4.2 Nessus如何創建一個新的自定義CA和服務器證書

要在Nessus中允許SSL證書認證，您必須為Nessus Web服務器配置一個證書頒發機構（CA）和服務器證書。

這允許Web服務器信任由CA創建的用于身份驗證的證書。與證書相關的生成文件必須由root：root擁有，并且默認情況下具有正確的權限。

注意： 加載新證書后，您必須重新鏈接所有連接的Nessus代理或托管掃描器。

步驟：

1. 使用命令行中的命令nessuscli mkcert為Nessus服務器創建新的自定義CA和服務器證書。這會將證書放置在正確的目錄中。

   當提示您輸入主機名時，在瀏覽器中輸入服務器的DNS名稱或IP地址，例如https：// hostname：8834 /或https：// ipaddress：8834 /。默認證書使用主機名。

2. 如果要使用CA證書而不是Nessus生成的證書，請使用適用于您的操作系統的命令制作自簽名CA證書的副本：

   • Linux

     # cp /opt/nessus/com/nessus/CA/cacert.pem /opt/nessus/com/nessus/CA/ORIGcacert.pem

   • Windows Vista及更高版本

     C:\> copy C:\ProgramData\Tenable\Nessus\nessus\CA\cacert.pem
     C:\ProgramData\Tenable\Nessus\nessus\CA\ORIGcacert.pem

3. 如果用于身份驗證的證書是由Nessus服務器以外的CA創建的，則必須在Nessus服務器上安裝CA證書。

   • Linux
     將組織的CA證書復制到/opt/nessus/com/nessus/CA/cacert.pem
   • Windows 7及更高版本
     將組織的CA證書復制到C:\ProgramData\Tenable\Nessus\ Nessus\ CA\cacert.pem

4. 配置Nessus服務器以進行證書身份驗證。啟用證書身份驗證后，將禁用使用用戶名和密碼登錄。

   注意： Nessus不支持使用force_pubkey_auth選項連接代理、遠程掃描儀或托管掃描儀。配置一個備用端口，在高級設置中使用remote_listen_port啟用force_pubkey_auth來支持遠程代理和掃描儀。

   • Linux

     # /opt/nessus/sbin/nessuscli fix --set force_pubkey_auth=yes

   • Windows

     C:\> cd C:\Program Files\Tenable\Nessus\
     C:\Program Files\Tenable\Nessus> nessuscli.exe fix --set force_pubkey_auth=yes

5. 在CA就緒并啟用了force_pubkey_auth設置之后，使用service nessusd restart命令重新啟動Nessus服務。

   注意： 任何鏈接的代理仍將具有舊證書（ms_cert），并且與Nessus管理器的通信將失敗。使用以下命令重新鏈接代理：
   nessuscli agent unlink
   nessuscli agent link–host = –port = –key = –groups <group1，group2>

在為Nessus配置正確的CA證書后，您可以使用SSL客戶端證書、智能卡和CAC登錄到Nessus。