Versions Compared

Old Version 7

changes.mady.by.user Mikhail Yakovlev

Saved on

compared with

New Version Current

changes.mady.by.user Mikhail Yakovlev

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Запустите файл IndeedCM.Server-v. . .x64.ru-ru.msi из дистрибутива Indeed Certificate Manager и Manager (каталог IndeedCM.Server) и выполните установку, следуя указаниям мастера. В процессе установки будет предложено выбрать способ контроля доступа для всех приложений системы (Рисунок 12).

Рисунок 12 – Выбор контроля доступа.

Система Indeed CM состоит из набора сервисов:

  • Консоль управления (вебManagement Console) – веб-приложение icm).
  • Сервис самообслуживания (Self Service) – веб-приложение icmservice).
  • Сервис удаленного Консоль самообслуживания за пределами домена (Remote Self Service) – веб-приложение icmremote).
  • Сервис разблокировки смарт-карт ( веб-приложение credprovapi).
  • Сервис API ( веб-приложение icmapi).
  • Сервис отслеживания состояния карт( – Служба Card Monitor, не имеет веб-приложения).
  • Сервисы клиентского агента:
    • Сервис регистрации агентов – веб-приложение agentregistrationapi.
    • Сервис для удаленного выполнения задач – веб-приложение agentserviceapi.
Info

Каждый сервис имеет собственные файлы конфигурации и настройки доступа.

scroll-pagebreak

При выборе Аутентификации Windows будут заданы следующие параметры контроля доступа:

  • Проверка подлинности (Authentication): Windows (остальные способы отключены
    • Проверка подлинности Windows (Windows Authentication) для приложений icm, icmapi, icmservice
    , icmapiПроверка подлинности: Анонимная (остальные способы отключены
    • . Остальные способы отключены.
    • Анонимная проверка подлинности (Anonymous Authentication) для приложения credprovapi, agentregistrationapi, agentserviceapi.
    Проверка подлинности: Анонимная и при помощи Форм (Forms
    • Анонимная проверка подлинности (Anonymous Authentication) и Проверка подлинности с помощью форм (Forms Authentication) для приложения icmremote.
    Остальные способы отключены.
    •  
  • Параметры SSL (SSL Settings):
    • Требовать SSL (Require SSL) для
    Требовать SSL – для
    • всех приложений.
    Сертификат
    • Сертификаты клиента (Client certificates):
      • Игнорировать (Ignore) для
    всех приложений.
      • приложений icm, icmapi, icmremote, icmservice, credprovapi, agentregistrationapi.
      • Требовать (Require) для приложения agentserviceapi.

При выборе Аутентификации по персональным сертификатам пользователей будут заданы следующие параметры контроля доступа:

  • Проверка подлинности (Authentication):
    • Анонимная проверка подлинности (Anonymous Authentication) для приложений icm, icmapi, icmservice, credprovapi, agentregistrationapi,
    icmapi
    • agentserviceapi.
    Остальные
    •  Остальные способы отключены.
    Проверка подлинности: Анонимная и при помощи Форм (Forms)
    • Анонимная проверка подлинности (Anonymous Authentication) и Проверка подлинности с помощью форм (Forms Authentication) для приложения icmremote.
    Остальные способы отключены.
  • Параметры SSL (SSL Settings):
    • Требовать SSL
    • (Require SSL) для всех приложений.
    Сертификат
    • Сертификаты клиента
    : Требовать –
    • (Client certificates):
      • Игнорировать (Ignore) для приложений
    icm
      • credprovapi,
    icmservice
      • icmremote,
    icmapi
      • agentregistrationapi.
    Сертификат клиента: Игнорировать – для приложений credprovapi и icmremote
      • Требовать (Require) для приложений icm, icmapi, icmservice, agentserviceapi.
Warning

Если каталог пользователей расположен в Active Directory, то сертификаты, используемые для аутентификации должны содержать User Principal Name. Без включенного в сертификат UPN вход в web-приложения Indeed CM будет невозможен.

После установки системы

параметры

Параметры SSL для каждого приложения можно изменить вручную в Диспетчере служб IIS (IIS Manager).

Tip

Для настройки защищенного соединения для веб-приложений Indeed CM,

Для доступа к сервисам по https

необходимо выпустить SSL

сертификат на имя сервера Indeed CM и

/TLS-сертификат и Привязать (Bindings) его в Диспетчере служб IIS (IIS Manager) для сайта Default Web Site:

  • Запустите Диспетчер служб IIS (Internet Information Services (IIS) Manager).
  • Выберите сайт Default Web Site и перейдите в раздел Привязки... (Bindings...).
  • Нажмите Добавить... (Add...), выберите Тип: (Type:) https и Порт: (Port:) 443.
  • Выберите SSL-сертификат: (SSL certificate:) и нажмите OK.

Image Added

Warning

Улучшенный ключ (Enhanced Key Usage) сертификата должен содержать значение Проверка подлинности сервера (Server Authentication).
Общее имя (Common name) сервера Indeed CM (FQDN) в поле Субъект (Subject).
DNS-имя (DNS Name) сервера Indeed CM в поле Дополнительное имя субъекта (Subject Alternative Name). Например: indeedcmru.demo.local (или соответствующую запись с подстановочными знаками, например: *. demo.local) Привязать (Bindings) его для Default Web Site по протоколу https.