Шлюз Microsoft Forefront Threat Management использует цифровые сертификаты в следующих общих случаях.
- Публикация веб-сервера или сервера веб-клиента Outlook® через
HTTPS-подключение.
- Публикация не веб-сервера через HTTPS-подключение.
- Настройка VPN-подключения типа "сеть-сеть" с туннелированием на
основе L2TP/IPsec или IPsec.
В следующей таблице представлены типы сертификатов, используемых в этих случаях.
Сценарий | Тип сертификата (назначение) | Кем выдан |
---|---|---|
Веб-публикация: проверка подлинности компьютера Forefront TMG внешнего пользователя |
Сертификат сервера |
Общий центр сертификации (ЦС) |
Веб-публикация: проверка подлинности веб-сервера компьютера Forefront TMG |
Сертификат сервера |
Общий ЦС или локальный ЦС |
Публикация сервера: проверка подлинности опубликованного не веб-сервера для внешнего пользователя |
Сертификат сервера |
Общий ЦС |
VPN-подключение типа "сеть-сеть" (туннель на основе L2TP/IPsec или IPsec) |
Сертификат Ipsec |
Локальный ЦС (рекомендуется) |
Настройка локального ЦС
Для настройки локального ЦС для выдачи сертификатов можно воспользоваться службами сертификатов Майкрософт. Существует два типа локального ЦС.
Автономный ЦСЭтот тип ЦС удобен в условиях, когда отсутствует среда домена и не требуется выполнять автоматическое развертывание сертификатов для пользователей и компьютеров. Этот тип ЦС имеет следующие характеристики.
- Active Directory не требуется.
- В ЦС отсутствуют сведения о пользователе или компьютере,
запрашивающем сертификат. Эта информация поступает после
направления запроса.
- Все запросы на сертификаты ставятся в режим ожидания до тех
пор, пока их не утвердит администратор ЦС.
- Для запроса или управления сертификатами нельзя использовать
мастер запроса сертификата в службах сертификатов. Следует работать
с веб-станицей.
- Учетная запись пользователя, запрашивающего сертификат, должна
быть определена локально на компьютере автономного ЦС.
- Добавлять или удалять шаблоны сертификатов из автономного ЦС
нельзя.
- В хранилище доверенного корневого ЦС запрашивающего компьютера
необходимо вручную добавить самозаверяющий сертификат автономного
ЦС. При установке автономного ЦС пользователем домена ограничена
доменная поддержка. В этом случае корневой сертификат ЦС
добавляется в хранилище доверенного корневого ЦС для всех
пользователей домена и компьютеров.
ЦС предприятия Этот тип ЦС использует Active Directory для проверки того, что все пользователи, компьютеры и службы, запрашивающие сертификаты, имеют права на получение данного типа сертификата. ЦС публикует сертификаты и списки отзыва сертификатов (CRL) Active Directory. Для запроса или управления сертификатами нельзя использовать мастер запроса сертификата в службах сертификатов.
В следующих разделах представлено описание основных действий по установке и настройке локального автономного ЦС или ЦС предприятия. В этих разделах содержится лишь обзор действий по настройке локального ЦС. Более полный список см. и на веб-узле Microsoft TechNet.
Установка корневого ЦС
Корневой центр сертификации является центром сертификации верхнего уровня. Корневой ЦС не предназначен для выдачи сертификатов пользователям или компьютерам. Поэтому следует создать структуру подчиненных ЦС. Корневой ЦС может находиться в автономном режиме, его интерактивное функционирование допускается только для выполнения задач, связанных с подчиненными ЦС и списками отзыва сертификатов (CRL).
Для установки ЦС предприятия необходимо быть членом группы администраторов предприятия. Для установки автономного ЦС с хранением сертификатов в Active Directory, необходимо быть членом группы администраторов домена. Для установки автономного ЦС, который не будет использовать Active Directory, необходимо быть членом группы администраторов на локальном сервере.
Для получения инструкций см. следующие ресурсы на веб-узле Microsoft TechNet.
- Установка корневого центра сертификации
предприятия.
- Установка автономного корневого центра
сертификации.
Для получения дополнительных сведений см. следующие ресурсы на веб-узле Microsoft TechNet.
Установка подчиненного центра сертификации
Для выдачи сертификатов рекомендуется настроить подчиненный ЦС.
Для получения инструкций см. следующие ресурсы на веб-узле Microsoft TechNet.
Для получения дополнительных сведений см. следующие ресурсы на веб-узле Microsoft TechNet.
Настройка шаблонов для ЦС предприятия
Шаблоны сертификатов выделяют их по назначению. Запрашивающая сторона в зависимости от своих прав доступа может выбрать нужный сертификат из его различных типов, в основе которых лежат шаблоны. Наличие шаблонов сертификатов освобождает пользователей от принятия технических решений по поводу выбора нужного сертификата. Если ни один из предустановленных шаблонов сертификатов не соответствует требованиям пользователя, можно создать новые шаблоны сертификатов и настроить их для различных действий. Шаблоны сертификатов используются только в ЦС предприятий.
Для получения инструкций см. следующие ресурсы на веб-узле Microsoft TechNet.
Для получения дополнительных сведений см. следующие ресурсы на веб-узле Microsoft TechNet.
- Обзор шаблонов сертификатов.
- Сведения об автономном ЦС см. Управление запросами сертификатов в автономном ЦС.
Настройка архивации и восстановления ключа
В службах сертификации Windows 2003 процесс архивации и восстановления ключа позволяет администраторам ЦС архивировать закрытые ключи, связанные с выдаваемыми сертификатами. Процесс архивации и восстановления ключа используется только для ЦС предприятий.
Для получения инструкций см. следующие ресурсы на веб-узле Microsoft TechNet.
Для получения дополнительных сведений см. следующие ресурсы на веб-узле Microsoft TechNet.
Настройка и управление отзывом сертификатов
Управление отзывом сертификата связан с выполнением ряда задач, включая планирование публикации списка отзыва сертификатов (CRL), использование измененных CRL для минимизации загрузки длинных CRL и назначения точек CDP.
Для получения инструкций см. следующие ресурсы на веб-узле Microsoft TechNet.
Для получения дополнительных сведений см. следующие ресурсы на веб-узле Microsoft TechNet.
Настройка служб подачи заявок через Интернет
Ряд веб-страниц ЦС предоставляет простой пользовательский интерфейс для подключения к ЦС через веб-обозреватель и выполнения общих задач, таких как запрос сертификатов. Для автономных ЦС существует способ прямого запроса. Для ЦС предприятия дополнительно с веб-станицами можно использовать MMC-оснастку сертификатов.
Для получения инструкций см. следующие ресурсы на веб-узле Microsoft TechNet.
Для получения дополнительных сведений см. следующие ресурсы на веб-узле Microsoft TechNet.