Компоненты, требующие дополнительные сертификаты для работы в основном режиме. Компоненты, требующие дополнительные сертификаты для работы в основном режиме Сведения об исправлении
Сертификаты инфраструктуры открытого ключа (PKI), необходимые для работы сайта Configuration Manager 2007 в основном режиме, перечислены в следующих таблицах. Эти сведения предполагают базовые знания пользователя о сертификатах PKI. Дополнительные сведения об использовании и развертывании PKI см. в разделе Развертывание сертификатов PKI, необходимых для работы в основном режиме .
При использовании решения PKI корпорации Майкрософт управление сертификатами может облегчить применение шаблонов сертификатов. Сертификаты на основе шаблонов могут выпускаться только центром сертификации предприятия, работающим в ОС Windows Server 2003 или Windows Server 2008 выпусков Enterprise Edition или Datacenter Edition. Однако не следует использовать шаблоны версии 3 (Windows Server 2008 Enterprise Edition ). Данные шаблоны сертификатов создают сертификаты, не совместимые с Configuration Manager. Сведения о том, как можно использовать шаблоны сертификатов для развертывания сертификатов, необходимых для работы Configuration Manager в основном режиме, см. в следующих разделах.
- Пример пошагового развертывания сертификатов PKI, необходимых для работы Configuration Manager в основном режиме: центр сертификации Windows Server 2008
| Важно! |
|---|
| Сертификаты должны быть установлены до того, как сайт начнет работать в основном режиме. Configuration Manager попытается проверить сертификат для подписи сервера сайта при выборе основного режима во время установки или при миграции сайта в основной режим после установки. Однако Configuration Manager не может проверить другие сертификаты, которые требуются для работы в основном режиме. Чтобы определить готовность клиентских компьютеров к основному режиму, можно вручную запустить средство проверки готовности работы в основном режиме Configuration Manager. Дополнительные сведения об этом инструменте см. в разделе Определение готовности клиентских компьютеров к основному режиму . |
Сертификаты, необходимые для работы в основном режиме
| Использование сертификата | ||||
|---|---|---|---|---|
|
Сервер основного сайта |
Подписание документов |
Для подписания документов нет шаблона по умолчанию. Можно использовать любой шаблон версии 2 (v2), удалив предписанные применения, если они не являются обязательными, и добавив функцию подписания документов. |
Значение должно содержать Подписание документов (1.3.6.1.4.1.311.10.3.12) . Поле Имя получателя
должно содержать следующую строку.
The site code of this site server is Максимальный поддерживаемый размер ключа составляет 8096 бит. |
Сертификат подписи сервера сайта используется для подписывания политик, которые клиенты загружают со своей точки управления, для того, чтобы клиенты знали, что политики исходят от назначенного им сайта. Этот сертификат не требуется на серверах дополнительных сайтов. Прежде чем клиенты смогут получать подписанные этим сертификатом политики, их необходимо снабдить копией сертификата. Дополнительные сведения см. в разделе Определение способа развертывания сертификата для подписи сервера сайта на клиентах (основной режим) . |
|
Роли системы сайта |
Проверка подлинности сервера |
Веб-сервер |
Значение Расширенное использование ключа должно содержать Проверка подлинности сервера (1.3.6.1.5.5.7.3.1) . Если система сайта принимает подключения из Интернета, то имя получателя или дополнительное имя получателя должны содержать полное доменное имя в Интернете (FQDN). Если система сайта принимает подключения из интрасети, то имя получателя или дополнительное имя получателя должны содержать полное доменное имя в интрасети (рекомендуется) или NetBIOS-имя компьютера в зависимости от настройки системы сайта. Если система сайта принимает подключения как из Интернета, так и из интрасети, то следует указывать полное доменное имя в Интернете и полное доменное имя в интрасети (или NetBIOS-имя компьютера), используя амперсанд (& в качестве разделителя имен. SHA-1 - единственный поддерживаемый хэш-алгоритм. Программа Configuration Manager не накладывает ограничений на длину ключа для этого сертификата. По вопросам относительно размера ключа обратитесь к документации по PKI и IIS для этого сертификата. |
Этот сертификат необходимо разместить в личном хранилище сертификатов на компьютере. Сертификат веб-сервера используется для проверки подлинности этих серверов при обращении клиента и для шифрования всех данных, передаваемых между клиентом и этими серверами с использованием протокола SSL. |
|
Клиентские компьютеры |
Проверка подлинности клиента |
Компьютер или рабочая станция |
Значение Расширенное использование ключа должно содержать . Клиентские компьютеры должны иметь в поле "Имя получателя" или "Альтернативное имя получателя" уникальное значение. (Если используются шаблоны сертификатов Майкрософт, то альтернативное имя получателя доступно только для шаблонов рабочих станций.) SHA-1 - единственный поддерживаемый хэш-алгоритм. |
По умолчанию Configuration Manager ищет сертификаты компьютера в личном хранилище сертификатов на компьютере. Изменение места поиска сертификата описано в разделе Задание хранилища сертификатов клиента . Этот сертификат используется для проверки подлинности клиентов следующими серверами.
