Если сертификаты сервера необходимы для внутреннего использования, можно создать локальный центр сертификации и избежать приобретения коммерческого сертификата.
Чтобы создать локальный центр сертификации, необходимо выполнить следующие действия.
-
Откройте панель управления.
-
Дважды щелкните Установка и удаление программ.
-
Щелкните Установка компонентов Windows.
-
Дважды щелкните Сервер приложений.
-
Дважды щелкните Службы IIS.
-
Дважды щелкните Служба WWW.
-
Выберите ASP.
-
Нажмите кнопку OK, чтобы закрыть диалоговое окно Служба WWW, нажмите кнопку OK, чтобы закрыть диалоговое окно Службы IIS, а затем нажмите OK, чтобы закрыть диалоговое окно Сервер приложений.
-
Выберите Службы сертификации. Проверьте имя компьютера и его членство в домене. Нажмите Да в диалоговом окне с предупреждением для продолжения, а затем нажмите Далее на странице Компоненты Windows.
-
На странице Тип ЦС выберите один из следующих вариантов, а затем нажмите Далее.
- Корневой ЦС предприятия. Корневой ЦС предприятия должен
быть установлен на компьютере, являющемся членом домена. Корневой
ЦС предприятия будет автоматически выдавать сертификаты при запросе
авторизованных (контроллером домена) пользователей.
- Изолированный корневой ЦС. Изолированный корневой ЦС
требует выдачи запрошенного сертификата администратором.
- Корневой ЦС предприятия. Корневой ЦС предприятия должен
быть установлен на компьютере, являющемся членом домена. Корневой
ЦС предприятия будет автоматически выдавать сертификаты при запросе
авторизованных (контроллером домена) пользователей.
-
На странице Сведения о центре сертификации укажите общее имя ЦС, проверьте суффикс различающегося имени, укажите срок действия и нажмите кнопку Далее.
-
На странице Параметры базы данных сертификатов проверьте параметры по умолчанию. Можно исправить размещения баз данных. Нажмите кнопку Далее.
-
На странице Завершение мастера компонентов Windows просмотрите сводку и нажмите кнопку Готово.
Примечание. |
---|
В результате этой процедуры будут установлены службы, которые
позволят получать сертификаты через веб-страницы. Если необходимо
использовать другой метод получения сертификатов, установка служб
IIS и ASP не требуется. Чтобы разрешить доступ к веб-узлу ЦС, необходимо его опубликовать. Чтобы ограничить доступ к веб-узлу, можно опубликовать отдельные папки, необходимые группе пользователей, вместо публикации всего сервера для всех пользователей. Дополнительные сведения о веб-публикации см. в разделе Обзор принципов веб-публикации. |
Чтобы установить сертификат сервера, необходимо выполнить следующие действия.
-
Откройте обозреватель Internet Explorer.
-
В меню Сервис выберите команду Свойства обозревателя.
-
Перейдите на вкладку Безопасность и в списке Выберите зону для настройки ее параметров безопасности щелкните Надежные узлы.
-
Нажмите кнопку Узлы, чтобы открыть диалоговое окно Надежные узлы.
-
В поле Добавить узел в зону введите имя веб-узла сервера сертификата (http://IP-адрес сервера центра сертификации/certsrvname) и нажмите кнопку Добавить.
-
Нажмите кнопку Закрыть, чтобы закрыть диалоговое окно Надежные узлы, а затем нажмите кнопку OK, чтобы закрыть окно Свойства обозревателя.
-
Укажите путь к папке:
http://IP-адрес сервера центра сертификации/certsrv
-
Запросите сертификат.
-
Выберите Расширенный запрос сертификата.
-
Выберите Создать и выдать запрос к этому ЦС.
-
Заполните форму и выберите Сертификат проверки подлинности сервера из раскрывающегося списка Тип. Чтобы клиент не получал сообщения об ошибке при попытке подключения, общее имя сертификата должно соответствовать имени опубликованного сервера.
- Для публикации сервера введите полное доменное имя (FQDN)
публикуемого сервера.
Примечание. Описание функций, доступных на странице Расширенный запрос сертификата, см. в разделе «Использование веб-страниц службы сертификации Windows Server 2003» (http://www.microsoft.com). - Для веб-публикации для сертификата на компьютере Forefront TMG
введите имя узла, которое внешние клиенты будут вводить в
веб-обозревателе для доступа к веб-узлу, например
news.adatum.com.
- Для веб-публикации, если на веб-сервере устанавливается
сертификат сервера кроме сертификата, необходимого на компьютере
Forefront TMG, общее имя должно быть именем узла, которое компьютер
Forefront TMG использует для отправки сообщений HTTP-запросов на
веб-сервер в соответствии с правилом веб-публикации. Это имя должно
быть разрешимым к IP-адресу веб-сервера и может совпадать с полным
доменным именем веб-сервера, например webserver1.adatum.com.
- Для публикации сервера введите полное доменное имя (FQDN)
публикуемого сервера.
-
Выберите Использовать локальное хранилище компьютера для сертификата и отправьте запрос, нажав кнопку Выдать. Просмотрите диалоговое окно с предупреждением и нажмите кнопку Да.
-
Если установлен изолированный корневой ЦС, выполните следующие действия на компьютере центра сертификации. Эти действия автоматизированы в корневом ЦС предприятия.
