Поделиться через

Определение необходимости настройки IIS для списка доверия сертификатов (основной режим)

  • Статья

Назначение: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Список доверия сертификатов — это определенный список доверенных корневых центров сертификации. В случае использования групповой политики и развертывания PKI список доверия сертификатов позволяет дополнить существующий набор доверенных корневых центров сертификации, настроенных в сети, например центров, автоматически устанавливаемых с Microsoft Windows или добавляемых через корневые центры сертификации предприятия Windows. Если же список доверия сертификатов настраивается в службах IIS, он задает набор доверенных корневых центров сертификации.

Использование такого набора предоставляет администраторам более широкие возможности управления параметрами безопасности, поскольку в этом случае принимаются только сертификаты, выданные центрами сертификации, указанными в списке доверия сертификатов. Например, в Windows изначально задано несколько известных сторонних центров сертификации, таких как VeriSign и Thawte. Компьютер, на котором запущены службы IIS, по умолчанию доверяет сертификатам, выданным этими известными центрами сертификации. Если для служб IIS не настроен список доверия сертификатов, то любой клиент с сертификатом, выданным этими центрами сертификации, будет считаться допустимым клиентом Configuration Manager. Если же настроить для служб IIS список доверия сертификатов, в который не входят эти центры сертификации, то клиентские подключения с сертификатами этих центров будут отклонены. Чтобы клиенты Configuration Manager принимались на сайте, работающем в основном режиме, необходимо задать для служб IIS список доверия сертификатов, в который включить все центры сертификации, используемые клиентами Configuration Manager.

В IIS список доверия сертификатов определяется в виде свойства веб-сайта, поэтому необходимо настроить этот список для каждого сервера работающего в основном режиме сайта Configuration Manager 2007, для которого включено использование протокола SSL; списки доверия сертификатов нельзя задавать и поддерживать с помощью групповых политик. Ниже перечислены роли системы сайта, использующие обмен данными с шифрованием SSL:

  • точки управления:

    • точка управления по умолчанию;

    • точки управления с балансировкой сетевой нагрузки;

    • прокси-точка управления;

    • интернет-точка управления;

  • точки распространения, на являющиеся точками распространения филиала и не использующие общие ресурсы системы сайта;

  • точки обновления программного обеспечения;

  • точки миграции состояния.

Чтобы использовать список доверия сертификатов с сайтом Configuration Manager 2007, работающим в основном режиме, после настройки веб-сайта с использованием сертификата основного режима измените свойства этого веб-сайта (веб-сайта по умолчанию или пользовательского веб-сайта с именем SMSWeb). Для создания и изменения списка доверия сертификатов можно воспользоваться мастером списка доверия сертификатов, после чего указать корневые центры сертификации, используемые клиентами на работающем в основном режиме сайте. Дополнительные сведения о создании и изменении списков доверия сертификатов в службах IIS 6.0 см. в документации по IIS 6.0 и спискам доверия сертификатов (https://go.microsoft.com/fwlink/?LinkId=80247).

Рекомендуется (хотя и не требуется) применять в IIS списки доверия сертификатов, если используется основной режим Configuration Manager 2007, поскольку такой подход обеспечивает более высокий уровень безопасности по сравнению с ситуацией, когда центры сертификации, используемые клиентами Configuration Manager, явно не заданы.

Использование списков доверия сертификатов для IIS и основного режима Configuration Manager 2007 имеет следующее преимущество:

  • это более безопасное решение, поскольку только указанные в списке доверенные корневые центры сертификации, а не все используемые в сети доверенные корневые центры сертификации, будут получать доверие Configuration Manager, в том числе и центры сертификации, устанавливаемые в Windows по умолчанию.

Использование списков доверия сертификатов для IIS и основного режима Configuration Manager 2007 имеет следующие недостатки:

  • такая конфигурация создает дополнительную нагрузку на администраторов, связанную с созданием и поддержкой списков доверия сертификатов в IIS для каждого сервера системы сайта Configuration Manager, который взаимодействует с клиентами Configuration Manager с использованием протокола SSL;

  • неправильная настройка и поддержка списков доверия сертификатов может привести к появлению неуправляемых клиентов.

См. также

Основные понятия

Контрольный список администратора: развертывание требований PKI для работы в основном режиме
Преимущества использования основного режима
Обзор настраиваемого веб-сайта Configuration Manager
Определение необходимости включения проверки отзыва сертификатов (CRL) на клиентах (основной режим)

Дополнительные сведения см. на странице Configuration Manager 2007 Information and Support [Информация и поддержка Configuration Manager 2007].
Для обращений в группу разработчиков документации используйте адрес электронной почты SMSdocs@microsoft.com.