Этот сертификат требуется также на точках управления и точках миграции состояния даже в тех случаях, когда клиент Configuration Manager 2007 не установлен на этих системах сайта. Это нужно для того, чтобы можно было наблюдать за работоспособностью этих ролей и передавать данные об этом на сервер сайта. Этот сертификат для этих систем сайта необходимо разместить в личном хранилище сертификатов на компьютере. |
|
Клиенты мобильных устройств |
Проверка подлинности клиента |
Сеанс проверки подлинности |
Значение Расширенное использование ключа должно содержать Проверку подлинности клиента (1.3.6.1.5.5.7.3.2) . SHA-1 - единственный поддерживаемый хэш-алгоритм. Максимальный поддерживаемый размер ключа составляет 2048 бит. |
Этот сертификат необходимо разместить в личном хранилище сертификатов. Этот сертификат используется для проверки подлинности клиента мобильного устройства следующими серверами.
|
Компоненты, требующие дополнительные сертификаты для работы в основном режиме
Если сайт, работающий в основном режиме, поддерживает перечисленные ниже необязательные компоненты, то потребуются дополнительные сертификаты.
- Точки управления балансировкой сетевой нагрузки или точки обновления программного обеспечения для балансировки сетевой нагрузки.
- Прокси-серверы для интернет-управления клиентами.
- Компонент развертывания операционной системы.
- Мобильные устройства
В следующем разделе приведены сведения о сертификатах, необходимых для каждого из этих дополнительных компонентов.
Точки управления балансировкой сетевой нагрузки или точки обновления программного обеспечения для балансировки сетевой нагрузки
Если сайт поддерживает точку управления балансировкой сетевой нагрузки или точку обновления программного обеспечения для балансировки сетевой нагрузки, то для работы требуются дополнительные сертификаты. Сведения о них перечислены в следующей таблице.
| Компонент Configuration Manager | Использование сертификата | Используемый шаблон сертификата Microsoft | Особые сведения в сертификате | Как используется сертификат в программе Configuration Manager |
|---|---|---|---|---|
|
Кластер балансировки сетевой нагрузки для точки управления или точки обновления программного обеспечения |
Проверка подлинности сервера |
Веб-сервер |
|
Этот сертификат используется для проверки подлинности точек управления балансировкой сетевой нагрузки и точек обновления программного обеспечения для балансировки сетевой нагрузки при обращении клиента и для шифрования всех данных, передаваемых между клиентом и этими серверами с использованием протокола SSL. |
Прокси-веб-серверы для интернет-управления клиентами
Если сайт поддерживает интернет-управление клиентами, и для входящих подключений к Интернету используется прокси-веб-сервер с завершением запросов SSL (мостом), то на прокси-веб-сервере потребуются сертификаты, перечисленные в следующей таблице.
Дополнительные сведения об использовании прокси-веб-серверов для интернет-управления клиентами см. в разделе Определение требований к прокси-серверам для использования интернет-управления клиентами .
| Компонент сетевой инфраструктуры | Использование сертификата | Используемый шаблон сертификата Microsoft | Особые сведения в сертификате | Как используется сертификат в программе Configuration Manager |
|---|---|---|---|---|
|
Прокси-веб-сервер, принимающий подключения клиентов через Интернет |
Проверка подлинности сервера и клиента |
|
Полное доменное имя в Интернете в поле "Имя получателя" или "Альтернативное имя получателя". (Если используются шаблоны сертификатов Майкрософт, то альтернативное имя получателя доступно только для шаблонов рабочих станций.) |
Этот сертификат используется для проверки подлинности перечисленных ниже серверов при обращении интернет-клиентов и для шифрования всех данных, передаваемых между клиентом и этим сервером с использованием протокола SSL.
Проверка подлинности клиента используется для подключения клиентов Configuration Manager 2007 к системам сайта в Интернете. |
Компонент развертывания операционной системы
Если сайт поддерживает функцию развертывания операционной системы, то в дополнение к сертификату сервера и сертификату клиента, необходимым для работы точки миграции состояния, потребуются сертификаты, перечисленные в следующей таблице.
