- Если для пункта установлены параметры Проверка подлинности HTTP или Без проверки , в раскрывающемся списке выберите Проверка подлинности SSL-сертификата клиента и щелкните Дополнительно .
- Если для пункта Метод, используемый клиентами при проверке подлинности на Forefront TMG установлен параметр Проверка подлинности на основе HTML-форм , нажмите кнопку Дополнительно . Выберите Требовать SSL-сертификат клиента , только если необходимо, чтобы SSL-сертификат клиента отправлялся в HTTPS-запросе до вывода HTML-формы.
На вкладке Список доверенных сертификатов клиентов выберите один из следующих вариантов.
- Принимать любые сертификаты клиента, являющиеся доверенными для компьютера Forefront TMG . Выберите этот вариант, если необходимо, чтобы в список доступных центров сертификации входили все центры сертификации, корневой сертификат которых установлен в хранилище доверенных корневых центров сертификации на компьютере Forefront TMG.
- Принимать только сертификаты, выпущенные центрами сертификации, указанными ниже . Выберите этот вариант, если необходимо ограничить список центров сертификации, имеющих доверенные сертификаты.
На вкладке Ограничения сертификатов клиентов укажите ограничения для SSL-сертификатов клиентов.
Нажмите кнопку OK , чтобы закрыть страницу Дополнительные параметры проверки подлинности .
На вкладке Сертификаты убедитесь, что выбран SSL-сертификат сервера, и нажмите кнопку OK .
Для проверки подлинности на основе форм на вкладке Трафик выберите Требовать SSL-сертификат клиента .
Нажмите кнопку OK .
В области сведений нажмите кнопку Применить , затем кнопку OK .
В дереве консоли управления Forefront TMG щелкните папку Политика межсетевого экрана .
В области сведений щелкните соответствующее правило веб-публикации.
На вкладке Задачи нажмите кнопку Изменить выбранное правило .
На вкладке Прослушиватель нажмите кнопку Свойства .
Убедитесь, что на вкладке Подключения выбран параметр Включить подключения SSL (HTTPS) для данного порта .
Если необходимо запретить HTTP-соединения, не прошедшие проверку подлинности сертификата клиента, отключите параметр Включить подключения HTTP для данного порта .
На вкладке Проверка подлинности выполните одно из следующих действий.
Примечания
- Сертификат клиента, предъявляемый Forefront TMG, является доверенным, только если корневой сертификат центра сертификации установлен в хранилище доверенных корневых центров сертификации на компьютере Forefront TMG. Дополнительные сведения о проверке подлинности клиента см. в разделе Проверка подлинности для опубликованных ресурсов .
- При публикации через SSL SSL-сертификат сервера, выпущенный для внешнего имени опубликованного веб-узла, должен быть установлен в личном хранилище для локального компьютера на компьютере Forefront TMG. Дополнительные сведения об использовании сертификатов сервера для безопасной веб-публикации см. в разделе Настройка сертификатов сервера для безопасной веб-публикации .
- Когда клиент соединяется через Forefront TMG, список доступных центров сертификации Forefront TMG предоставляется клиенту как часть SSL-подтверждения. Это позволяет клиентскому приложению, например веб-обозревателю, использовать только сертификаты клиентов, выпущенные доверенным центром сертификации.
- Можно ограничить набор сертификатов, которые клиент может отправить Forefront TMG, создав ограничения для SSL-сертификатов клиентов. Таким образом в клиентском приложении можно исключить необходимость отображения списка сертификатов для выбора подходящего сертификата клиента.
До сих пор компьютерные сети использовали централизованные базы данных учетных записей для управления пользователями, их привилегиями и управления доступом. Эта техника проста и эффективна для малых сетей. Однако в наши дни, когда большие сети с тысячами пользователей в порядке вещей, такой формой централизованного контроля стало трудно управлять. Проблемы такой системы разнообразны - от попытки проверить учетную запись пользователя в базе данных находящейся в Интернете, до управления длинным списком пользователей. Кроме того, распространение Интернета сделало компьютерные сети более подверженными атакам внешних субъектов.
Использование сертификата
Сертификаты открытого ключа предлагают решение, которое делает администрирование большого количества пользователей в крупных сетях гораздо проще, в то же время, снижая риск атаки на идентификаторы / пароли. Эти сертификаты можно широко распространять, они могут выдаваться многими компаниями и их проверка осуществляется, с помощью проверки самого сертификата без обращения к централизованной базе данных.
