Список доверия сертификатов — это определенный список доверенных корневых центров сертификации. В случае использования групповой политики и развертывания PKI список доверия сертификатов позволяет дополнить существующий набор доверенных корневых центров сертификации, настроенных в сети, например центров, автоматически устанавливаемых с Microsoft Windows или добавляемых через корневые центры сертификации предприятия Windows. Если же список доверия сертификатов настраивается в службах IIS, он задает набор доверенных корневых центров сертификации.

Использование такого набора предоставляет администраторам более широкие возможности управления параметрами безопасности, поскольку в этом случае принимаются только сертификаты, выданные центрами сертификации, указанными в списке доверия сертификатов. Например, в Windows изначально задано несколько известных сторонних центров сертификации, таких как VeriSign и Thawte. Компьютер, на котором запущены службы IIS, по умолчанию доверяет сертификатам, выданным этими известными центрами сертификации. Если для служб IIS не настроен список доверия сертификатов, то любой клиент с сертификатом, выданным этими центрами сертификации, будет считаться допустимым клиентом Configuration Manager. Если же настроить для служб IIS список доверия сертификатов, в который не входят эти центры сертификации, то клиентские подключения с сертификатами этих центров будут отклонены. Чтобы клиенты Configuration Manager принимались на сайте, работающем в основном режиме, необходимо задать для служб IIS список доверия сертификатов, в который включить все центры сертификации, используемые клиентами Configuration Manager.

В IIS список доверия сертификатов определяется в виде свойства веб-сайта, поэтому необходимо настроить этот список для каждого сервера работающего в основном режиме сайта Configuration Manager 2007, для которого включено использование протокола SSL; списки доверия сертификатов нельзя задавать и поддерживать с помощью групповых политик. Ниже перечислены роли системы сайта, использующие обмен данными с шифрованием SSL:

• точки управления:
  
  
  • точка управления по умолчанию;
    
    
  • точки управления с балансировкой сетевой нагрузки;
    
    
  • прокси-точка управления;
    
    
  • интернет-точка управления;
    
    
• точки распространения, на являющиеся точками распространения филиала и не использующие общие ресурсы системы сайта;
  
  
• точки обновления программного обеспечения;
  
  
• точки миграции состояния.
  
  

Чтобы использовать список доверия сертификатов с сайтом Configuration Manager 2007, работающим в основном режиме, после настройки веб-сайта с использованием сертификата основного режима измените свойства этого веб-сайта (веб-сайта по умолчанию или пользовательского веб-сайта с именем SMSWeb). Для создания и изменения списка доверия сертификатов можно воспользоваться мастером списка доверия сертификатов, после чего указать корневые центры сертификации, используемые клиентами на работающем в основном режиме сайте. Дополнительные сведения о создании и изменении списков доверия сертификатов в службах IIS 6.0 см. в документации по IIS 6.0 и спискам доверия сертификатов (http://go.microsoft.com/fwlink/?LinkId=80247).

Рекомендуется (хотя и не требуется) применять в IIS списки доверия сертификатов, если используется основной режим Configuration Manager 2007, поскольку такой подход обеспечивает более высокий уровень безопасности по сравнению с ситуацией, когда центры сертификации, используемые клиентами Configuration Manager, явно не заданы.

Использование списков доверия сертификатов для IIS и основного режима Configuration Manager 2007 имеет следующее преимущество:

• это более безопасное решение, поскольку только указанные в списке доверенные корневые центры сертификации, а не все используемые в сети доверенные корневые центры сертификации, будут получать доверие Configuration Manager, в том числе и центры сертификации, устанавливаемые в Windows по умолчанию.
  
  

Использование списков доверия сертификатов для IIS и основного режима Configuration Manager 2007 имеет следующие недостатки:

• такая конфигурация создает дополнительную нагрузку на администраторов, связанную с созданием и поддержкой списков доверия сертификатов в IIS для каждого сервера системы сайта Configuration Manager, который взаимодействует с клиентами Configuration Manager с использованием протокола SSL;
  
  
• неправильная настройка и поддержка списков доверия сертификатов может привести к появлению неуправляемых клиентов.
  
  

См. также

---

Были ли эти сведения полезными? Чтобы отправить свои пожелания и комментарии, касающиеся документации, по адресу для отзывов о документации Configuration Manager, щелкните следующую ссылку: SMSdocs@microsoft.com.