Сценарий: Басқару серверінің пайдаланушы сертификатын белгілеу

Сіз өзіңіздің ұйымыңыздың қолданыстағы жалпыға ортақ кілттер инфрақұрылымымен (PKI) жақсырақ біріктіру үшін немесе сертификат параметрлерінің пайдаланушы конфигурациясы үшін Басқару серверінің пайдаланушы сертификатын тағайындай аласыз. Сертификатты, Басқару серверін орнатқаннан кейін, бағдарламаны жылдам іске қосу шеберінің жұмысы аяқталғанға дейін ауыстырған жөн.

Кез келген Басқару сервері сертификатының ең көп жарамдылық мерзімі 397 күннен аспауы керек.

Алдын ала талаптар

Жаңа сертификат PKCS#12 пішімінде жасалуы керек (мысалы, ұйымның PKI арқылы) және оны сенімді сертификаттау орталығы (CA) шығаруы керек. Сондай-ақ, жаңа сертификат бүкіл сенім тізбегін және pfx немесе p12 кеңейтімі бар файлда сақталуы тиісті жеке кілтті қамтуы керек. Жаңа сертификат үшін төменде көрсетілген талаптар орындалуы керек.

Сертификат түрі: Жалпы сертификат, жалпы резервтік сертификат ("С", "CR")

Талаптар:

• Кілттің минималды ұзындығы: 2048.
• Негізгі шектеулер:
  • CA: Иә.
  • Жол ұзындығын шектеу: Жоқ.

    Жолдың ұзындығын шектеу мәндері "None" мәнінен ерекшеленетін бүтін сан болуы мүмкін, бірақ 1-ден кем болмауы тиіс.

• Кілтті пайдалану:
  • Сандық қолтаңба.
  • Сертификат қолтаңбасы.
  • Кілттерді шифрлау.
  • Кері қайтару тізіміне (CRL) қол қою.
• Кеңейтілген кілт қолданысы (Extended Key Usage, EKU) (міндетті емес): Сервердің түпнұсқалық растамасы және клиенттің түпнұсқалық растамасы. EKU міндетті емес, бірақ ол сіздің сертификатыңызда болса, Сервер мен клиенттің түпнұсқалық растамасы деректері EKU-да көрсетілуі керек.

Сенімді сертификаттау орталығы (ағылшынша certificate authority, CA) шығарған сертификаттардың сертификаттарға қол қоюға рұқсаты жоқ. Мұндай сертификаттарды пайдалану үшін, желіңіздегі тарату нүктелерінде немесе қосылым шлюздерінде 13 немесе одан жоғары нұсқадағы Желілік агент орнатылғанына көз жеткізіңіз. Әйтпесе, сіз қол қою рұқсатынсыз сертификаттарды пайдалана алмайсыз.

Кезеңдер

Басқару сервері сертификатын көрсету келесі кезеңдерден тұрады:

1. Басқару серверінің сертификатын ауыстыру

   Осы мақсат үшін klsetsrvcert пәрмен жолы утилитасын пайдаланыңыз.

2. Жаңа сертификатты көрсету және Желілік агенттердің Басқару серверімен байланысын қалпына келтіру

   Сертификатты ауыстырған кезде, бұрын SSL арқылы Басқару серверіне қосылған барлық Желілік агенттер Серверге "Басқару серверінің түпнұсқалық растамасы қатесі" қатесімен қосылуды тоқтатады. Жаңа сертификатты көрсету және қосылымды қалпына келтіру үшін klmover утилитасының пәрмен жолын пайдаланыңыз.

Нәтижелер

Сценарий аяқталғаннан кейін, Басқару сервері сертификаты ауыстырылады, басқарылатын құрылғылардағы Желілік агент сервері жаңа сертификатты пайдалану арқылы Серверді аутентификациялайды.