Configurando um destino mTLS

Para configurar um destino usando autenticação TLS mútua (mTLS), selecione o protocolo mTLS da lista suspensa no assistente de adição de destino.

Procedimento

  1. Siga as etapas para Adicionando um destino.
  2. A partir da lista Protocolo , selecione mTLS.
  3. Insira as informações necessárias a seguir:
    Opção Descrição
    Fonte de armazenamento confiável TLS Essa opção determina quais certificados são usados para autenticar o servidor quando o WinCollect inicia uma conexão TLS (TLS). Consulte Configurando um destino TLS usando os armazenamentos de certificados do Windows para obter etapas para definir essa configuração.
    Validação do hostname Selecione se o cliente verifica se o nome do host do servidor corresponde ao Nome Comum ou Nomes Alternativos do Assunto no certificado do servidor recebido antes que uma conexão seja estabelecida.
    Importante: É recomendado deixar essa opção ativada para assegurar que o certificado fornecido pertença ao servidor. A desativação possibilita que o cliente aceite certificados recebidos que não pertencem ao servidor.
  4. Selecione uma Origem do certificado de cliente.
    Essa opção determina qual tipo de certificado é usado para configurar a conexão mTLS .. Sua seleção determina quais campos são necessários..
    1. Selecione Certificado e chave para usar um arquivo de certificado de cliente, um arquivo de chave privada criptografado, e uma passphrase Os seguintes campos são necessários para esta opção.
      mTLS certificado de cliente Use um "@" seguido pelo caminho de arquivo para um arquivo de formato PEM O arquivo deve conter um ou mais certificados para usar para autenticação de cliente quando o WinCollect inicia uma conexão TLS com o servidor. É possível usar um único certificado, ou uma cadeia de certificados.
      mTLS chave privada do cliente

      Use um "@" seguido pelo caminho de arquivo para um arquivo de formato PEM O arquivo deve conter a chave privada que é usada para gerar o certificado do cliente.

      Você deve usar uma chave RSA ou ECC que é criptografada com uma passphrase.

      passphrase domTLS Digite o passphrase usado para criptografar a chave privada do cliente mTLS.
    2. Selecione PKCS#12 arquivo para usar um arquivo de formato PKCS#12 (PFX) que contém um certificado e uma chave privada. Você também deve fornecer a passphrase para decriptografar o arquivo PKCS#12 .
      mTLS certificado de cliente e par de chaves Use um "@" seguido pelo caminho de arquivo para um arquivo de formato PKCS#12 (PFX).. O arquivo deve conter o certificado a ser usado para autenticação de cliente quando WinCollect inicia uma conexão TLS com o servidor e a chave privada associada. É possível usar um único certificado, ou uma cadeia de certificados.
      Nota: somente um par de chave privada e certificado associado pode estar contido no arquivo.. Se vários pares estiverem presentes, apenas o primeiro par localizado será usado Se houver mais certificados no arquivo, eles serão incluídos como uma cadeia de certificados.
      passphrase domTLS Insira a passphrase usada para criptografar o arquivo PKCS#12 Como o arquivo PKCS#12 deve ser criptografado com uma passphrase, esse campo é obrigatório
    3. selecione Armazenamento de certificados do Windows para usar um certificado e uma chave privada associada que esteja instalado em um armazenamento de certificados do Windows na máquina local O certificado deve ter uma chave privada correspondente que esteja instalada com ele (por exemplo, instalando-o como um arquivo .p12 ) e a chave privada deve ser configurada como Exportável ao instalá-lo.
      mTLS armazenamento de certificados de cliente Este é o armazenamento de certificados no qual procurar o certificado cliente. Este armazenamento de certificados deve ser disponibilizado para a máquina local Quaisquer lojas disponíveis apenas para um determinado usuário não são verificadas
      Nota: o nome do armazenamento de certificados que é mostrado no console de gerenciamento de certificados do Windows pode ser um alias para o nome do armazenamento de certificados real. Geralmente é possível localizar os nomes de armazenamento de certificados reais usando PowerShell (ls Cert:\LocalMachine\).
      mTLS identificador de certificado de cliente

      O método do certificado de cliente será identificado no armazenamento de certificados do Windows. As opções são nome fácil ou impressão digital. A opção de nome fácil é o padrão

      mTLS nome fácil do certificado de cliente

      O valor configurado como o nome fácil no certificado no armazenamento de certificados do Windows.

      mTLS impressão digital do certificado de cliente Essa é a impressão digital ou o hash SHA1 do certificado a ser usado É possível localizar esse valor no Detalhes de seu certificado no console de gerenciamento de certificado do Windows..
  5. Clique em Salvar.
    O agente WinCollect tenta conectar ao destino usando TLS com autenticação mútua.
    Nota: para assegurar que os certificados de cliente fornecidos para conexão com mTLS sejam válidos, uma mensagem será registrada quando um certificado de cliente expirar em breve. Essa verificação é executada quando um Destino primeiro se conecta e é registrado como uma mensagem INFO . Além disso, uma mensagem WARN é registrada diariamente para cada certificado cliente que está expirando em breve. É possível configurar a quantia de tempo restante até que um certificado expire que aciona esses avisos atualizando o parâmetro Limite de aviso de expiração do certificado na IU avançada. O limite padrão é 30 dias.