Poniżej wymieniono główne certyfikaty firmy Microsoft dla Secure Access ( ESA ) i Native Connectors (EPE):
https://learn.microsoft.com/en-us/azure/security/fundamentals/azure-ca-details?tabs=root-and-subordinate-cas-list#root-certificate-authorities  

Są one niezbędne do ustanowienia bezpiecznego połączenia między systemami Entra ID i Secure Access .

Jak pobrać i zaimportować te 4 certyfikaty główne dla Secure Access

Najpierw nawiąż połączenie SSH ze swoim hostem
Utwórz sobie konto root

Uzyskaj hasło do magazynu kluczy:
Uwaga! Hasło do magazynu zaufanych ESA znajduje się w Consul w kluczu „/<tenant goes here>/esa/keystore-password”. Jeśli go tam nie ma, to jest to domyślne hasło do magazynu kluczy Java . Aby sprawdzić hasło ustawione na Consul, uruchom na hoście to polecenie: config-manager.py get /[TENANT]/esa/keystore-password

Nawiąż połączenie SSH z dokerem ESA (ssh demo2025-esa) (ssh <twoja dzierżawa>-esa)

Uruchom te polecenia w dokerze ESA

Przejdź do folderu esa: cd /opt/esa
Pobierz 4 certyfikaty główne:
curl -fSL https://cacerts.digicert.com/DigiCertGlobalRootCA.crt -o DigiCertGlobalRootCA.crt
curl -fSL https://cacerts.digicert.com/DigiCertGlobalRootG2.crt -o DigiCertGlobalRootG2.crt
curl -fSL https://cacerts.digicert.com/DigiCertGlobalRootG3.crt -o DigiCertGlobalRootG3.crt
curl -fSL https://files.entrust.com/root-certificates/entrust_g2_ca.cer -o entrust_g2_ca.cer

Użyj hasła zaufanego magazynu, aby zaimportować te cztery certyfikaty do zaufanego magazynu ESA:
keytool -importcert -file DigiCertGlobalRootCA.crt -keystore truststore.jks -alias DigiCertGlobalRootCA
keytool -importcert -file DigiCertGlobalRootG2.crt -keystore truststore.jks -alias DigiCertGlobalRootG2
keytool -importcert -file DigiCertGlobalRootG3.crt -keystore truststore.jks -alias DigiCertGlobalRootG3
keytool -importcert -file entrust_g2_ca.cer -keystore truststore.jks -alias entrust_g2_ca  

Keytool zapyta Cię o każdy certyfikat: „Zaufaj temu certyfikatowi” Odpowiedź: Tak

Wyjdź z dokera esa do hosta za pomocą polecenia: exit

Po tym procesie kontener ESA musi zostać ponownie uruchomiony, aby zastosować nowe certyfikaty. W tym celu należy uruchomić następujące polecenia na hoście (zastąp [TENANT] nazwą dzierżawy):
docker stop [TENANT]-esa && run-image -e TENANT=[TENANT] esa

Certyfikaty można zobaczyć na stronach https://letsencrypt.org/certificates/ i https://support.globalsign.com/ca-certificates/root-certificates/globalsign-root-certificates

Jak pobrać i zaimportować certyfikaty główne w celu zapewnienia Secure Access
Najpierw nawiąż połączenie SSH ze swoim hostem

Utwórz sobie konto root

Uzyskaj hasło do magazynu kluczy:
Uwaga! Hasło do magazynu zaufanych ESA znajduje się w Consul w kluczu „/<tenant goes here>/esa/keystore-password”. Jeśli go tam nie ma, to jest to domyślne hasło do magazynu kluczy Java . Aby sprawdzić hasło ustawione na Consul, uruchom na hoście to polecenie: config-manager.py get /[TENANT]/esa/keystore-password

Nawiąż połączenie SSH z dokerem ESA (ssh demo2025-esa) (ssh <twoja dzierżawa>-esa)

Uruchom te polecenia w dokerze ESA

Przejdź do folderu esa: cd /opt/esa
Pobierz następujące certyfikaty główne:
curl -fSL https://letsencrypt.org/certs/isrg-root-x1-cross-signed.pem -o isrg-root-x1-cross-signed.pem
curl -fSL https://letsencrypt.org/certs/isrg-root-x2-cross-signed.pem -o isrg-root-x2-cross-signed.pem


Pobierz te certyfikaty główne i przekonwertuj je na poprawny format:
curl -fSL https://secure.globalsign.net/cacert/root-r1.crt -o root-r1.der
curl -fSL https://secure.globalsign.net/cacert/root-r3.crt -o root-r3.der
curl -fSL https://secure.globalsign.net/cacert/root-r5.crt -o root-r5.der
curl -fSL https://secure.globalsign.net/cacert/root-r6.crt -o root-r6.der
openssl x509 -inform DER -in root-r1.der -out root-r1.pem
openssl x509 -inform DER -in root-r3.der -out root-r3.pem
openssl x509 -inform DER -in root-r5.der -out root-r5.pem
openssl x509 -inform DER -in root-r6.der -out root-r6.pem