Сертификаты можно использовать для защищенной связи и проверки подлинности пользователя при взаимодействии клиента и сервера на веб-сайте. Сертификаты позволяют клиентам установить принадлежность сервера, поскольку сервер предоставляет сертификат подлинности сервера с указанием его происхождения. Если вы подключаетесь к веб-сайту, имеющему сертификат сервера, выданный доверяемым центром сертификации, вы можете быть уверены, что сервером действительно управляет лицо или организация, указанная в сертификате. Подобным же образом сертификаты позволяют серверу определить вашу подлинность. Когда вы подключаетесь к веб-сайту, сервер может убедиться в вашей подлинности, получив ваш клиентский сертификат. Сертификат, используемый для проверки подлинности сервера, называется сертификатом сервера и процесс проверки подлинности сервера называется Проверка подлинности сервера . Точно также, сертификат, используемый для проверки подлинности клиента, называется сертификатом клиента и процесс проверки подлинности клиента называется Проверка подлинности клиента .
Например, если веб-сервер хочет ограничить доступ к информации или услугам для определенных пользователей или клиентов, он запрашивает сертификат клиента во время установки безопасного подключения (например, SSL).
В то время как проверка подлинности сервера гарантирует безопасную передачу данных, проверка подлинности клиента улучшает безопасность таких интерактивных транзакций.
Сопоставление сертификатов учетным записям пользователей
Технология открытого ключа предоставила решения многих проблем безопасности крупных сетей. Сертификаты могут использоваться как гарантия подлинности личности и позволяют проверить ее подлинность без использования больших баз данных пользователей и списков учетных записей пользователя и их привилегий доступа.
Однако, существующие операционные системы и административные инструменты приспособлены только для работы с учетными записями пользователей, но не с сертификатами. Самым простым решением для использования всех преимуществ сертификатов и учетных записей пользователей, является создание связи, или сопоставление сертификата и учетной записи. Это позволяет операционной системе продолжать использовать учетные записи, в то время как более крупные системы и пользователи будут использовать сертификаты.
В этой модели, сертификат, выданный пользователю, сопоставляется с его учетной записью в сети. Когда пользователь предоставляет сертификат, система ищет сопоставления и определяет с какой учетной записью он должен войти в систему.
В данном руководстве описываются различные подходы к этому вопросу. Оно описывает способы, при помощи которых IIS и Active Directory могут быть подготовлены для проверки подлинности клиента и использование проверки подлинности клиента с Internet Explorer.
Сертификаты инфраструктуры открытого ключа (PKI), необходимые для работы сайта Configuration Manager 2007 в основном режиме, перечислены в следующих таблицах. Эти сведения предполагают базовые знания пользователя о сертификатах PKI. Дополнительные сведения об использовании и развертывании PKI см. в разделе Развертывание сертификатов PKI, необходимых для работы в основном режиме .
При использовании решения PKI корпорации Майкрософт управление сертификатами может облегчить применение шаблонов сертификатов. Сертификаты на основе шаблонов могут выпускаться только центром сертификации предприятия, работающим в ОС Windows Server 2003 или Windows Server 2008 выпусков Enterprise Edition или Datacenter Edition. Однако не следует использовать шаблоны версии 3 (Windows Server 2008 Enterprise Edition ). Данные шаблоны сертификатов создают сертификаты, не совместимые с Configuration Manager. Сведения о том, как можно использовать шаблоны сертификатов для развертывания сертификатов, необходимых для работы Configuration Manager в основном режиме, см. в следующих разделах.
- Пример пошагового развертывания сертификатов PKI, необходимых для работы Configuration Manager в основном режиме: центр сертификации Windows Server 2008
| Важно! |
|---|
| Сертификаты должны быть установлены до того, как сайт начнет работать в основном режиме. Configuration Manager попытается проверить сертификат для подписи сервера сайта при выборе основного режима во время установки или при миграции сайта в основной режим после установки. Однако Configuration Manager не может проверить другие сертификаты, которые требуются для работы в основном режиме. Чтобы определить готовность клиентских компьютеров к основному режиму, можно вручную запустить средство проверки готовности работы в основном режиме Configuration Manager. Дополнительные сведения об этом инструменте см. в разделе Определение готовности клиентских компьютеров к основному режиму . |
Сертификаты, необходимые для работы в основном режиме
| Использование сертификата | ||||
|---|---|---|---|---|
|
Сервер основного сайта |
Подписание документов |
Для подписания документов нет шаблона по умолчанию. Можно использовать любой шаблон версии 2 (v2), удалив предписанные применения, если они не являются обязательными, и добавив функцию подписания документов. |
Значение должно содержать Подписание документов (1.3.6.1.4.1.311.10.3.12) . Поле Имя получателя
должно содержать следующую строку.
