněte na možnost Otevřít seznam certifikátů.

  5. Vyberte nově vytvořený certifikát a nastavení uložte kliknutím na tlačítko OK a následně na Uložit.

  6. Restartujte službu eraserver.

Ověřte funkčnost provedených změn:

Vyčkejte alespoň 24 hodin a ověřte, že se k serveru stále připojují všichni klienti.

 
Ostatní komponenty ESET PROTECT On-Prem infrastruktury 

(jako příklad je uvedená výměna certifikátu u ESET Management Agenta)

  1. Otevřete webovou konzoli ESET PROTECT ve vašem webovém prohlížeči a přihlaste se.

  2. V hlavním menu přejděte na záložku Politiky, klikněte na tlačítko Nová a vytvořte politiku pro ESET Management Agent.

  3. V konfigurační šabloně v sekci Připojení klikněte na možnost Změnit certifikát.

  4. V zobrazeném dialogovém okně klikněte na možnost Otevřít seznam certifikátů. Vyberte nově vytvořený certifikát a pokračujte kliknutím na tlačítko OK.

  5. Politiku aplikujte na testovací stanice. Po ověření, že se stanice stále připojují, ji aplikujte všem zařízením v síti.

Odstranění nepoužívaných certifikátů:

Nyní můžete původní certifikační autoritu odstranit a nepoužívané certifikáty zamítnout (revoke).