- Нажмите кнопку Пуск, выберите Все программы,
Администрирование, а затем нажмите Центр
сертификации, чтобы открыть оснастку центра сертификации
консоли управления (MMC).
- Разверните узел Имя_ЦС, где Имя_ЦС является
именем центра сертификации.
- Щелкните узел Ожидающие запросы, щелкните правой кнопкой
мыши запрос, выберитеВсе задачи, а затем выберите
Выдать.
- Нажмите кнопку Пуск, выберите Все программы,
Администрирование, а затем нажмите Центр
сертификации, чтобы открыть оснастку центра сертификации
консоли управления (MMC).
-
На компьютере Forefront TMG вернитесь на веб-страницу http://IP-адрес сервера центра сертификации/certsrv и нажмите Просмотреть состояние ожидающего запроса.
-
Щелкните запрос и выберите команду Установить этот сертификат.
-
Убедитесь, что сертификат сервера успешно установлен, выполнив следующие действия.
- Нажмите кнопку Пуск, выберите команду Выполнить,
введите mmc в поле Открыть и нажмите кнопку
OK.
- В окне Консоль1 щелкните меню Файл и выберите
команду Добавить или удалить оснастку.
- В диалоговом окне Добавить/удалить оснастку выберите
Сертификаты и нажмите кнопку Добавить.
- На странице Оснастка диспетчера сертификатов выберите
Учетная запись компьютера и нажмите кнопку Далее.
- На странице Выбор компьютера выберите Локальный
компьютер и нажмите кнопку Готово.
- В диалоговом окне Добавить/удалить оснастку нажмите
кнопку OK.
- В дереве консоли разверните узел Сертификаты (локальный
компьютер), разверните Личные, щелкните
Сертификаты и дважды щелкните новый сертификат сервера. На
вкладке Общие отобразится примечание Есть закрытый ключ,
соответствующий этому сертификату. На вкладке Путь
сертификации отобразится иерархическая связь между вашим
сертификатом и центром сертификации, а также примечание Этот
сертификат действителен.
- Закройте окно Консоль1.
- Нажмите кнопку Пуск, выберите команду Выполнить,
введите mmc в поле Открыть и нажмите кнопку
OK.
Примечание. |
---|
Процедура выполняется на компьютере, требующем цифровой
сертификат. В случае веб-публикации процедура выполняется на
компьютере Forefront TMG или компьютере веб-сервера. В случае
публикации сервера процедура выполняется только на компьютере
веб-сервера. Если установлен изолированный корневой ЦС, а не
корневой ЦС предприятия, некоторые действия выполняются в центре
сертификации. На компьютере Forefront TMG сертификат сервера, выданный центром сертификации, необходимо сохранить в личном хранилище на компьютере Forefront TMG. Корневой сертификат ЦС необходимо сохранить в хранилище доверенных корневых центров сертификации на компьютере Forefront TMG. |
Чтобы компьютер клиента считал доверенными сертификаты сервера, установленные из локального ЦС, необходима установка корневого сертификата из ЦС. Выполните данную процедуру на каждом компьютере клиента, требующем корневой сертификат. Обратите внимание, что можно также отправить корневой сертификат на носитель, например диск, а затем установить его на компьютере клиента.
Чтобы установить корневой сертификат, необходимо выполнить следующие действия.
-
Откройте обозреватель Internet Explorer.
-
В меню Сервис выберите команду Свойства обозревателя.
-
На вкладке Безопасность нажмите Другой, чтобы открыть диалоговое окно Параметры безопасности. В раскрывающемся списке Восстановить прежние параметры выберите Средний уровень, нажмите OK, чтобы закрыть диалоговое окно Параметры безопасности, и нажмите OK, чтобы закрыть диалоговое окно Свойства обозревателя.
Примечание. Установка сертификата невозможна, если выбран Высокий уровень. -
Укажите путь к папке:
http://IP-адрес сервера центра сертификации/certsrv
-
Щелкните Загрузка сертификата ЦС, цепочки сертификатов или CRL. На следующей странице щелкните Загрузка сертификата ЦС. Это корневой сертификат, который необходимо сохранить на компьютере Forefront TMG. В диалоговом окне Загрузка файла нажмите кнопку Открыть.
-
В диалоговом окне Сертификат нажмите кнопку Установить сертификат для запуска мастера импорта сертификатов.
-
На странице Мастер импорта сертификатов нажмите кнопку Далее. На странице Хранилище сертификатов выберите Поместить все сертификаты в следующее хранилище и нажмите Обзор. В диалоговом окне Выбор хранилища сертификата выберите Показать физические хранилища. Разверните узел Доверенные корневые центры сертификации, выберите Локальный компьютер и нажмите кнопку OK. На странице Хранилище сертификатов нажмите кнопку Далее.
-
На странице Завершение работы мастера импорта сертификатов просмотрите сводку и нажмите кнопку Готово.
-
Убедитесь, что корневой сертификат успешно установлен, выполнив следующие действия.
- Откройте оснастку сертификатов консоли управления MMC
(локальный компьютер).
- Разверните узел Доверенные корневые центры сертификации,
нажмите Сертификаты и проверьте наличие корневого
сертификата.
Примечание. Также можно установить сертификаты на компьютер из оснастки сертификатов консоли управления MMC (локальный компьютер). Однако в этом случае будут доступны лишь центры сертификации в рамках домена. - Откройте оснастку сертификатов консоли управления MMC
(локальный компьютер).