Примечание

Рекомендуется SSL-согласование с проверкой подлинности на основе технологии мостов, хотя SSL-туннелирование также поддерживается, если прокси-веб-сервер не поддерживает SSL-мост с проверкой подлинности. Дополнительные сведения см. в документации Microsoft Internet Security and Acceleration Server о различиях между технологиями мостов и туннелирования (http://go.microsoft.com/fwlink/?LinkId=80311).

• SSL-мост к SSL:
  
  Рекомендуемая конфигурация при использовании прокси-веб-сервера с интернет-управлением клиентами Configuration Manager 2007 — это SSL-мост к SSL, с использованием прерывания с проверкой подлинности. Подлинность клиентских компьютеров должна проверяться с помощью проверки подлинности компьютера, а для клиентских мобильных устройств используется проверка подлинности пользователей.
  
  Преимущество SSL с прерыванием на веб-прокси-сервере в том, что пакеты из Интернета проходят проверку до отправления во внутреннюю сеть. Веб-прокси-сервер проверяет подлинность подключения с клиента, прерывает подключение и открывает новое проверенное соединение с интернет-системами сайта. Когда клиенты Configuration Manager используют веб-прокси-сервер, удостоверение клиента (GUID клиента) безопасно содержится в передаваемых данных пакета, таким образом точка управления не принимает веб-прокси-сервер за клиента. SSL-мост не поддерживается в Configuration Manager 2007 переходом от HTTP к HTTPS или от HTTPS к HTTP.
  
  
• Туннелирование:
  
  Если веб-прокси-сервер не отвечает требованиям для моста SSL, туннелирование SSL тоже поддерживается. Этот вариант менее безопасный, так как пакеты SSL перенаправляются из Интернета к системам сайта без прерывания и не могут быть проверены на вредное содержание. При использовании SSL-туннелирования сертификат для прокси-веб-сервера не требуется.
  
  

• Сертификат веб-сервера для проверки подлинности сервера и SSL, если используется SSL-мост:
  
  
  • Сертификат должен образовывать цепочку к корневому центру, которому доверяют клиентские компьютеры.
    
    
  • Сертификат должен содержать полные доменные имена (FQDN) всех интернет-систем сайта в поле "Альтернативное имя субъекта".
    
    
• Сертификат клиентского компьютера для проверки подлинности, если используется технология SSL-моста для клиентских компьютеров.
  
  
  • Сертификат должен содержать цепочку до центра сертификации, которому доверяют серверы систем сайта.
    
    
  • Сертификат должен иметь уникальное значение в поле "Субъект" или в поле "Альтернативное имя субъекта".
    
    
• Сертификат пользователя-клиента для проверки подлинности, если используется технология SSL-моста для клиентских мобильных устройств.
  
  
  • Сертификат должен содержать цепочку до центра сертификации, которому доверяют серверы систем сайта.
    
    
  • Сертификат должен иметь уникальное значение в поле "Субъект" или в поле "Альтернативное имя субъекта".
    
    

• Поддержка HTTP:
  
  
  • Если используется резервная интернет-точка состояния, прокси-веб-сервер должен принимать HTTP-трафик.
    
    

• Для интернет-системы сайта должно быть настроено полное доменное имя (FQDN) в Configuration Manager 2007, которое также регистрируется на общедоступных DNS-серверах Интернета с IP-адресом прокси-веб-сервера.
  
  
• интернет-системы сайта должны быть опубликованы на прокси-веб-сервере с полным доменным именем Интернета, которое настроено для использования в Configuration Manager 2007.
  
  

Если прокси-веб-сервер выполняет проверку на уровне приложений, он должен разрешать следующий обмен данными между клиентами Configuration Manager и интернет-системами сайта:

• HTPP версии 1.1.
  
  
• Тип содержимого HTTP многоэлементного вложения MIME
  
  
• Требуемые команды и заголовки HTTP
  
  

Для получения дополнительных сведений см. описание внешних зависимостей, перечисленных в Необходимые условия для интернет-управления клиентами

Основные понятия