Użyj hasła zaufanego magazynu, aby zaimportować te cztery certyfikaty do zaufanego magazynu ESA:

keytool -importcert -file isrg-root-x1-cross-signed.pem -keystore truststore.jks -alias isrg-root-x1-cross-signed
keytool -importcert -file isrg-root-x2-cross-signed.pem -keystore truststore.jks -alias isrg-root-x2-cross-signed

keytool -importcert -file root-r1.pem -keystore truststore.jks -alias GlobalSignRootR1
keytool -importcert -file root-r3.pem -keystore truststore.jks -alias GlobalSignRootR3
keytool -importcert -file root-r5.pem -keystore truststore.jks -alias GlobalSignRootR5
keytool -importcert -file root-r6.pem -keystore truststore.jks -alias GlobalSignRootR6

Keytool zapyta Cię o każdy certyfikat: „Zaufaj temu certyfikatowi” Odpowiedź: Tak

Wyjdź z dokera esa do hosta za pomocą polecenia: exit

Po tym procesie kontener ESA musi zostać ponownie uruchomiony, aby zastosować nowe certyfikaty. W tym celu należy uruchomić następujące polecenia na hoście (zastąp [TENANT] nazwą dzierżawy):
docker stop [TENANT]-esa && run-image -e TENANT=[TENANT] esa

Jeśli konfigurujesz Secure Access w oparciu o wersję przedprodukcyjną/testową Signicat ( signicat ), pobierz i zaimportuj te certyfikaty.

Certyfikaty można zobaczyć na stronie https://www.buypass.com/security/buypass-root-certificates

Jak pobrać i zaimportować certyfikaty główne w celu zapewnienia Secure Access

Najpierw nawiąż połączenie SSH ze swoim hostem

Utwórz sobie konto root

Uzyskaj hasło do magazynu kluczy:
Uwaga! Hasło do magazynu zaufanych ESA znajduje się w Consul w kluczu „/<tenant goes here>/esa/keystore-password”. Jeśli go tam nie ma, to jest to domyślne hasło do magazynu kluczy Java . Aby sprawdzić hasło ustawione na Consul, uruchom na hoście to polecenie: config-manager.py get /[TENANT]/esa/keystore-password

Nawiąż połączenie SSH z dokerem ESA (ssh demo2025-esa) (ssh <twoja dzierżawa>-esa)

Uruchom te polecenia w dokerze ESA

Przejdź do folderu esa: cd /opt/esa
Pobierz następujące certyfikaty główne:
curl -fSL https://crt.buypass.no/crt/BPClass3CA2.pem -o BPClass3CA2.pem
curl -fSL https://crt.buypass.no/crt/BPClass2CA2.pem -o BPClass2CA2.pem
curl -fSL https://crt.buypass.no/crt/BPClass2CA5.pem -o BPClass2CA5.pem

curl -fSL https://letsencrypt.org/certs/isrg-root-x1-cross-signed.pem -o isrg-root-x1-cross-signed.pem
curl -fSL https://letsencrypt.org/certs/isrg-root-x2-cross-signed.pem -o isrg-root-x2-cross-signed.pem

Użyj hasła zaufanego magazynu, aby zaimportować te sześć certyfikatów do magazynu zaufanych certyfikatów ESA:

keytool -importcert -file BPClass3CA2.pem -keystore truststore.jks -alias BPClass3CA2
keytool -importcert -file BPClass2CA2.pem -keystore truststore.jks -alias BPClass2CA2
keytool -importcert -file BPClass2CA5.pem -keystore truststore.jks -alias BPClass2CA5

keytool -importcert -file isrg-root-x1-cross-signed.pem -keystore truststore.jks -alias isrg-root-x1-cross-signed
keytool -importcert -file isrg-root-x2-cross-signed.pem -keystore truststore.jks -alias isrg-root-x2-cross-signed

Keytool zapyta Cię o każdy certyfikat: „Zaufaj temu certyfikatowi” Odpowiedź: Tak

Wyjdź z dokera esa do hosta za pomocą polecenia: exit

Po tym procesie kontener ESA musi zostać ponownie uruchomiony, aby zastosować nowe certyfikaty. W tym celu należy uruchomić następujące polecenia na hoście (zastąp [TENANT] nazwą dzierżawy):
docker stop [TENANT]-esa && run-image -e TENANT=[TENANT] esa