Дополнительные сведения о сертификатах, имеющих отношение к развертыванию операционной системы на сайте, работающем в основном режиме, см. в разделе Управление сертификатами основного режима и развертывание операционной системы .
| Компонент Configuration Manager | Использование сертификата | Используемый шаблон сертификата Microsoft | Особые сведения в сертификате | Как используется сертификат в программе Configuration Manager |
|---|---|---|---|---|
|
Установка клиента при развертывании операционной системы, если для завершения развертывания требуются сертификаты клиента. |
Проверка подлинности клиента |
Компьютер или рабочая станция |
Значение Расширенное использование ключа должно содержать Проверку подлинности клиента (1.3.6.1.5.5.7.3.2) . Уникальное значение в имени субъекта. SHA-1 - единственный поддерживаемый хэш-алгоритм. Максимальный поддерживаемый размер ключа составляет 2048 бит. |
Этот сертификат используется, если последовательность задач при развертывании операционной системы включает такие действия клиента, как извлечение политики клиента или отправка сведений инвентаризации. Сертификат клиента должен быть экспортирован в формате Public Key Certificate Standard (PKCS #12), и должен быть известен пароль для того, чтобы сертификат можно было импортировать в образы загрузки Configuration Manager или разместить в точке обслуживания PXE. Эти сертификаты используются только во время развертывания операционной системы и не устанавливаются на клиент. Поскольку этот сертификат используется временно, то можно использовать один и тот же сертификат при каждом развертывании операционной системы, если нет другой необходимости использовать несколько сертификатов. Файлы PKCS #12 имеют расширение PFX. Дополнительные сведения:
|
|
Сертификаты корневого центра сертификации для клиентов, установленных при развертывании операционной системы. |
Корневой центр сертификации для сертификата сервера сайта и сертификата сервера точки управления. |
Неприменимо. |
Стандартный сертификат корневого центра сертификации. |
Чтобы клиент мог обмениваться данными с точкой управления при завершении развертывания операционной системы, должен быть выдан сертификат корневого центра сертификации. Все основные сайты, работающие в основном режиме и использующие функцию развертывания операционной системы, должны быть настроены с сертификатами корневого центра сертификации. Дополнительные сайты будут автоматически использовать сертификаты корневого центра сертификации, размещенные на их основном сайте. Дополнительные сведения:
После того, как PKI-сертификаты будут размещены и все будет готово для миграции Configuration Manager 2007 из смешанного режима сайта в основной, воспользуйтесь следующими рабочим процессом администратора и контрольным списком. |
До сих пор компьютерные сети использовали централизованные базы данных учетных записей для управления пользователями, их привилегиями и управления доступом. Эта техника проста и эффективна для малых сетей. Однако в наши дни, когда большие сети с тысячами пользователей в порядке вещей, такой формой централизованного контроля стало трудно управлять. Проблемы такой системы разнообразны - от попытки проверить учетную запись пользователя в базе данных находящейся в Интернете, до управления длинным списком пользователей. Кроме того, распространение Интернета сделало компьютерные сети более подверженными атакам внешних субъектов.
Использование сертификата
Сертификаты открытого ключа предлагают решение, которое делает администрирование большого количества пользователей в крупных сетях гораздо проще, в то же время, снижая риск атаки на идентификаторы / пароли. Эти сертификаты можно широко распространять, они могут выдаваться многими компаниями и их проверка осуществляется, с помощью проверки самого сертификата без обращения к централизованной базе данных.
Сертификаты можно использовать для защищенной связи и проверки подлинности пользователя при взаимодействии клиента и сервера на веб-сайте. Сертификаты позволяют клиентам установить принадлежность сервера, поскольку сервер предоставляет сертификат подлинности сервера с указанием его происхождения. Если вы подключаетесь к веб-сайту, имеющему сертификат сервера, выданный доверяемым центром сертификации, вы можете быть уверены, что сервером действительно управляет лицо или организация, указанная в сертификате. Подобным же образом сертификаты позволяют серверу определить вашу подлинность. Когда вы подключаетесь к веб-сайту, сервер может убедиться в вашей подлинности, получив ваш клиентский сертификат. Сертификат, используемый для проверки подлинности сервера, называется сертификатом сервера и процесс проверки подлинности сервера называется Проверка подлинности сервера . Точно также, сертификат, используемый для проверки подлинности клиента, называется сертификатом клиента и процесс проверки подлинности клиента называется Проверка подлинности клиента .
Например, если веб-сервер хочет ограничить доступ к информации или услугам для определенных пользователей или клиентов, он запрашивает сертификат клиента во время установки безопасного подключения (например, SSL).
