Если для обеспечения дополнительной безопасности и управления учетными данными пользователя в организации используются смарт-карты, то теперь с помощью этих смарт-карт и учетных данных проверки подлинности пользователи могут получать Сертификаты учетной записи управления правами и лицензии на использование с серверов в кластере AD RMS.

Примечание
Действия данной процедуры предполагают, что SSL-сертификат уже установлен. Дополнительные сведения о добавлении SSL-сертификата см. в разделе Импорт SSL-сертификата с помощью диспетчера IIS.

Членство в локальной группе "Администраторы" (или аналогичной) является минимальным необходимым условием для выполнения этой процедуры.

Чтобы добавить службу роли проверки подлинности с сопоставлением сертификата клиента

  1. Откройте диспетчер серверов. Нажмите кнопку Пуск, выберите Администрирование, а затем Диспетчер серверов.

  2. При появлении диалогового окна Контроль учетных записей пользователей подтвердите действие и нажмите кнопку Да.

  3. Разверните узел Роли и выберите Веб-сервер (IIS).

  4. В области результатов в разделе Службы ролей щелкните Добавление служб ролей.

  5. Установите флажок Проверка подлинности с сопоставлением сертификата клиента и нажмите кнопку Далее.

  6. Нажмите кнопку Установить.

  7. После добавления роли сервера нажмите кнопку Закрыть.

Затем выполните настройку метода проверки подлинности в IIS.

Чтобы настроить метод проверки подлинности в IIS

  1. В меню Пуск выберите команду Администрирование, а затем выберите пункт Диспетчер служб IIS.

  2. При появлении диалогового окна Контроль учетных записей пользователей подтвердите действие и нажмите кнопку Да.

  3. В дереве консоли разверните узел с именем сервера.

  4. В области результатов на странице Домой сервера дважды щелкните Проверка подлинности, чтобы открыть страницу Проверка подлинности.

  5. В области результатов на странице Проверка подлинности щелкните правой кнопкой мыши Проверка подлинности сертификата клиента AD и выберите команду Задействовать.

  6. Закройте диспетчер IIS.

Наконец, включите проверку подлинности клиентов на веб-сайте, на котором размещена служба AD RMS.

Чтобы включить проверку подлинности клиентов на веб-сайте, на котором размещена служба управления правами Active Directory

  1. В меню Пуск выберите команду Администрирование, а затем выберите пункт Диспетчер служб IIS.

  2. При появлении диалогового окна Контроль учетных записей пользователей подтвердите действие и нажмите кнопку Да.

  3. В дереве консоли разверните узел с именем сервера.

  4. Разверните узел Сайты, а затем разверните веб-сайт, на котором размещена служба AD RMS. По умолчанию это Веб-сайт по умолчанию.

  5. В дереве консоли разверните узел _wmcs, щелкните правой кнопкой мыши виртуальный каталог certification (для поддержки Сертификат учетной записи управления правами) или же виртуальный каталог licensing (для поддержки лицензий на использование), а затем выберите команду Переключиться в режим просмотра содержимого.

  6. В области результатов Содержимое Просмотр щелкните правой кнопкой мыши файл certification.asmx или license.asmx и выберите команду Переключиться в режим просмотра возможностей.

  7. В области результатов на странице Домой дважды щелкните Параметры SSL.

  8. Выберите соответствующий параметр для Сертификаты клиентов (Принять или Требовать). Примите сертификаты пользователя, чтобы клиенты могли предоставлять учетные данные проверки подлинности с помощью сертификата смарт-карты или же имени пользователя и пароля. Запросите сертификаты пользователей, чтобы к службе могли подключаться только клиенты, имеющие сертификаты на своей стороне, например смарт-карты.

  9. Нажмите кнопку Применить.

  10. Чтобы использовать проверку подлинности клиентов и для сертификации, и для лицензирования, повторите данную процедуру, но в этот раз выберите дополнительный виртуальный каталог.

  11. Закройте диспетчер IIS.

  12. Повторите шаги с 1 по 10 для каждого сервера в кластере AD RMS.

Далее необходимо указать, чтобы в методе проверки подлинности использовалась проверка подлинности с сопоставлением сертификата клиента для кластера AD RMS.

Чтобы задать метод проверки подлинности клиентов в файле applicationhost.config

  1. Чтобы открыть окно командной строки с более высоким уровнем прав, нажмите кнопку Пуск, выберите Все программы, Стандартные, щелкните правой кнопкой мыши пункт Командная строка, а затем выберите пункт Выполнить от имени администратора.

  2. Перейдите в папку %windir%\system32\inetsrv\config.

  3. Введите команду notepad applicationhost.config и нажмите клавишу ВВОД.

    Внимание!
    Прежде чем вносить изменения, создайте резервную копию этого файла.
  4. Перейдите в раздел, аналогичный разделу <location path="Default Web Site/_wmcs/certification/certification.asmx"> файла applicationhost.config.

    Примечание
    Размещение указанного выше файла зависит от файла или виртуального каталога, где выполняется ввод данных для сопоставления сертификата клиента.
  5. Чтобы разрешить проверку подлинности с помощью смарт-карты в дополнение к проверке Windows, выполните указанные ниже действия.

    1. Измените строку

      <access sslFlags="Ssl, SslNegotiateCert, SslRequireCert, Ssl128" />

      на строку

      <access sslFlags="Ssl, SslNegotiateCert, Ssl128" />

    2. Добавьте новую строку в раздел <windowsAuthentication enabled="true" />, а затем введите:

      <clientCertificateMappingAuthentication enabled="true" />

  6. Чтобы разрешить проверку подлинности только с помощью смарт-карты, выполните указанные ниже действия. Убедитесь, что в IIS требуется проверки подлинности SSL-клиента.

    1. Добавьте новую строку в раздел <windowsAuthentication enabled="true" />, а затем введите:

      <clientCertificateMappingAuthentication enabled="true" />

    2. Измените строку

      <windowsAuthentication enabled="true" />

      на строку

      <windowsAuthentication enabled="false" />

    3. Выберите в меню Файл команду Сохранить и закройте блокнот.

    4. В окне командной строки введите команду iisreset и нажмите клавишу ВВОД.

    Внимание!
    При запуске команды iisreset в командной строке будут перезагружены все службы, связанные с IIS.
  7. Повторите шаги с 1 по 5 для каждого сервера в кластере AD RMS.

После настройки этих параметров у пользователя, который попытается открыть защищенное содержимое, опубликованное этим кластером AD RMS, будут запрашиваться учетные данные проверки подлинности, прежде чем кластер предоставит ему Сертификат учетной записи управления правами или лицензию на использование.