Scenariusz: Określanie niestandardowego certyfikatu Serwera administracyjnego

Możesz przypisać niestandardowy certyfikat Serwera administracyjnego, na przykład, w celu lepszej integracji z istniejącą infrastrukturą kluczy publicznych (PKI) przedsiębiorstwa lub w celu niestandardowej konfiguracji pól certyfikatu. Dobrym rozwiązaniem jest zastąpienie certyfikatu natychmiast po zainstalowaniu Serwera administracyjnego, a przed zakończeniem działania kreatora wstępnej konfiguracji.

Maksymalny okres ważności dowolnego certyfikatu Serwera administracyjnego nie może przekraczać 397 dni.

Wymagania wstępne

Nowy certyfikat musi być utworzony w formacie PKCS#12 (na przykład, za pomocą PKI organizacji) i musi być wystawiony przez zaufany urząd certyfikacji (CA). Ponadto nowy certyfikat musi zawierać cały łańcuch zaufania oraz klucz prywatny, który musi być przechowywany w pliku z rozszerzeniem pfx lub p12. W przypadku nowego certyfikatu należy spełnić wymagania wymienione poniżej.

Typ Certyfikatu: Certyfikat standardowy, standardowy certyfikat zapasowy („C”, „CR”)

Wymagania:

• Minimalna długość klucza: 2048.
• Podstawowe ograniczenia:
  • Urząd certyfikacji (CA): prawda
  • Ograniczenie długości ścieżki: brak

    Wartość ograniczenia długości ścieżki może być całkowicie inna niż „Brak”, ale nie mniejsza niż „1”.

• Użycie klucza:
  • Podpis cyfrowy
  • Podpisywanie certyfikatów
  • Szyfrowanie kluczy
  • Podpisywanie CRL
• Rozszerzone użycie klucza (EKU): uwierzytelnianie serwera i uwierzytelnianie klienta. Jednostka EKU jest opcjonalna, ale jeśli zawiera ją certyfikat, dane uwierzytelniania serwera i klienta muszą być określone w jednostce EKU.

Certyfikaty wystawione przez publiczny urząd certyfikacji nie mają uprawnień do podpisywania certyfikatów. Aby korzystać z takich certyfikatów, upewnij się, że zainstalowałeś Agenta sieciowego w wersji 13 lub nowszej w punktach dystrybucji lub bramach połączeń w swojej sieci. W przeciwnym razie nie będziesz mógł korzystać z certyfikatów bez pozwolenia na podpisywanie.

Etapy

Określanie certyfikatu Serwera administracyjnego odbywa się w etapach:

1. Zastępowanie certyfikatu Serwera administracyjnego

   W tym celu użyj polecenia narzędzie klsetsrvcert.

2. Określanie nowego certyfikatu i przywracanie połączenia Agentów sieciowych z Serwerem administracyjnym

   Podczas zamiany certyfikatu, wszystkie Agenty sieciowe, które wcześniej były połączone z Serwerem administracyjnym za pomocą protokołu SSL, utracą połączenie i zwrócą „Błąd autoryzacji Serwera administracyjnego”. Aby określić nowy certyfikat i przywrócić połączenie, użyj polecenia narzędzia klmover.

Wyniki

Po zakończeniu scenariusza, certyfikat Serwera administracyjnego jest zastępowany i serwer zostaje uwierzytelniony przez Agentów sieciowych na zarządzanych urządzeniach.