В то время как проверка подлинности сервера гарантирует безопасную передачу данных, проверка подлинности клиента улучшает безопасность таких интерактивных транзакций.
Сопоставление сертификатов учетным записям пользователей
Технология открытого ключа предоставила решения многих проблем безопасности крупных сетей. Сертификаты могут использоваться как гарантия подлинности личности и позволяют проверить ее подлинность без использования больших баз данных пользователей и списков учетных записей пользователя и их привилегий доступа.
Однако, существующие операционные системы и административные инструменты приспособлены только для работы с учетными записями пользователей, но не с сертификатами. Самым простым решением для использования всех преимуществ сертификатов и учетных записей пользователей, является создание связи, или сопоставление сертификата и учетной записи. Это позволяет операционной системе продолжать использовать учетные записи, в то время как более крупные системы и пользователи будут использовать сертификаты.
В этой модели, сертификат, выданный пользователю, сопоставляется с его учетной записью в сети. Когда пользователь предоставляет сертификат, система ищет сопоставления и определяет с какой учетной записью он должен войти в систему.
В данном руководстве описываются различные подходы к этому вопросу. Оно описывает способы, при помощи которых IIS и Active Directory могут быть подготовлены для проверки подлинности клиента и использование проверки подлинности клиента с Internet Explorer.
В данном пошаговом руководстве раскрываются основные особенности использования Инфраструктуры открытых ключей (Public Key Infrastructure (PKI)) в Microsoft® Internet Explorer версии 5 и выше. В частности, описывается применение сертификатов открытых ключей для проверки подлинности клиента с помощью безопасного HTTP соединения с использованием одного из следующих протоколов: Transport Layer Security (TLS 1.0), Secure Sockets Layer (SSLv2 и SSLv3) или Private Communications Technology (PCT 1.0).
Введение
Безопасные HTTP соединения используются для обеспечения строгой проверки подлинности и конфиденциальности во время доступа к содержимому всемирной сети World Wide Web при использовании HTTP соединения. Наиболее часто безопасное HTTP соединение используется для обеспечения зашифрованного соединения с веб-сервером, требующим аутентификацию. При попытке клиента установить безопасное HTTP соединение, что обычно определяется наличием в начале ссылки https://, клиент и сервер начинают взаимодействовать, договариваясь о выборе безопасного протокола, и лишь затем обмениваются информацией о подлинности.
Microsoft® Internet Explorer версии 5 и выше поддерживает следующие протоколы безопасного соединения для передачи данных по HTTP:
- Transport Layer Security (TLS версии 1.0)
- Secure Sockets Layer (SSL версии 2 и 3)
- Private Communications Technology (PCT версии 1.0).
Каждый из этих протоколов обеспечивает как шифрование (для обеспечения конфиденциальности передаваемых данных), так и аутентификацию (для взаимной идентификации между клиентом и сервером). В данном пошаговом руководстве описывается процедура использования сертификатов открытых ключей для проверки подлинности клиента, как одна из составляющих одного из этих протоколов.
Требования
На Вашем компьютере должна быть установлена операционная система Windows 2000. Самую последнюю информацию о требованиях к оборудованию и совместимости серверов, клиентов и устройств можно найти на странице проверки совместимости оборудования и программного обеспечения Windows 2000 (EN).
Проверка подлинности клиента в Internet Explorer
Для настройки проверки подлинности клиента:
- Получите сертификат проверки подлинности клиента от сервера сертификатов.
Для получения более подробной информации о подаче заявки на получение сертификата обратитесь к Пошаговому руководству пользователя по управлению сертификатами (Step-by-Step Guide to End-User Certificate Management) (EN).
- В Microsoft Internet Explorer перейдите на URL-адрес, требующий проверку подлинности клиента.
- При появлении диалогового окна Проверка подлинности клиента
(Client Authentication)
выберите сертификат, который хотите использовать, и нажмите OK
.
Для получения информации о сертификате выберите сертификат и нажмите кнопку Просмотр Сертификата (View Certificate) .
Примечание: Если Вы используете смарт-карты для проверки подлинности клиента, то при отсутствии смарт-карты в считывателе смарт-карт появится диалоговое окно Выбор карты (Select Card) . Вставьте карту и нажмите OK . При запросе PIN-кода Вашей смарт-карты введите его и нажмите OK .
- Отобразится защищенная веб-страница.
