Обзор шлюза службы терминалов Longhorn Server (часть 3)
- Обзор шлюза службы терминалов Longhorn Server (часть 1)
- Обзор шлюза службы терминалов Longhorn Server (часть 2)
Настройка IIS
В Windows Longhorn Server процесс запроса сертификата не так прост, как в Windows Server 2003. Вам нужно выполнить множество шагов, чтобы подготовить сервер к запросу, чтобы убедиться, что что все сделано надежно.
Первое, что вам нужно сделать, это настроить IIS на сервере центра сертификации предприятия, чтобы он мог обрабатывать запросы HTTPS. Прежде чем я покажу вам, как это сделать, я просто хочу напомнить вам, что в этой статье предполагается, что ЦС предприятия работает под управлением Windows Longhorn Server. Если ваш ЦС предприятия работает под управлением Windows Server 2003, шаги будут другими.
С учетом сказанного введите команду MMC в командной строке «Выполнить». Когда вы это сделаете, Windows загрузит пустую консоль управления Microsoft. Когда консоль откроется, выберите команду «Добавить/удалить оснастку» в меню «Файл» консоли. Теперь Windows отобразит длинный список доступных оснасток. Выберите оснастку Internet Information Services из списка и нажмите кнопку «Добавить», а затем кнопку «ОК». Теперь оснастка должна быть загружена в консоль.
На этом этапе вы должны перейти по дереву консоли к Web Sites | Веб-сайт по умолчанию. Выберите контейнер «Веб-сайт по умолчанию», а затем щелкните ссылку «Привязки» в крайнем правом столбце. Когда вы это сделаете, вы увидите диалоговое окно Modify Site Bindings, в котором будет показано, что единственной существующей привязкой является протокол HTTP. Ваша задача — добавить протокол HTTPS в список привязок.
Нажмите кнопку «Создать», чтобы открыть диалоговое окно «Создать привязки сайта». Выберите HTTPS из раскрывающегося списка «Тип» и убедитесь, что для порта установлено значение 443. Теперь выберите сертификат из раскрывающегося списка «Сертификат SSL», который соответствует полному доменному имени вашего сервера, и нажмите «ОК», а затем «Закрыть». Веб-сайт по умолчанию теперь поддерживает HTTPS. Вы можете закрыть консоль IIS.
Подготовка Internet Explorer
Теперь, когда ЦС предприятия полностью настроен, перейдите на сервер шлюза службы терминалов. Вам нужно будет сделать запрос сертификата через веб-браузер, поэтому вам придется выполнить небольшую подготовительную работу в Internet Explorer.
Откройте Internet Explorer и перейдите по URL-адресу центра сертификации.
URL-адрес — это HTTPS://, за которым следует полное доменное имя сервера и /CertSrv/Default.asp. Например, при написании этой статьи я установил службы сертификатов на сервер LONGHORN-DC. Этот сервер является контроллером домена в домене с именем EXCH12.COM. Таким образом, URL-адрес моего центра сертификации: https://longhorn-dc.exch12.com/certsrv/default.asp. Какой бы URL вы ни использовали, просто убедитесь, что вы вводите его как HTTPS, а не как HTTP.
Когда откроется Internet Explorer, выберите команду «Свойства обозревателя» в меню «Инструменты» Internet Explorer. Это заставит Windows отобразить лист свойств Internet Options. Выберите вкладку «Безопасность» на странице свойств, и вы увидите список различных зон безопасности. Выберите зону «Надежные сайты» и нажмите кнопку «Сайты». Когда откроется диалоговое окно «Надежные сайты», введите URL-адрес веб-интерфейса ЦС в указанное место и нажмите «Добавить», а затем «Закрыть». Вы должны ввести этот URL-адрес в формате HTTPS.
Запрос сертификата
Теперь, когда Internet Explorer и IIS подготовлены, вы, наконец, готовы запросить сертификат. Для этого закройте Internet Explorer и снова откройте его. Перейдите на сайт веб-интерфейса ЦС. При этом вам может быть предложено установить элемент управления ActiveX. Если да, то обязательно установите контроль.
Веб-интерфейс центра сертификации содержит три параметра. Первая опция в списке — «Запрос сертификата». Выберите эту опцию, и веб-интерфейс спросит вас, хотите ли вы запросить сертификат пользователя или хотите отправить расширенный запрос сертификата. Щелкните ссылку, чтобы отправить расширенный запрос на сертификат, а затем ссылку, чтобы создать и отправить запрос в этот ЦС.
Теперь вы увидите экран Advanced Certificate Request. Первый параметр, который вам нужно будет установить на этом экране, — это тип шаблона сертификата. Выберите вариант веб-сервера.
Сразу под разделом «Шаблон сертификата» вы увидите раздел «Идентифицирующая информация». Хотя этот раздел очень простой, его необходимо заполнить. Единственное, что может вызвать некоторые затруднения в этом разделе, — это код страны/региона. Если вы живете в Соединенных Штатах, код страны — США.
В реальном мире вы хотите тщательно обдумать варианты, которые вы выбираете в остальных разделах. Однако для демонстрационных целей вы можете просто использовать значения по умолчанию. Одно дополнительное поле, которое я рекомендую заполнить, — это поле «Дружественное имя». Присвоение понятного имени вашему сертификату облегчит идентификацию сертификата в дальнейшем.
Нажмите кнопку «Отправить», и вы увидите диалоговое окно «Подтверждение веб-доступа». Это диалоговое окно в основном сообщает вам, что веб-сайт запрашивает сертификат от вашего имени. В этом конкретном случае вы должны просто нажать Да, чтобы разрешить запрос.
Теперь вы увидите сообщение о том, что запрошенный вами сертификат был выдан вам. Щелкните ссылку «Установить этот сертификат», чтобы начать процесс установки. Теперь вы увидите еще одно предупреждающее сообщение о том, что веб-сайт пытается установить сертификат на компьютер. Нажмите «Да», чтобы разрешить установку, и вы должны увидеть сообщение о том, что ваш сертификат успешно установлен.
Настройка шлюза служб терминалов для использования сертификата
Теперь, когда мы запросили и установили сертификат, нам нужно настроить шлюз служб терминалов для его использования. Начните с открытия консоли шлюза служб терминалов. Это можно сделать, выбрав команду «Шлюз служб терминалов» в меню «Администрирование».
Когда консоль откроется, перейдите по дереву консоли слева к Console Root | Управление шлюзом служб терминалов | ваш сервер. Когда вы это сделаете, вы увидите окно свойств сервера. Если вы посмотрите на вкладку «Общие» листа свойств, вы увидите кнопку «Обзор сертификатов» ближе к середине окна. Если вы нажмете эту кнопку, вы должны увидеть список сертификатов, установленных на сервере. Выберите только что созданный сертификат (понятное имя здесь отображаться не будет) и нажмите кнопку «Установлено», а затем кнопку «ОК». Теперь сертификат сопоставлен со шлюзом службы терминалов.
Вывод
В этой статье я показал вам, как запросить сертификат, а затем сопоставить этот сертификат со шлюзом службы терминалов. В части 4 этой серии статей я продолжу обсуждение, проведя вас через некоторые из оставшихся шагов настройки.
- Обзор шлюза службы терминалов Longhorn Server (часть 1)
- Обзор шлюза службы терминалов Longhorn Server (часть 2)