SSL-сертификаты для портала самообслуживания

 

Опубликовано: Июль 2016

Применимо к: System Center 2012 SP1 - Service Manager, System Center 2012 R2 Service Manager, System Center 2012 - Service Manager

При работе с Портал самообслуживания в System Center 2012 – Service Managerнастоятельно рекомендуется использовать SSL-сертификаты. Службы Портал самообслуживания состоят из двух компонентов — сервера веб-сайтов SharePoint и сервера веб-содержимого. При использовании протокола SSL с Портал самообслуживанияследует использовать SSL-сертификаты в обоих компонентах.

Клиенты, выполняющие подключение к Портал самообслуживания, подключаются к серверу веб-сайтов SharePoint. Платформа портала передается клиенту с сервера веб-сайтов SharePoint. Сервер SharePoint дает браузеру инструкцию загрузить компоненты Silverlight с сервера веб-содержимого. Затем компоненты Silverlight связываются со службой Windows Communication Foundation (WCF) на сервере веб-содержимого. Вы можете указать URL-адрес сервера веб-содержимого при развертывании сервера веб-сайтов SharePoint. Именно этот URL-адрес сервера веб-содержимого передается клиенту.

При наличии проблемы с сертификатами на этапе установления клиентом SSL-соединения с Портал самообслуживаниябудет показано предупреждение. Например, если имя, введенное клиентом для URL-адреса, не соответствует имени компьютера, указанного в сертификате, появится предупреждение о несоответствии имен. При этом у клиента будет возможность продолжать работу с подключением. Однако ошибка сертификата, происходящая на этапе загрузки компонентов Silverlight с сервера веб-содержимого, не предоставляет возможности вручную отреагировать на предупреждение. В результате часть веб-страницы Портал самообслуживания будет пустой.

Поэтому при работе с SSL-сертификатами необходимо учесть нюансы, перечисленные ниже.

• Сертификаты, используемые для Портал самообслуживания , должны быть выданы центром сертификации, которому доверяет клиент.

• Имя на сертификате сервера веб-сайтов SharePoint должно совпадать с URL-адресом, который пользователи вводят в браузер. Например, если пользователь вводит URL-адрес https://portal/SMPortal, сертификат должен быть выдан для адреса portal, а не portal.woodgrove.com.

• Имя, указанное в сертификате сервера веб-содержимого, должно совпадать с именем, указанным вами при развертывании сервера веб-сайтов SharePoint.

Протокол SSL по умолчанию использует порт 443. Для того чтобы пользователям не пришлось вводить номер порта в браузере при подключении к Портал самообслуживания, вы должны указать порт 443 при развертывании сервера веб-сайтов SharePoint. Поскольку пользователям не нужно вводить URL-адрес сервера веб-содержимого (помните, что URL-адрес сервера веб-содержимого пересылается клиенту при подключении пользователей к серверу веб-сайтов SharePoint), для SSL-подключений сервера веб-содержимого вы можете использовать другой порт (например, порт 444). При развертывании сервера веб-сайтов SharePoint и сервера веб-содержимого на одном компьютере вам будет предложено указать параметры для сервера веб-содержимого, после чего станет возможной установка сервера веб-сайтов SharePoint. Следовательно, первое предложение ввести номер порта будет относиться к серверу веб-содержимого, поэтому не указывайте порт 443, если вы планируете установить сервер веб-сайтов SharePoint на тот же компьютер. Второй номер порта, который предлагается ввести при развертывании, будет использован для сервера веб-сайтов SharePoint и именно на этом этапе рекомендуется указать порт 443.

При развертывании сервера веб-сайтов SharePoint и сервера веб-содержимого на одном компьютере потребуется только один сертификат. Этот сертификат будет действителен для обоих портов. При развертывании сервера веб-сайтов SharePoint и сервера веб-содержимого на разных серверах (рекомендуется в рабочей среде) потребуется отдельный сертификат на каждый компьютер.

Сертификаты маркируются с помощью своего имени субъекта. Имена субъектов сертификатов могут не быть уникальными. При установке Service Manager список сертификатов показывается отсортированным по именам субъектов. Поэтому при развертывании Портал самообслуживаниявы можете увидеть несколько сертификатов с одинаковым именем. Если вы выберете второй из списка доступных сертификатов, есть вероятность того, что Service Manager начнет использовать первый сертификат из списка. Это может быть особенно проблематично, если клиент пытается подключиться к серверу веб-содержимого, поскольку в таких случаях отсутствует возможность вручную исправить ситуацию. Чтобы устранить эту проблему, поменяйте сертификат в диспетчере служб IIS.

В приведенных ниже разделах даются дополнительные сведения о процедурах, позволяющих устранить неполадки при использовании протокола SSL с Портал самообслуживания.

Имя получателя сертификата

Адрес, который вы вводите в браузер для подключения к веб-сайту SharePoint, и адрес сервера веб-содержимого, установленный на веб-сайте SharePoint, должны совпадать с именем получателя, указанном в сопоставленном им сертификате или сертификатах. Если вводимый в браузере для подключения к веб-сайту SharePoint адрес не совпадает с именем получателя сертификата, появляется предупреждение об ошибке сертификата и фон в адресной строке браузера становится красным. Если адрес сервера веб-содержимого, установленный на веб-сайте SharePoint, не совпадает с именем получателя сертификата, центральный фрейм браузера будет пустым, как показано на иллюстрации ниже.

Несоответствие имени на веб-сайте SharePoint

Если вводимый в браузере для подключения к веб-сайту SharePoint адрес не совпадает с именем получателя сертификата, можно выполнить одно из следующих действий:

• продолжить выполнение после предупреждения;

• изменить имя в адресной строке браузера, чтобы оно совпадало с именем получателя сертификата;

• получить новый сертификат, имя получателя которого совпадает с адресом, который вы хотите ввести в браузере.

Несоответствие имени для сервера веб-содержимого

Если адрес сервера веб-содержимого, установленный на веб-сайте SharePoint, не совпадает с именем получателя сертификата на сервере веб-содержимого, центральный фрейм Портал самообслуживания будет пустым. В этом случае имеются следующие варианты действий:

• получить для сервера веб-содержимого новый сертификат, соответствующий URL-адресу, установленному на веб-сайте SharePoint;

• изменить адрес сервера веб-содержимого на веб-сайте SharePoint, чтобы он совпадал с именем получателя сертификата, используемого для сервера веб-содержимого.

Сертификат должен быть доверенным

Убедитесь в том, что центр сертификации, выдавший ваши сертификаты, указан в хранилище доверенных корневых центров сертификации у клиентов, выполняющих доступ к сайту. Сведения о том, как определить статус доверия к сертификату, см. в статье How to Examine Properties of a Certificate.

Статьи о SSL-сертификатах для портала самообслуживания

• Проверка свойств сертификата

  Описывает, как узнать имя получателя сертификата, выяснить, является ли сертификат доверенным, а также определить отпечаток сертификата.

• Изменение URL-адреса сервера веб-содержимого

  Описывает процедуру, которую следует выполнить при использовании для сервера веб-содержимого сертификата, отличающегося от выбранного при установке.

• Выбор сертификата для использования сервера веб-содержимого

  Описывает, как выбрать сертификат, используемый для сервера веб-содержимого.

• Прямое подключение к серверу веб-содержимого с помощью браузера

  Описывает, как использовать браузер для того, чтобы подключиться к серверу веб-содержимого и протестировать сертификат.