The site code of this site server is Максимальный поддерживаемый размер ключа составляет 8096 бит. |
Сертификат подписи сервера сайта используется для подписывания политик, которые клиенты загружают со своей точки управления, для того, чтобы клиенты знали, что политики исходят от назначенного им сайта. Этот сертификат не требуется на серверах дополнительных сайтов. Прежде чем клиенты смогут получать подписанные этим сертификатом политики, их необходимо снабдить копией сертификата. Дополнительные сведения см. в разделе Определение способа развертывания сертификата для подписи сервера сайта на клиентах (основной режим) . |
|
Роли системы сайта |
Проверка подлинности сервера |
Веб-сервер |
Значение Расширенное использование ключа должно содержать Проверка подлинности сервера (1.3.6.1.5.5.7.3.1) . Если система сайта принимает подключения из Интернета, то имя получателя или дополнительное имя получателя должны содержать полное доменное имя в Интернете (FQDN). Если система сайта принимает подключения из интрасети, то имя получателя или дополнительное имя получателя должны содержать полное доменное имя в интрасети (рекомендуется) или NetBIOS-имя компьютера в зависимости от настройки системы сайта. Если система сайта принимает подключения как из Интернета, так и из интрасети, то следует указывать полное доменное имя в Интернете и полное доменное имя в интрасети (или NetBIOS-имя компьютера), используя амперсанд (& в качестве разделителя имен. SHA-1 - единственный поддерживаемый хэш-алгоритм. Программа Configuration Manager не накладывает ограничений на длину ключа для этого сертификата. По вопросам относительно размера ключа обратитесь к документации по PKI и IIS для этого сертификата. |
Этот сертификат необходимо разместить в личном хранилище сертификатов на компьютере. Сертификат веб-сервера используется для проверки подлинности этих серверов при обращении клиента и для шифрования всех данных, передаваемых между клиентом и этими серверами с использованием протокола SSL. |
|
Клиентские компьютеры |
Проверка подлинности клиента |
Компьютер или рабочая станция |
Значение Расширенное использование ключа должно содержать . Клиентские компьютеры должны иметь в поле "Имя получателя" или "Альтернативное имя получателя" уникальное значение. (Если используются шаблоны сертификатов Майкрософт, то альтернативное имя получателя доступно только для шаблонов рабочих станций.) SHA-1 - единственный поддерживаемый хэш-алгоритм. |
По умолчанию Configuration Manager ищет сертификаты компьютера в личном хранилище сертификатов на компьютере. Изменение места поиска сертификата описано в разделе Задание хранилища сертификатов клиента . Этот сертификат используется для проверки подлинности клиентов следующими серверами.
Этот сертификат требуется также на точках управления и точках миграции состояния даже в тех случаях, когда клиент Configuration Manager 2007 не установлен на этих системах сайта. Это нужно для того, чтобы можно было наблюдать за работоспособностью этих ролей и передавать данные об этом на сервер сайта. Этот сертификат для этих систем сайта необходимо разместить в личном хранилище сертификатов на компьютере. |
|
Клиенты мобильных устройств |
Проверка подлинности клиента |
Сеанс проверки подлинности |
Значение Расширенное использование ключа должно содержать Проверку подлинности клиента (1.3.6.1.5.5.7.3.2) . SHA-1 - единственный поддерживаемый хэш-алгоритм. Максимальный поддерживаемый размер ключа составляет 2048 бит. |
Этот сертификат необходимо разместить в личном хранилище сертификатов. Этот сертификат используется для проверки подлинности клиента мобильного устройства следующими серверами.
|
Компоненты, требующие дополнительные сертификаты для работы в основном режиме
Если сайт, работающий в основном режиме, поддерживает перечисленные ниже необязательные компоненты, то потребуются дополнительные сертификаты.
- Точки управления балансировкой сетевой нагрузки или точки обновления программного обеспечения для балансировки сетевой нагрузки.
- Прокси-серверы для интернет-управления клиентами.
- Компонент развертывания операционной системы.
- Мобильные устройства
В следующем разделе приведены сведения о сертификатах, необходимых для каждого из этих дополнительных компонентов.
