Шлюз Microsoft Forefront Threat Management использует цифровые сертификаты в следующих общих случаях.

Публикация веб-сервера или сервера веб-клиента Outlook® через HTTPS-подключение.
Публикация не веб-сервера через HTTPS-подключение.
Настройка VPN-подключения типа "сеть-сеть" с туннелированием на основе L2TP/IPsec или IPsec.

В следующей таблице представлены типы сертификатов, используемых в этих случаях.

Сценарий	Тип сертификата (назначение)	Кем выдан
Веб-публикация: проверка подлинности компьютера Forefront TMG внешнего пользователя	Сертификат сервера	Общий центр сертификации (ЦС)
Веб-публикация: проверка подлинности веб-сервера компьютера Forefront TMG	Сертификат сервера	Общий ЦС или локальный ЦС
Публикация сервера: проверка подлинности опубликованного не веб-сервера для внешнего пользователя	Сертификат сервера	Общий ЦС
VPN-подключение типа "сеть-сеть" (туннель на основе L2TP/IPsec или IPsec)	Сертификат Ipsec	Локальный ЦС (рекомендуется)

Настройка локального ЦС

Для настройки локального ЦС для выдачи сертификатов можно воспользоваться службами сертификатов Майкрософт. Существует два типа локального ЦС.

Автономный ЦСЭтот тип ЦС удобен в условиях, когда отсутствует среда домена и не требуется выполнять автоматическое развертывание сертификатов для пользователей и компьютеров. Этот тип ЦС имеет следующие характеристики.

Active Directory не требуется.
В ЦС отсутствуют сведения о пользователе или компьютере, запрашивающем сертификат. Эта информация поступает после направления запроса.
Все запросы на сертификаты ставятся в режим ожидания до тех пор, пока их не утвердит администратор ЦС.
Для запроса или управления сертификатами нельзя использовать мастер запроса сертификата в службах сертификатов. Следует работать с веб-станицей.
Учетная запись пользователя, запрашивающего сертификат, должна быть определена локально на компьютере автономного ЦС.
Добавлять или удалять шаблоны сертификатов из автономного ЦС нельзя.
В хранилище доверенного корневого ЦС запрашивающего компьютера необходимо вручную добавить самозаверяющий сертификат автономного ЦС. При установке автономного ЦС пользователем домена ограничена доменная поддержка. В этом случае корневой сертификат ЦС добавляется в хранилище доверенного корневого ЦС для всех пользователей домена и компьютеров.

ЦС предприятия Этот тип ЦС использует Active Directory для проверки того, что все пользователи, компьютеры и службы, запрашивающие сертификаты, имеют права на получение данного типа сертификата. ЦС публикует сертификаты и списки отзыва сертификатов (CRL) Active Directory. Для запроса или управления сертификатами нельзя использовать мастер запроса сертификата в службах сертификатов.

В следующих разделах представлено описание основных действий по установке и настройке локального автономного ЦС или ЦС предприятия. В этих разделах содержится лишь обзор действий по настройке локального ЦС. Более полный список см. и на веб-узле Microsoft TechNet.

Установка корневого ЦС

Корневой центр сертификации является центром сертификации верхнего уровня. Корневой ЦС не предназначен для выдачи сертификатов пользователям или компьютерам. Поэтому следует создать структуру подчиненных ЦС. Корневой ЦС может находиться в автономном режиме, его интерактивное функционирование допускается только для выполнения задач, связанных с подчиненными ЦС и списками отзыва сертификатов (CRL).

Для установки ЦС предприятия необходимо быть членом группы администраторов предприятия. Для установки автономного ЦС с хранением сертификатов в Active Directory, необходимо быть членом группы администраторов домена. Для установки автономного ЦС, который не будет использовать Active Directory, необходимо быть членом группы администраторов на локальном сервере.

Для получения инструкций см. следующие ресурсы на веб-узле Microsoft TechNet.