Поделиться через

Развертывание сертификатов веб-сервера на серверах системы сайта

  • Статья

Назначение: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Следующие системы сайта требуют сертификаты веб-сервера Configuration Manager 2007, когда сайт настраивается в основном режиме:

  • точки управления (точка управления по умолчанию, прокси-точка управления, точка управления балансировкой сетевой нагрузки, интернет-точка управления);

  • стандартные точки распространения (серверы и ресурсы общего доступа), которые настраиваются с параметром Разрешить клиентам передачу содержимого с этой точки распространения при помощи BITS, HTTP и HTTPS (требуется для клиентов устройств и интернет-клиентов);

  • Точки обновления программного обеспечения

  • Точки миграции состояния

Примечание

Точки распространения филиала не требуют сертификат веб-сервера. Однако они требуют сертификат клиента.

Развертывание сертификатов веб-сервера осуществляется в два этапа.

  1. Установите сертификат веб-сервера на данный сервер.

  2. Настройте службы Internet Information Services (IIS) на использование сертификата веб-сервера.

Установите сертификат веб-сервера на сервер.

Существует несколько способов установки сертификатов веб-серверов.

  • Если используется инфраструктура открытого ключа (PKI) компании Microsoft, можно создавать сертификаты на основе шаблона веб-сервера и назначать их серверам с использованием групповой политики и авторегистрации.

  • Если используется инфраструктура открытого ключа (PKI) компании Microsoft с интернет-регистрацией, поддерживающая сохранение сертификатов в хранилище локального компьютера, можно потребовать сертификат от каждого веб-сервера, воспользовавшись страницами регистрации в Интернете.

  • Можно потребовать сертификат от каждого сервера через службы Internet Information Services (IIS) и запустить мастер. Например, если используется IIS 7.0 на Windows Server 2008, выберите на начальной странице Сертификаты сервера и щелкните Создать запрос сертификата, чтобы создать файл запроса сертификата. Если используется IIS 6.0 на Windows Server 2003, измените свойства веб-сайта, откройте вкладку Безопасность каталога и щелкните Сертификат сервера, чтобы создать онлайновый запрос или файл запроса сертификата.

  • Сертификат можно запросить и получить при помощи программы командной строки Microsoft Certreq.

  • Если сертификат можно создать при помощи средств управления сертификатами, его можно экспортировать и импортировать на каждый сервер.

Примечание

Дополнительные сведения о том, как можно указать сразу несколько полных доменных имен в поле "Альтернативное имя получателя" (например, если система сайта поддерживает подключения клиентов интрасети и Интернета или является системой сайта балансировки сетевой нагрузки), см. на веб странице How to Request a Certificate With a Custom Subject Alternative Name (Как запросить сертификат с альтернативным именем субъекта) (https://go.microsoft.com/fwlink/?LinkId=189292).

Настройка IIS для использования сертификата веб-сервера на сервере

После установки сертификата веб-сервера необходимо настроить службы Internet Information Services (IIS) так, чтобы веб-сайт Configuration Manager 2007 использовал этот сертификат для проверки подлинности и шифрования. Можно подготовить сценарий установки или воспользоваться консолью диспетчера служб Internet Information Services (IIS).

Чтобы настроить IIS для использования сертификата веб-сервера с применением консоли диспетчера служб Internet Information Services (IIS), выполните одно из следующих действий в зависимости от версии IIS.

  • Для IIS 7,0 на Windows Server 2008: Откройте Сайты, выберите веб-сайт, который будет использован Configuration Manager (Веб-сайт по умолчанию или SMSWEB), выберите Изменить привязки и затем настройте протокол https для использования сертификата веб-сервера.

  • Для IIS 6.0 на Windows Server 2003: Измените свойства веб-сайта, используемого Configuration Manager (Веб-сайт по умолчанию или SMSWEB), и выберите для использования сертификат веб-сервера, щелкнув Сертификат сервера на вкладке Безопасность каталога. В результате будет запущен мастер сертификата веб-сервера, который поможет выбрать требуемый сертификат веб-сервера.

Примечание

Если для Configuration Manager 2007 используется настраиваемый веб-сайт, его именем будет SMSWEB. Дополнительные сведения об использовании настраиваемых веб-сайтов в Configuration Manager 2007можно найти на Обзор настраиваемого веб-сайта Configuration Manager и на Настройка пользовательских веб-сайтов для сайтов Configuration Manager.

См. также

Основные понятия

Определение необходимости настройки IIS для списка доверия сертификатов (основной режим)

Другие ресурсы

Развертывание сертификатов PKI, необходимых для работы в основном режиме

Дополнительные сведения см. на странице Configuration Manager 2007 Information and Support [Информация и поддержка Configuration Manager 2007].
Для обращений в группу разработчиков документации используйте адрес электронной почты SMSdocs@microsoft.com.