[an error occurred while processing this directive]

Список доверия сертификатов — это определенный список доверенных корневых центров сертификации. В случае использования групповой политики и развертывания PKI список доверия сертификатов позволяет дополнить существующий набор доверенных корневых центров сертификации, настроенных в сети, например центров, автоматически устанавливаемых с Microsoft Windows или добавляемых через корневые центры сертификации предприятия Windows. Если же список доверия сертификатов настраивается в службах IIS, он задает набор доверенных корневых центров сертификации.

Использование такого набора предоставляет администраторам более широкие возможности управления параметрами безопасности, поскольку в этом случае принимаются только сертификаты, выданные центрами сертификации, указанными в списке доверия сертификатов. Например, в Windows изначально задано несколько известных сторонних центров сертификации, таких как VeriSign и Thawte. Компьютер, на котором запущены службы IIS, по умолчанию доверяет сертификатам, выданным этими известными центрами сертификации. Если для служб IIS не настроен список доверия сертификатов, то любой клиент с сертификатом, выданным этими центрами сертификации, будет считаться допустимым клиентом Configuration Manager. Если же настроить для служб IIS список доверия сертификатов, в который не входят эти центры сертификации, то клиентские подключения с сертификатами этих центров будут отклонены. Чтобы клиенты Configuration Manager принимались на сайте, работающем в основном режиме, необходимо задать для служб IIS список доверия сертификатов, в который включить все центры сертификации, используемые клиентами Configuration Manager.

В IIS список доверия сертификатов определяется в виде свойства веб-сайта, поэтому необходимо настроить этот список для каждого сервера работающего в основном режиме сайта Configuration Manager 2007, для которого включено использование протокола SSL; списки доверия сертификатов нельзя задавать и поддерживать с помощью групповых политик. Ниже перечислены роли системы сайта, использующие обмен данными с шифрованием SSL:

Чтобы использовать список доверия сертификатов с сайтом Configuration Manager 2007, работающим в основном режиме, после настройки веб-сайта с использованием сертификата основного режима измените свойства этого веб-сайта (веб-сайта по умолчанию или пользовательского веб-сайта с именем SMSWeb). Для создания и изменения списка доверия сертификатов можно воспользоваться мастером списка доверия сертификатов, после чего указать корневые центры сертификации, используемые клиентами на работающем в основном режиме сайте. Дополнительные сведения о создании и изменении списков доверия сертификатов в службах IIS 6.0 см. в документации по IIS 6.0 и спискам доверия сертификатов (http://go.microsoft.com/fwlink/?LinkId=80247).

Рекомендуется (хотя и не требуется) применять в IIS списки доверия сертификатов, если используется основной режим Configuration Manager 2007, поскольку такой подход обеспечивает более высокий уровень безопасности по сравнению с ситуацией, когда центры сертификации, используемые клиентами Configuration Manager, явно не заданы.

Использование списков доверия сертификатов для IIS и основного режима Configuration Manager 2007 имеет следующее преимущество:

Использование списков доверия сертификатов для IIS и основного режима Configuration Manager 2007 имеет следующие недостатки:

См. также

[an error occurred while processing this directive]