Членство в локальной группе "Администраторы" (или аналогичной) является минимальным необходимым условием для выполнения этой процедуры.
Чтобы добавить службу роли проверки подлинности с сопоставлением сертификата клиента
Откройте диспетчер серверов. Нажмите кнопку Пуск, выберите Администрирование, а затем Диспетчер серверов.
При появлении диалогового окна Контроль учетных записей пользователей подтвердите действие и нажмите кнопку Да.
Разверните узел Роли и выберите Веб-сервер (IIS).
В области результатов в разделе Службы ролей щелкните Добавление служб ролей.
Установите флажок Проверка подлинности с сопоставлением сертификата клиента и нажмите кнопку Далее.
Нажмите кнопку Установить.
После добавления роли сервера нажмите кнопку Закрыть.
Затем выполните настройку метода проверки подлинности в IIS.
Чтобы настроить метод проверки подлинности в IIS
В меню Пуск выберите команду Администрирование, а затем выберите пункт Диспетчер служб IIS.
При появлении диалогового окна Контроль учетных записей пользователей подтвердите действие и нажмите кнопку Да.
В дереве консоли разверните узел с именем сервера.
В области результатов на странице Домой сервера дважды щелкните Проверка подлинности, чтобы открыть страницу Проверка подлинности.
В области результатов на странице Проверка подлинности щелкните правой кнопкой мыши Проверка подлинности сертификата клиента AD и выберите команду Задействовать.
Закройте диспетчер IIS.
Наконец, включите проверку подлинности клиентов на веб-сайте, на котором размещена служба AD RMS.
Чтобы включить проверку подлинности клиентов на веб-сайте, на котором размещена служба управления правами Active Directory
В меню Пуск выберите команду Администрирование, а затем выберите пункт Диспетчер служб IIS.
При появлении диалогового окна Контроль учетных записей пользователей подтвердите действие и нажмите кнопку Да.
В дереве консоли разверните узел с именем сервера.
Разверните узел Сайты, а затем разверните веб-сайт, на котором размещена служба AD RMS. По умолчанию это Веб-сайт по умолчанию.
В дереве консоли разверните узел _wmcs, щелкните правой кнопкой мыши виртуальный каталог certification (для поддержки Сертификат учетной записи управления правами) или же виртуальный каталог licensing (для поддержки лицензий на использование), а затем выберите команду Переключиться в режим просмотра содержимого.
В области результатов Содержимое Просмотр щелкните правой кнопкой мыши файл certification.asmx или license.asmx и выберите команду Переключиться в режим просмотра возможностей.
В области результатов на странице Домой дважды щелкните Параметры SSL.
Выберите соответствующий параметр для Сертификаты клиентов (Принять или Требовать). Примите сертификаты пользователя, чтобы клиенты могли предоставлять учетные данные проверки подлинности с помощью сертификата смарт-карты или же имени пользователя и пароля. Запросите сертификаты пользователей, чтобы к службе могли подключаться только клиенты, имеющие сертификаты на своей стороне, например смарт-карты.
Нажмите кнопку Применить.
Чтобы использовать проверку подлинности клиентов и для сертификации, и для лицензирования, повторите данную процедуру, но в этот раз выберите дополнительный виртуальный каталог.
Закройте диспетчер IIS.
Повторите шаги с 1 по 10 для каждого сервера в кластере AD RMS.
Далее необходимо указать, чтобы в методе проверки подлинности использовалась проверка подлинности с сопоставлением сертификата клиента для кластера AD RMS.
Чтобы задать метод проверки подлинности клиентов в файле applicationhost.config
Чтобы открыть окно командной строки с более высоким уровнем прав, нажмите кнопку Пуск, выберите Все программы, Стандартные, щелкните правой кнопкой мыши пункт Командная строка, а затем выберите пункт Выполнить от имени администратора.
Перейдите в папку %windir%\system32\inetsrv\config.
Введите команду notepad applicationhost.config и нажмите клавишу ВВОД.
Внимание! Прежде чем вносить изменения, создайте резервную копию этого файла. Перейдите в раздел, аналогичный разделу <location path="Default Web Site/_wmcs/certification/certification.asmx"> файла applicationhost.config.
Примечание Размещение указанного выше файла зависит от файла или виртуального каталога, где выполняется ввод данных для сопоставления сертификата клиента. Чтобы разрешить проверку подлинности с помощью смарт-карты в дополнение к проверке Windows, выполните указанные ниже действия.
-
Измените строку
<access sslFlags="Ssl, SslNegotiateCert, SslRequireCert, Ssl128" />
на строку
<access sslFlags="Ssl, SslNegotiateCert, Ssl128" />
-
Добавьте новую строку в раздел <windowsAuthentication enabled="true" />, а затем введите:
<clientCertificateMappingAuthentication enabled="true" />
-
Измените строку
Чтобы разрешить проверку подлинности только с помощью смарт-карты, выполните указанные ниже действия. Убедитесь, что в IIS требуется проверки подлинности SSL-клиента.
-
Добавьте новую строку в раздел <windowsAuthentication enabled="true" />, а затем введите:
<clientCertificateMappingAuthentication enabled="true" />
-
Измените строку
<windowsAuthentication enabled="true" />
на строку
<windowsAuthentication enabled="false" />
-
Выберите в меню Файл команду Сохранить и закройте блокнот.
-
В окне командной строки введите команду iisreset и нажмите клавишу ВВОД.
Внимание! При запуске команды iisreset в командной строке будут перезагружены все службы, связанные с IIS. -
Добавьте новую строку в раздел <windowsAuthentication enabled="true" />, а затем введите:
Повторите шаги с 1 по 5 для каждого сервера в кластере AD RMS.
После настройки этих параметров у пользователя, который попытается открыть защищенное содержимое, опубликованное этим кластером AD RMS, будут запрашиваться учетные данные проверки подлинности, прежде чем кластер предоставит ему Сертификат учетной записи управления правами или лицензию на использование.