Подготовка и загрузка SSL-сертификата в Active Directory

Чтобы подготовить и загрузить SSL-сертификат в Active Directory, выполните следующие действия для каждого сервера с компонентом Central Node:

  1. Выберите контейнер Active Directory для размещения сертификата. Компонент Endpoint Sensors поддерживает поиск объекта serviceConnectionPoint в следующих расположениях (в порядке очередности поиска):
    • ldap://CN=<Active Directory Site, в котором находится компьютер с компонентом Endpoint Sensors>,CN=Sites,<configurationPartition>

      ldap://CN=Services, <раздел конфигурации Active Directory>

    Публиковать сертификат в контейнере Sites рекомендуется, если для какого-либо из Active Directory Site развернут отдельный компонент Central Node.

  2. В выбранном контейнере создайте объект типа serviceConnectionPoint.
  3. Откройте SSL-сертификат сервера с компонентом Central Node в формате PEM в текстовом редакторе и выполните следующие действия:
    1. Удалите строки BEGIN CERTIFICATE и END CERTIFICATE.
    2. Удалите все переносы строк.
  4. Заполните атрибуты serviceConnectionPoint следующим образом:
    • keywords содержит строку-идентификатор 013D90F9-517B-486D-A7E8-888439D1DD61.
    • serviceDNSName в точности совпадает с адресом сервера Central Node, указанным при установке компонента Endpoint Sensors.

      Если в качестве адреса при установке задан IP-адрес, атрибут должен содержать тот же IP-адрес. Если в качестве адреса при установке задано FQDN-имя сервера, атрибут должен содержать то же FQDN-имя сервера.

    • serviceBindingInformation содержит SSL-сертификат сервера с компонентом Central Node в формате PEM в одну строку.

Компонент Endpoint Sensors ищет объект serviceConnectionPoint последовательно сначала в контейнере Sites, затем в контейнере Services. Используется первый найденный объект, у которого атрибут keywords содержит уникальный идентификатор, а атрибут serviceDnsName в точности совпадает с адресом сервера Central Node, заданным при установке компонента Endpoint Sensors.

Если в одном и том же контейнере Active Directory располагаются два и более объекта serviceConnectionPoint, у которых атрибут keywords содержит уникальный идентификатор, а значения serviceDNSName совпадают, компонент Endpoint Sensors будет иметь ограниченную функциональность.

Если компонент Endpoint Sensors не может декодировать значение атрибута serviceBindingInformation в бинарный формат или если значение атрибута – пустая строка, компонент Endpoint Sensors будет иметь ограниченную функциональность.

В начало