Когда клиенты Configuration Manager 2007 подключаются к своим точкам управления, для проверки подлинности используется сертификат клиента.
Клиент Configuration Manager 2007 использует сертификат, который находится в хранилище сертификатов компьютеров. По умолчанию клиент указывает сертификат из личного хранилища, который содержит проверку подлинности клиента в поле назначения; этот сертификат используется для основного режима взаимодействия. Если у клиентского компьютера имеется только один сертификат, удовлетворяющий этому требованию, в Configuration Manager 2007 не требуется настраивать никакие параметры сертификатов.
Однако настройка параметров сертификата клиента необходима, если выполняется любое из следующих условий:
- Сертификат клиента, предназначенный для
использования с Configuration Manager 2007, хранится не в хранилище
личных сертификатов, а в другом месте хранилища сертификатов
компьютеров.
- Имеется несколько действительных
сертификатов, содержащих в качестве цели проверку подлинности
клиента. В этом сценарии Configuration Manager не знает, какой
сертификат следует использовать.
Если у клиента имеются несколько сертификатов, которые могут использоваться в основном режиме взаимодействия, предусмотрены два способа выбора, которые можно задать для нескольких клиентов с целью определения используемого сертификата:
- Частичное совпадение строки с именем субъекта
сертификата клиента. Это совпадение без учета регистра подходит,
если в поле субъекта используется полное доменное имя (FQDN)
компьютера, и требуется выбирать сертификат на основе суффикса
домена, например contoso.com. Однако этот способ выбора можно
использовать для идентификации любой цепочки последовательных
символов, которая отличает сертификат от других сертификатов в
хранилище сертификатов клиента.
- Совпадение значений атрибута имени субъекта
или значений атрибута альтернативного имени субъекта сертификата
клиента. Это совпадение с учетом регистра подходит, если в поле
субъекта используется различающееся имя X500 или эквивалентные
идентификаторы OID (идентификаторы объектов) в соответствии с RFC
3280, и требуется выбирать сертификат на основе значений этих
атрибутов. Можно задать только те атрибуты и значения, которые
требуются для уникальной идентификации или проверки сертификата и
для отличия этого сертификата от других сертификатов в хранилище
сертификатов.
Значения атрибутов, поддерживаемые в Configuration Manager 2007 в качестве критерия выбора сертификата, перечислены в следующей таблице.
| Атрибут OID | Атрибут различающегося имени | Определение атрибута |
|---|---|---|
|
0.9.2342.19200300.100.1.25 |
DC |
Компонент домена |
|
1.2.840.113549.1.9.1 |
E или E-mail |
Адрес электронной почты |
|
2.5.4.3 |
CN |
Общее имя |
|
2.5.4.4 |
SN |
Имя субъекта |
|
2.5.4.5 |
SERIALNUMBER |
Серийный номер |
|
2.5.4.6 |
C |
Код страны |
|
2.5.4.7 |
L |
Местонахождение |
|
2.5.4.8 |
S или ST |
Название штата или провинции |
|
2.5.4.9 |
STREET |
Адрес по улице |
|
2.5.4.10 |
Ø |
Название организации |
|
2.5.4.11 |
OU |
Подразделение |
|
2.5.4.12 |
T или Title |
Название |
|
2.5.4.42 |
G или GN или GivenName |
Имя |
|
2.5.4.43 |
I или Initials |
Инициалы |
|
2.5.29.17 |
(без значения) |
Альтернативное имя субъекта |
Если даже после применения критериев выбора найдено несколько подходящих сертификатов, можно задать поведение клиента в отношении выбора сертификата. Если однозначный выбор сертификата невозможен, по умолчанию сертификат не выбирается, что приводит к сбою соединения с точкой управления. При таком сценарии клиент передает назначенной ему резервной точке состояния сообщение об ошибке для предупреждения о сбое выбора сертификата, чтобы пользователь мог изменить или уточнить критерии выбора сертификата.
Можно также настроить клиентов на выбор любого из подходящих сертификатов, удовлетворяющих критериям выбора. Если на клиенте установлен Configuration Manager 2007 с пакетом обновления 1 (SP1) или более поздней версии, выбирается сертификат с наибольшим сроком действия, что может требоваться, если используется защита доступа к сети вместе с IPSec. Эта настройка может приводить к успешному взаимодействию в основном режиме, но она менее надежна, так как отсутствует контроль за используемым сертификатом клиента.