Известные ошибки
При посещении веб-узлов Internet Explorer запоминает, какие сертификаты Вы использовали для проверки подлинности клиента, поэтому Вам не нужно будет еще раз проходить процедуру проверки подлинности при посещении тех же веб-узлов в течение одного сеанса. В ОС Microsoft Windows 2000 Internet Explorer запоминает учетные данные даже в том случае, если не удалось выполнить проверку подлинности на удаленном веб-сервере. Таким образом, если Вы выбрали недействующий сертификат, Вам необходимо закрыть все открытые окна Internet Explorer и затем заново их открыть. В этом случае Вам будет предложено выбрать сертификат для проверки подлинности клиента, и Вы сможете выбрать один из действующих сертификатов.
Примечание: Наиболее свежую и полную информацию можно получить на узле www.microsoft.com.
Параметры поставщиков проверки подлинности можно настроить при помощи страницы «Поставщики проверки подлинности».
В разделе Анонимный доступ установите флажок Разрешить анонимный доступ Разрешить анонимный доступ .
Примечание:
В разделе Параметры проверки подлинности IIS для выбора проверки подлинности Kerberos или NT LAN Manager (NTLM) установите флажок Встроенная проверка подлинности Windows , а затем выберите один из следующих параметров.
Согласование (Kerberos)
Да
Нет
Да . Включает средства, запускающие клиентские приложения в соответствии с типами документов. Работа этого параметра может быть не совсем корректной с некоторыми типами проверки подлинности форм.
Нет . Отключает средства, запускающие клиентские приложения в соответствии с типами документов. Необходимо извлечь документ с узла, а затем после внесения в него изменений вновь загрузить его на узел.
Да . Включает средства, запускающие клиентские приложения в соответствии с типами документов. Работа этого параметра может быть не совсем корректной с некоторыми типами проверки подлинности форм.
Нет . Отключает средства, запускающие клиентские приложения в соответствии с типами документов. Необходимо извлечь документ с узла, а затем после внесения в него изменений вновь загрузить его на узел.
На верхней панели ссылок щелкните Управление приложениями .
На странице «Управление приложениями» в разделе Безопасность приложений щелкните Поставщики проверки подлинности .
На странице «Поставщики проверки подлинности» щелкните имя зоны для требуемого поставщика проверки подлинности.
На странице «Изменение параметров проверки подлинности» в разделе Тип проверки подлинности
Windows
Используется проверка подлинности Windows.
Для использования основной проверки подлинности (пароли отправляются в виде простого текста) установите флажок Простая проверка подлинности (незашифрованный пароль) .
В разделе Интеграция клиентов , в группе Включить интеграцию клиентов выберите один из следующих параметров.
Формы
Используется проверка подлинности форм.
В разделе Анонимный доступ установите флажок Разрешить анонимный доступ для разрешения анонимного доступа ко всем узлам внутри веб-приложения. Для отключения анонимного доступа снимите флажок Разрешить анонимный доступ .
Примечание: Если анонимный доступ включен на этом уровне, на уровне узла или семейства узлов он все равно может быть запрещен. Однако если анонимный доступ отключен на данном уровне, он отключается на всех уровнях внутри веб-приложения.
В разделе , в поле Имя поставщика контроля членства введите имя поставщика.
Примечание:
Совет: По желанию можно добавить поставщика контроля членства в файл Web.config для центра администрирования, при помощи которого можно легко управлять пользователями поставщика.
В разделе Имя управляющего ролями , в поле Имя управляющего ролями
Примечание:
В разделе Интеграция клиентов , в группе Включить интеграцию клиентов выберите один из следующих параметров.
Единый вход
Выберите этот вариант, чтобы использовать единый вход.
В разделе Анонимный доступ установите флажок Разрешить анонимный доступ , чтобы разрешить анонимный доступ ко всем сайтам в этом веб-приложении. Чтобы отключить анонимный доступ, снимите флажок Разрешить анонимный доступ .
Примечание: Если анонимный доступ включен на этом уровне, на уровне узла или семейства узлов он все равно может быть запрещен. Однако если анонимный доступ отключен на данном уровне, он отключается на всех уровнях внутри веб-приложения.
В разделе Имя поставщика контроля членства , в поле Имя поставщика контроля членства введите имя поставщика.
Примечание: Необходимо правильно настроить поставщика контроля членства в файле Web.config для узла IIS, на котором помещено содержимое SharePoint каждого веб-сервера. Поставщик также должен быть добавлен в файл Web.config для узла IIS, на котором помещен центр администрирования.
В разделе Имя управляющего ролями , в поле Имя управляющего ролями можно ввести имя управляющего.
Примечание: Управляющий должен быть правильно настроен в файле Web.config для данной зоны.
В разделе Интеграция клиентов , в группе Включить интеграцию клиентов выберите один из следующих параметров.