Точки управления балансировкой сетевой нагрузки или точки обновления программного обеспечения для балансировки сетевой нагрузки
Если сайт поддерживает точку управления балансировкой сетевой нагрузки или точку обновления программного обеспечения для балансировки сетевой нагрузки, то для работы требуются дополнительные сертификаты. Сведения о них перечислены в следующей таблице.
| Компонент Configuration Manager | Использование сертификата | Используемый шаблон сертификата Microsoft | Особые сведения в сертификате | Как используется сертификат в программе Configuration Manager |
|---|---|---|---|---|
|
Кластер балансировки сетевой нагрузки для точки управления или точки обновления программного обеспечения |
Проверка подлинности сервера |
Веб-сервер |
|
Этот сертификат используется для проверки подлинности точек управления балансировкой сетевой нагрузки и точек обновления программного обеспечения для балансировки сетевой нагрузки при обращении клиента и для шифрования всех данных, передаваемых между клиентом и этими серверами с использованием протокола SSL. |
Прокси-веб-серверы для интернет-управления клиентами
Если сайт поддерживает интернет-управление клиентами, и для входящих подключений к Интернету используется прокси-веб-сервер с завершением запросов SSL (мостом), то на прокси-веб-сервере потребуются сертификаты, перечисленные в следующей таблице.
Дополнительные сведения об использовании прокси-веб-серверов для интернет-управления клиентами см. в разделе Определение требований к прокси-серверам для использования интернет-управления клиентами .
| Компонент сетевой инфраструктуры | Использование сертификата | Используемый шаблон сертификата Microsoft | Особые сведения в сертификате | Как используется сертификат в программе Configuration Manager |
|---|---|---|---|---|
|
Прокси-веб-сервер, принимающий подключения клиентов через Интернет |
Проверка подлинности сервера и клиента |
|
Полное доменное имя в Интернете в поле "Имя получателя" или "Альтернативное имя получателя". (Если используются шаблоны сертификатов Майкрософт, то альтернативное имя получателя доступно только для шаблонов рабочих станций.) |
Этот сертификат используется для проверки подлинности перечисленных ниже серверов при обращении интернет-клиентов и для шифрования всех данных, передаваемых между клиентом и этим сервером с использованием протокола SSL.
Проверка подлинности клиента используется для подключения клиентов Configuration Manager 2007 к системам сайта в Интернете. |
Компонент развертывания операционной системы
Если сайт поддерживает функцию развертывания операционной системы, то в дополнение к сертификату сервера и сертификату клиента, необходимым для работы точки миграции состояния, потребуются сертификаты, перечисленные в следующей таблице.
Дополнительные сведения о сертификатах, имеющих отношение к развертыванию операционной системы на сайте, работающем в основном режиме, см. в разделе Управление сертификатами основного режима и развертывание операционной системы .
| Компонент Configuration Manager | Использование сертификата | Используемый шаблон сертификата Microsoft | Особые сведения в сертификате | Как используется сертификат в программе Configuration Manager |
|---|---|---|---|---|
|
Установка клиента при развертывании операционной системы, если для завершения развертывания требуются сертификаты клиента. |
Проверка подлинности клиента |
Компьютер или рабочая станция |
Значение Расширенное использование ключа должно содержать Проверку подлинности клиента (1.3.6.1.5.5.7.3.2) . Уникальное значение в имени субъекта. SHA-1 - единственный поддерживаемый хэш-алгоритм. Максимальный поддерживаемый размер ключа составляет 2048 бит. |
Этот сертификат используется, если последовательность задач при развертывании операционной системы включает такие действия клиента, как извлечение политики клиента или отправка сведений инвентаризации. Сертификат клиента должен быть экспортирован в формате Public Key Certificate Standard (PKCS #12), и должен быть известен пароль для того, чтобы сертификат можно было импортировать в образы загрузки Configuration Manager или разместить в точке обслуживания PXE. Эти сертификаты используются только во время развертывания операционной системы и не устанавливаются на клиент. Поскольку этот сертификат используется временно, то можно использовать один и тот же сертификат при каждом развертывании операционной системы, если нет другой необходимости использовать несколько сертификатов. Файлы PKCS #12 имеют расширение PFX. Дополнительные сведения:
|
|
Сертификаты корневого центра сертификации для клиентов, установленных при развертывании операционной системы. |
Корневой центр сертификации для сертификата сервера сайта и сертификата сервера точки управления. |
Неприменимо. |
Стандартный сертификат корневого центра сертификации. |
Чтобы клиент мог обмениваться данными с точкой управления при завершении развертывания операционной системы, должен быть выдан сертификат корневого центра сертификации. Все основные сайты, работающие в основном режиме и использующие функцию развертывания операционной системы, должны быть настроены с сертификатами корневого центра сертификации. Дополнительные сайты будут автоматически использовать сертификаты корневого центра сертификации, размещенные на их основном сайте. Дополнительные сведения:
После того, как PKI-сертификаты будут размещены и все будет готово для миграции Configuration Manager 2007 из смешанного режима сайта в основной, воспользуйтесь следующими рабочим процессом администратора и контрольным списком. |
Примечание: Наиболее свежую и полную информацию можно получить на узле www.microsoft.com.
