主页 » 帮助 » 使用第三方凭证

使用第三方证书的安全通信

每个企业都有必要加密互联网中的数据。事实证明,安全通信不是企业数据最安全的传输方式,因此企业额外使用了第三方证书,如SSL、PFX等,确保了只有拥有证书的接收者才能解密企业数据。Endpoint DLP Plus支持使用SSL和PFX证书。将这些证书添加到Endpoint DLP Plus中,将确保Endpoint DLP Plus服务器与被管计算机和移动设备之间的通信安全。

此证书在指定期限内有效。如果证书过期,则Endpoint DLP Plus代理和服务器之间的通信将不再安全,您也无法再管理移动设备,您需要更新证书并上传到Endpoint DLP Plus服务器。

创建/更新和上传第三方证书的步骤如下:

  1. 创建CSR和Key文件
  2. 向CA机构(证书授权中心)提交CSR,获取CA签名的证书
  3. 上传第三方证书

1. 创建CSR和Key文件

步骤如下:

  1. 在安装目录\apache\bin,创建opensslsan.conf文件,复制如下内容到文件中

    [ req ]
    prompt=no
    default_bits = 2048
    distinguished_name = req_distinguished_name
    req_extensions = req_ext
    [ req_distinguished_name ]
    countryName =
    stateOrProvinceName =
    localityName =
    organizationName =
    commonName =
    [ req_ext ]
    subjectAltName = @alt_names
    [alt_names]
    DNS.1 =
    DNS.2 =
    DNS.3 = 

  2. 在上面的内容countryName后输入2位字母的国家地区代码。
  3. stateOrProvinceName后收入省份名称。
  4. localityName输入位置名称。在organizationName输入组织名称。
  5. commonName后输入你的网站域名。网站服务器的FQDN(t主机名)。不要包括以下内容:
    -> 协议 (http:// 或 https://)
    -> 端口号或路径
  6. DNS.1DNS.2输入网址的对象别名 (SAN)。一个证书可以有多个SAN。可以添加更多,如DNS.4DNS.5等等。例如:

    [ req ]
    prompt=no
    default_bits = 2048
    distinguished_name = req_distinguished_name
    req_extensions = req_ext
    [ req_distinguished_name ]
    countryName = IN
    stateOrProvinceName = TN
    localityName = Chennai
    organizationName = ZOHO
    commonName = www.zoho.com
    [ req_ext ]
    subjectAltName = @alt_names
    [alt_names]
    DNS.1 = *.domain.com
    DNS.2 = manageengine.com
    DNS.3 = ems.com
    DNS.4 = desktopcentral.com

  7. 保存文件,到命令提示行中转到<安装目录>\apache\bin
  8. 执行 openssl.exe req -out server.csr -newkey rsa:2048 -nodes -keyout private.key -config opensslsan.conf 命令。
  9. 将创建server.csrprivate.key文件。
  10. 使用openssl.exe req  -noout -text -in server.csr命令检查。

    11. 说明:任何情况下不要删除private.key文件。

    2.向CA机构(证书授权中心)提交CSR,获取CA签名的证书

    1. 将创建的server.csr提交给CA机构。在CA机构的文档/网站检查提交的CSR详细信息,这将涉及到要支付给CA的费用。
    2. 这个过程通常需要几天时间,您将收到签名的SSL证书和CA的链/中间证书的.cer文件。
    3. 保存这些文件并将签名的SSL证书文件重命名为server.crt

    3.上传第三方证书

    1. 打开Endpoint DLP Plus控制台,点击“管理”选项卡。
    2. 在“全局设置”下,点击“导入SSL证书”。
    3. 浏览并上传您从供应商(CA)收到的证书。SSL证书为.crt文件,PFX证书为.pfx文件。 .crt format for SSL and in .pfx format for PFX certificates
      1. 如果您上传.crt文件,那么系统将提示您上传server.key文件,上传成功后,系统会提示上传中间证书。如果选择“自动”,则将自动检测中间证书,但只能检测到一个证书。如果您需要使用自己的中间证书,或者上传多个中间证书,则需要选择“手动”,并手动上传。
      2. 如果您上传.pfx文件,那么系统将提示您输入供应商提供的密码。
    4. 点击“保存”,导入证书。

    第三方证书已成功导入Endpoint DLP Plus服务器。这些证书仅用于HTTPS通信模式。点击“管理”选项卡,选择“服务器设置”,在“常规设置”下启用“HTTPS模式”,现在可以看到Endpoint DLP Plus服务器与代理之间为安全通信。

    确保.pfx文件或.cert文件与Endpoint DLP Plus服务器中指定的NAT地址匹配。如果Endpoint DLP Plus和ServiceDesk Plus服务器安装在同一台计算机上,那么可以使用同一.pfx文件。在上述情况下,如果ServiceDesk Plus服务器移动到另一台计算机上,.pfx文件需要修改对应的主机名。