[KB8274] Crear un nuevo certificado personalizado o Autoridad de certificación para ESET PROTECT

Solución

MDM y certificados autofirmados

Si administra dispositivos móviles, ESET no recomienda utilizar certificados autofirmados (incluyendo aquellos firmados por una Autoridad de certificación de ESET PROTECT), debido a que no todos los usuarios de dispositivos móviles aceptan los certificados autofirmados.

ESET recomienda el uso de un certificado personalizado provisto por una Autoridad de certificación (CA) de terceros.

  1. Necesita contar con OpenSSL versión 1.1.1 (para Windows) instalado. La aplicación OpenSSL habilita la creación de certificados firmados.

  2. Genere el archivo .key y el certificado para la CA. Ejecute el siguiente código en el Símbolo del sistema. Puede sustituir el nombre de los archivos protect-custom-ca.keyprotect-custom-ca.der por otro nombre de su elección.

openssl genrsa -out protect-custom-ca.key 2048
openssl req -x509 -new -nodes -key protect-custom-ca.key -sha256 -days 3650 -out protect-custom-ca.der -outform der -subj "/CN=PROTECT Custom CA"
  1.  Cree el archivo de extensiones de certificado de ESET PROTECT.
Valores keyUsagesubjectAltName

Asegúrese de usar los valores provistos en el siguiente ejemplo: 

  • keyUsage=digitalSignature,keyEncipherment,dataEncipherment
  • El Subject Alternative Name (SAN) debe ser definido como DNS:* para ESET PROTECT Server y como subjectAltName=DNS:* para todos los agentes.
echo authorityKeyIdentifier=keyid,issuer >protect.ext
echo basicConstraints=CA:FALSE >>protect.ext
echo keyUsage=digitalSignature,keyEncipherment,dataEncipherment >>protect.ext
echo subjectAltName=DNS:* >>protect.ext
  1. Genere la clave y certificado para ESET PROTECT Server y expórtelos como archivo .pfx. Reemplace el valor passwordcon una contraseña real.
Cadena de caracteres Common Name (CN)

El Common Name (CN) debe contener una de las siguientes cadenas de caracteres: "server" o "agent", dependiendo de la Solicitud de certificado que desee crear.

openssl genrsa -out protect-server.key 2048
openssl req -new -key protect-server.key -subj "/CN=PROTECT Server" | openssl x509 -req -CA protect-custom-ca.der -CAkey protect-custom-ca.key -CAform DER -out protect-server.crt -days 1825 -sha256 -extfile protect.ext
openssl pkcs12 -export -out protect-server.pfx -inkey protect-server.key -in protect-server.crt -passout pass:password
  1. Genere la clave y certificado para ESET Management Agent y expórtelos como archivo .pfx. Reemplace el valor password con una contraseña real.
openssl genrsa -out protect-agent.key 2048
openssl req -new -key protect-agent.key -subj "/CN=PROTECT Agent" | openssl x509 -req -CA protect-custom-ca.der -CAkey protect-custom-ca.key -CAform DER -out protect-agent.crt -days 1825 -sha256 -extfile protect.ext
openssl pkcs12 -export -out protect-agent.pfx -inkey protect-agent.key -in protect-agent.crt -passout pass:password