Параметры поставщиков проверки подлинности можно настроить при помощи страницы «Поставщики проверки подлинности».
В разделе Анонимный доступ установите флажок Разрешить анонимный доступ Разрешить анонимный доступ .
Примечание:
В разделе Параметры проверки подлинности IIS для выбора проверки подлинности Kerberos или NT LAN Manager (NTLM) установите флажок Встроенная проверка подлинности Windows , а затем выберите один из следующих параметров.
Согласование (Kerberos)
Да
Нет
Да . Включает средства, запускающие клиентские приложения в соответствии с типами документов. Работа этого параметра может быть не совсем корректной с некоторыми типами проверки подлинности форм.
Нет . Отключает средства, запускающие клиентские приложения в соответствии с типами документов. Необходимо извлечь документ с узла, а затем после внесения в него изменений вновь загрузить его на узел.
Да . Включает средства, запускающие клиентские приложения в соответствии с типами документов. Работа этого параметра может быть не совсем корректной с некоторыми типами проверки подлинности форм.
Нет . Отключает средства, запускающие клиентские приложения в соответствии с типами документов. Необходимо извлечь документ с узла, а затем после внесения в него изменений вновь загрузить его на узел.
На верхней панели ссылок щелкните Управление приложениями .
На странице «Управление приложениями» в разделе Безопасность приложений щелкните Поставщики проверки подлинности .
На странице «Поставщики проверки подлинности» щелкните имя зоны для требуемого поставщика проверки подлинности.
На странице «Изменение параметров проверки подлинности» в разделе Тип проверки подлинности
Windows
Используется проверка подлинности Windows.
Для использования основной проверки подлинности (пароли отправляются в виде простого текста) установите флажок Простая проверка подлинности (незашифрованный пароль) .
В разделе Интеграция клиентов , в группе Включить интеграцию клиентов выберите один из следующих параметров.
Формы
Используется проверка подлинности форм.
В разделе Анонимный доступ установите флажок Разрешить анонимный доступ для разрешения анонимного доступа ко всем узлам внутри веб-приложения. Для отключения анонимного доступа снимите флажок Разрешить анонимный доступ .
Примечание: Если анонимный доступ включен на этом уровне, на уровне узла или семейства узлов он все равно может быть запрещен. Однако если анонимный доступ отключен на данном уровне, он отключается на всех уровнях внутри веб-приложения.
В разделе , в поле Имя поставщика контроля членства введите имя поставщика.
Примечание:
Совет: По желанию можно добавить поставщика контроля членства в файл Web.config для центра администрирования, при помощи которого можно легко управлять пользователями поставщика.
В разделе Имя управляющего ролями , в поле Имя управляющего ролями
Примечание:
В разделе Интеграция клиентов , в группе Включить интеграцию клиентов выберите один из следующих параметров.
Единый вход
Выберите этот вариант, чтобы использовать единый вход.
В разделе Анонимный доступ установите флажок Разрешить анонимный доступ , чтобы разрешить анонимный доступ ко всем сайтам в этом веб-приложении. Чтобы отключить анонимный доступ, снимите флажок Разрешить анонимный доступ .
Примечание: Если анонимный доступ включен на этом уровне, на уровне узла или семейства узлов он все равно может быть запрещен. Однако если анонимный доступ отключен на данном уровне, он отключается на всех уровнях внутри веб-приложения.
В разделе Имя поставщика контроля членства , в поле Имя поставщика контроля членства введите имя поставщика.
Примечание: Необходимо правильно настроить поставщика контроля членства в файле Web.config для узла IIS, на котором помещено содержимое SharePoint каждого веб-сервера. Поставщик также должен быть добавлен в файл Web.config для узла IIS, на котором помещен центр администрирования.
В разделе Имя управляющего ролями , в поле Имя управляющего ролями можно ввести имя управляющего.
Примечание: Управляющий должен быть правильно настроен в файле Web.config для данной зоны.
В разделе Интеграция клиентов , в группе Включить интеграцию клиентов выберите один из следующих параметров.
