Если для обеспечения дополнительной безопасности и управления учетными данными пользователя в организации используются смарт-карты, то теперь с помощью этих смарт-карт и учетных данных проверки подлинности пользователи могут получать Сертификаты учетной записи управления правами и лицензии на использование с серверов в кластере AD RMS.

Примечание
Действия данной процедуры предполагают, что SSL-сертификат уже установлен. Дополнительные сведения о добавлении SSL-сертификата см. в разделе Импорт SSL-сертификата с помощью диспетчера IIS.

Членство в локальной группе "Администраторы" (или аналогичной) является минимальным необходимым условием для выполнения этой процедуры.

Чтобы добавить службу роли проверки подлинности с сопоставлением сертификата клиента

  1. Откройте диспетчер серверов. Нажмите кнопку Пуск, выберите Администрирование, а затем Диспетчер серверов.

  2. При появлении диалогового окна Контроль учетных записей пользователей подтвердите действие и нажмите кнопку Да.

  3. Разверните узел Роли и выберите Веб-сервер (IIS).

  4. В области результатов в разделе Службы ролей щелкните Добавление служб ролей.

  5. Установите флажок Проверка подлинности с сопоставлением сертификата клиента и нажмите кнопку Далее.

  6. Нажмите кнопку Установить.

  7. После добавления роли сервера нажмите кнопку Закрыть.

Затем выполните настройку метода проверки подлинности в IIS.

Чтобы настроить метод проверки подлинности в IIS

  1. В меню Пуск выберите команду Администрирование, а затем выберите пункт Диспетчер служб IIS.

  2. При появлении диалогового окна Контроль учетных записей пользователей подтвердите действие и нажмите кнопку Да.

  3. В дереве консоли разверните узел с именем сервера.

  4. В области результатов на странице Домой сервера дважды щелкните Проверка подлинности, чтобы открыть страницу Проверка подлинности.

  5. В области результатов на странице Проверка подлинности щелкните правой кнопкой мыши Проверка подлинности сертификата клиента AD и выберите команду Задействовать.

  6. Закройте диспетчер IIS.

Наконец, включите проверку подлинности клиентов на веб-сайте, на котором размещена служба AD RMS.

Чтобы включить проверку подлинности клиентов на веб-сайте, на котором размещена служба управления правами Active Directory

  1. В меню Пуск выберите команду Администрирование, а затем выберите пункт Диспетчер служб IIS.

  2. При появлении диалогового окна Контроль учетных записей пользователей подтвердите действие и нажмите кнопку Да.

  3. В дереве консоли разверните узел с именем сервера.

  4. Разверните узел Сайты, а затем разверните веб-сайт, на котором размещена служба AD RMS. По умолчанию это Веб-сайт по умолчанию.

  5. В дереве консоли разверните узел _wmcs, щелкните правой кнопкой мыши виртуальный каталог certification (для поддержки Сертификат учетной записи управления правами) или же виртуальный каталог licensing (для поддержки лицензий на использование), а затем выберите команду Переключиться в режим просмотра содержимого.

  6. В области результатов Содержимое Просмотр щелкните правой кнопкой мыши файл certification.asmx или license.asmx и выберите команду Переключиться в режим просмотра возможностей.

  7. В области результатов на странице Домой дважды щелкните Параметры SSL.

  8. Выберите соответствующий параметр для Сертификаты клиентов (Принять или Требовать). Примите сертификаты пользователя, чтобы клиенты могли предоставлять учетные данные проверки подлинности с помощью сертификата смарт-карты или же имени пользователя и пароля. Запросите сертификаты пользователей, чтобы к службе могли подключаться только клиенты, имеющие сертификаты на своей стороне, например смарт-карты.

  9. Нажмите кнопку Применить.

  10. Чтобы использовать проверку подлинности клиентов и для сертификации, и для лицензирования, повторите данную процедуру, но в этот раз выберите дополнительный виртуальный каталог.

  11. Закройте диспетчер IIS.

  12. Повторите шаги с 1 по 10 для каждого сервера в кластере AD RMS.

Далее необходимо указать, чтобы в методе проверки подлинности использовалась проверка подлинности с сопоставлением сертификата клиента для кластера AD RMS.

Чтобы задать метод проверки подлинности клиентов в файле applicationhost.config

  1. Чтобы открыть окно командной строки с более высоким уровнем прав, нажмите кнопку Пуск, выберите Все программы, Стандартные, щелкните правой кнопкой мыши пункт Командная строка, а затем выберите пункт Выполнить от имени администратора.

  2. Перейдите в папку %windir%\system32\inetsrv\config.

  3. Введите команду notepad applicationhost.config и нажмите клавишу ВВОД.

    Внимание!
    Прежде чем вносить изменения, создайте резервную копию этого файла.

  4. Перейдите в раздел, аналогичный разделу <location path="Default Web Site/_wmcs/certification/certification.asmx"> файла applicationhost.config.

    Примечание
    Размещение указанного выше файла зависит от файла или виртуального каталога, где выполняется ввод данных для сопоставления сертификата клиента.

  5. Чтобы разрешить проверку подлинности с помощью смарт-карты в дополнение к проверке Windows, выполните указанные ниже действия.

    1. Измените строку

      <access sslFlags="Ssl, SslNegotiateCert, SslRequireCert, Ssl128" />

      на строку

      <access sslFlags="Ssl, SslNegotiateCert, Ssl128" />

    2. Добавьте новую строку в раздел <windowsAuthentication enabled="true" />, а затем введите:

      <clientCertificateMappingAuthentication enabled="true" />

  6. Чтобы разрешить проверку подлинности только с помощью смарт-карты, выполните указанные ниже действия. Убедитесь, что в IIS требуется проверки подлинности SSL-клиента.

    1. Добавьте новую строку в раздел <windowsAuthentication enabled="true" />, а затем введите:

      <clientCertificateMappingAuthentication enabled="true" />

    2. Измените строку

      <windowsAuthentication enabled="true" />

      на строку

      <windowsAuthentication enabled="false" />

    3. Выберите в меню Файл команду Сохранить и закройте блокнот.

    4. В окне командной строки введите команду iisreset и нажмите клавишу ВВОД.

    Внимание!
    При запуске команды iisreset в командной строке будут перезагружены все службы, связанные с IIS.

  7. Повторите шаги с 1 по 5 для каждого сервера в кластере AD RMS.

После настройки этих параметров у пользователя, который попытается открыть защищенное содержимое, опубликованное этим кластером AD RMS, будут запрашиваться учетные данные проверки подлинности, прежде чем кластер предоставит ему Сертификат учетной записи управления правами или лицензию на использование.

Дополнительные ссылки

  • Включение сертификации служб сервера
  • Включение политик исключения