[KB8274] Utwórz urząd certyfikacji lub certyfikaty dla ESET PROTECT On-Prem za pomocą wiersza poleceń systemu Windows

NOTATKA:

Ta strona została przetłumaczona przez komputer. Kliknij przycisk Angielski w sekcji Języki na tej stronie, aby wyświetlić oryginalny tekst. Jeśli coś jest niejasne, skontaktuj się z lokalnym działem pomocy technicznej.

Zagadnienie

Rozwiązanie

Wymagania wstępne

Zainstaluj OpenSSL (dla Windows). OpenSSL umożliwia tworzenie podpisanych certyfikatów.


Użyj wiersza poleceń systemu Windows, aby utworzyć urząd certyfikacji i certyfikaty

  1. Wygeneruj urząd certyfikacji i jego klucz prywatny. W Wierszu polecenia uruchom:

    openssl genrsa -out protect-custom-ca.key 2048 openssl req -x509 -new -nodes -key protect-custom-ca.key -sha256 -days 3650 -out protect-custom-ca.der -outform der -subj "/CN=PROTECT Custom CA"

    Możesz zastąpić protect-custom-ca dla plików .key i . der wybranymi przez siebie nazwami plików.

  2. Utwórz plik rozszerzenia certyfikatu(protect.ext).

    Plik rozszerzenia certyfikatu

    Plik rozszerzenia definiuje atrybuty wymagane dla certyfikatów serwera i agenta w celu określenia ich roli (podmiot końcowy, a nie urząd certyfikacji) i tożsamości za pomocą alternatywnej nazwy podmiotu (SAN), która zawiera listę prawidłowych nazw DNS lub domen.

    Atrybuty te zapewniają prawidłową walidację i bezpieczną komunikację z ESET PROTECT On-Prem.

    Uruchom następujące polecenia w Wierszu polecenia:

    • Dla jednej domeny:

      echo authorityKeyIdentifier=keyid,issuer >>protect.ext echo basicConstraints=CA:FALSE >>protect.ext echo keyUsage=digitalSignature,keyEncipherment,dataEncipherment >>protect.ext echo subjectAltName=DNS:*.example.com >>protect.ext
    • Dla wielu domen:

      echo authorityKeyIdentifier=keyid,issuer >>protect.ext echo basicConstraints=CA:FALSE >>protect.ext echo keyUsage=digitalSignature,keyEncipherment,dataEncipherment >>protect.ext echo "subjectAltName=DNS:example.com,DNS:*.example.com,DNS:api.example.net" >>protect.ext

    Zastąp:

    • W authorityKeyIdentifier
      • keyid
      • issuer

      Zastąp je rzeczywistymi wartościami wygenerowanymi przez OpenSSL dla urzędu certyfikacji.

    • W subjectAltName
      • przykładowe domeny z nazwami DNS lub domenami używanymi w Twoim środowisku

    Nie zmieniaj następujących poleceń, ponieważ są one obowiązkowe dla ESET PROTECT:

    • basicConstraints=CA:FALSE
    • keyUsage=digitalSignature,keyEncipherment,dataEncipherment

  3. Wygenerowanie certyfikatu i jego klucza prywatnego oraz wyeksportowanie go do pliku .pfx.

    Ciąg nazwy wspólnej

    Common Name (CN) musi zawierać serwer lub agenta, w zależności od typu certyfikatu.

    Uruchom następujące polecenia w Wierszu polecenia:

    • Dla certyfikatu ESET PROTECT Server:

      openssl genrsa -out protect-server.key 2048 openssl req -new -key protect-server.key -subj "/CN=PROTECT Server" | openssl x509 -req -CA protect-custom-ca.der -CAkey protect-custom-ca.key -CAform DER -out protect-server.crt -days 1825 -sha256 -extfile protect.ext openssl pkcs12 -export -out protect-server.pfx -inkey protect-server.key -in protect-server.crt -passout pass:password

      Zastąp hasło wybranym silnym hasłem.

    • W przypadku certyfikatu ESET Management Agent:

      openssl genrsa -out protect-agent.key 2048 openssl req -new -key protect-agent.key -subj "/CN=PROTECT Agent" | openssl x509 -req -CA protect-custom-ca.der -CAkey protect-custom-ca.key -CAform DER -out protect-agent.crt -days 1825 -sha256 -extfile protect.ext openssl pkcs12 -export -out protect-agent.pfx -inkey protect-agent.key -in protect-agent.crt -passout pass:
      password Zastąp hasło wybranym silnym hasłem.