Databáze znalostí: Firmy > Konzole pro vzdálenou správu

Jak v ESET PROTECT infrastruktuře vynutit TLS 1.2 a použít SHA-2 certifikáty?

Autor: | Poslední úprava: 18.03.2020 15:10:53

Z důvodu zpětné kompatibility se staršími operačními systémy se ve výchozím stavu v ESET PROTECT (dříve známý jako ESET Security Management Center) používají pro ověřování komunikace mezi jednotlivými komponentami infrastruktury SHA-1 certifikáty. V tomto článku si ukážeme, jak vynutit rozšířené zabezpečení a popíšeme výměnu certifikátů.

Aktivace rozšířeného zabezpečení

V hlavním menu Web Console přejděte do sekce Další > Nastavení serveru.

V sekci Připojení aktivujte pomocí přepínače možnost Rozšířené zabezpečení.

Restartujte službu eraserver.

Ověřte funkčnost provedených změn:
Vyčkejte alespoň 24 hodin a ověřte, že se k serveru stále připojují všichni klienti.

Jaký dopad bude mít tato provedená změna?

  • Server vynutí pro komunikaci s jednotlivými komponentami infrastruktury používání TLS protokolu.
  • Nově vytvořené certifikační autority a vystavené certifikáty budou podepisovány SHA-2 algoritmem.

Vygenerujte novou certifikační autoritu

V hlavním menu Web Console přejděte do sekce Další > Certifikační autority.

Klikněte na tlačítko Nová a vytvořte si novou certifikační autoritu.

Důležité:
Původní autoritu zatím neodstraňujte. V opačném případě by se agenti přestali připojovat k serveru z důvodu nedůvěryhodnosti.

Ověřte funkčnost provedených změn:
Vyčkejte alespoň 24 hodin, než se připojí všichni klienti a převezmou si informaci o nové certifikační autoritě.

Vystavte si nové certifikáty

V hlavním menu Web Console přejděte do sekce Další > Klientské certifikáty.

Klikněte na tlačítko Nový > Certifikát a vytvořte si nové certifikáty pro vámi používané komponenty ESMC infrastruktury.

V sekci Podepsat vyberte nově vytvořenou certifikační autoritu.

Mobile Device Connector:
Pokud používáte Mobile Device Connector, nezapomeňte rovněž na certifikát proxy. Spravujete-li iOS zařízení, certifikát vystavený ERA/ESMC/EP CA nesplňuje požadavky společnosti Apple na HTTPS certifikát. V takovém případě použijte certifikát vydaný autoritou třetí strany.

Výměna certifikátů

Serverová část

V hlavním menu Web Console přejděte do sekce Další > Nastavení serveru.

V sekci Připojení klikněte na možnost Změnit certifikát.

V zobrazeném dialogovém okně klikněte na možnost Otevřít seznam certifikátů.

Vyberte nově vytvořený certifikát a nastavení uložte kliknutím na tlačítko OK.

Restartujte službu eraserver.

Ověřte funkčnost provedených změn:
Vyčkejte alespoň 24 hodin a ověřte, že se k serveru stále připojují všichni klienti.

Ostatní komponenty infrastruktury

Výměnu certifikátu si ukážeme na ESET Management Agentovi.

V hlavním menu Web Console přejděte na záložku Politiky, klikněte na tlačítko Nová a vytvořte politiku pro ESET Management Agent.

V konfigurační šabloně v sekci Připojení klikněte na možnost Změnit certifikát.

V zobrazeném dialogovém okně klikněte na možnost Otevřít seznam certifikátů.

Vyberte nově vytvořený certifikát a pokračujte kliknutím na tlačítko OK.

Politiku aplikujte na testovací stanice. Po ověření, že stále připojují, ji aplikujte všem zařízením v síti.

Odstranění nepoužívaných certifikátů:
Nyní můžete původní certifikační autoritu odstranit a nepoužívané certifikáty zamítnout.

Štítky: výměna certifikátu, SHA-2 certifikát, agent certifikát