Установка конфигурационных сценариев на серверы центров сертификации
Сценарии, прилагаемые к этому руководству, облегчают установку решения, описанную в следующих разделах. Эти сценарии должны быть установлены на каждом сервере центра сертификации. Удалять их после использования не следует — это поможет управлять серверами. Чтобы установить эти сценарии, сначала создайте папку C:\MSSScripts, после чего скопируйте их в нее. Установка и конфигурирование служб IIS на сервере выдающего центра сертификации Службы IIS (Internet Information Services) используются клиентами, работающими под управлением ОС, отличных от Windows, для получения сертификатов центров сертификации и списков отзыва сертификатов. Корневой центр сертификации может не предоставлять доступ к этим службам, потому что он не будет подключен к сети, но выдающий центр сертификации должен иметь доступ к ним. Службы IIS можно также использовать для размещения страниц службы подачи заявок на сертификат через Интернет, но в рассматриваемом решении это не используется. Если страницы подачи заявок на сертификаты через Интернет установлены на сервере, отличном от сервера выдающего центра сертификации, нужно установить для этого сервера отметку «Делегирование разрешено» в объекте сервера в службе Active Directory. Службы IIS можно установить с помощью диспетчера дополнительных компонентов Windows, доступ к которому осуществляется через панель управления (элемент «Установка и удаление компонентов»). В следующем списке указаны компоненты, которые необходимо установить.
Чтобы установить службы IIS, выполните следующие действия. 1. Введите в командной строке следующую команду:
Копировать код Sysocmgr /i:sysoc.inf /u:C:\MSSScripts\OC_AddIIS.txt Эта команда указывает диспетчеру дополнительных компонентов Windows на необходимость использовать следующие конфигурационные параметры компонентов, заданные в файле автоматической установки C:\MSSScripts\OC_AddIIS.txt:
Копировать код [Components] complusnetwork = On iis_common = On iis_asp = On iis_inetmgr = On iis_www = On Примечание. При использовании этого конфигурационного файла будет установлен и компонент Active Server Pages (ASP). Если страницы службы подачи заявок на сертификаты через Интернет не нужны, перед запуском файла sysocmgr.exe установку ASP следует отменить, удалив из приведенного выше файла строку iis_asp = on. В случае надобности этот параметр можно будет задать позднее. 2. Запустите диспетчер дополнительных компонентов еще раз с указанным ниже ключом и убедитесь в том, что установленные компоненты соответствуют приведенному выше списку.
Копировать код sysocmgr /i:sysoc.inf Никакие другие дочерние компоненты сервера приложений не нужны, и устанавливать их не требуется. Настройка IIS для доступа к сведениям о центрах сертификации (AIA) и публикации точки распространения списков отзыва сертификатов на выдающем центре сертификации На сервере IIS необходимо создать виртуальный каталог, который будет использоваться как HTTP-контекст пунктов публикации сертификатов центров сертификации и списков отзыва сертификатов. Эти пункты называются точкой доступа к сведениям о центрах сертификации (Authority Information Access, AIA) и точкой распространения списков отзыва сертификатов (CRL Distribution Point, CDP) соответственно. Чтобы создать виртуальный каталог на сервере IIS, выполните следующие действия. 1. Войдите на сервер IIS с правами локального администратора. 2. Создайте папку C:\CAWWWPub, в которой будут храниться сертификаты центров сертификации и списки отзыва сертификатов. 3. Настройте параметры безопасности этой папки в соответствии со следующей таблицей. Таблица 9. Разрешения на доступ к виртуальному каталогу
4. Используя консоль управления IIS, создайте новый виртуальный каталог на веб-узле по умолчанию: · Назначьте виртуальному каталогу имя pki · Укажите в качестве пути C:\CAWWWPub 5. Снимите в окне разрешений на доступ к виртуальному каталогу флажок «Запуск сценариев». 6. Убедитесь в том, что для виртуального каталога включена анонимная проверка подлинности.
|
