Чтобы сайт смог обращаться через протокол HTTPS к контроллеру, установленному в другом домене, необходимо выполнить настройку доступа по сертификатам.
В центре сертификации получите сертификаты центра сертификации (ЦС), контроллера (для сервера), сайта (для клиента). Подробнее см. в руководстве администратора, раздел «Установка центра сертификации».
Примечание
В карточке сертификата контроллера на закладке Состав в поле Субъект значение CN (общее имя сертификата) должно быть равно имени узла, по которому будет доступен контроллер центра администрирования служб DIRECTUM.
Выполните настройку на сервере контроллера:
| 1. | Установите сертификаты в хранилища локального компьютера: |
| • | сертификат ЦС – в хранилище Доверенные корневые центры сертификации; |
| • | сертификат контроллера – в хранилище Личное: |
| 2. | Выдайте права на сертификат контроллера пользователю пула приложений. Для этого откройте оснастку Сертификаты, перейдите в хранилище Личное и в контекстном меню установленного сертификата последовательно выберите Все задачи, Управление закрытыми ключами. В открывшемся окне добавьте пользователя пула приложений. |
| 3. | Настройте сайт на работу по каналу связи HTTPS: |
| • | откройте Диспетчер служб IIS; |
| • | в разделе «Сайты» выберите контроллер центра администрирования служб DIRECTUM; |
| • | на закладке «Действия» выберите пункт Привязки. Откроется окно: |
| • | выберите тип соединения https; |
| • | укажите Имя узла, по которому будет доступен контроллер центра администрирования служб DIRECTUM. Если имя узла отличается от имени сервера, информация о нем должна быть добавлена в DNS. Убедитесь, что имя узла совпадает с общим именем (CN) сертификата контроллера; |
| • | выберите SSL-сертификат контроллера, установленный в личное хранилище. |
В полях IP-адрес и Порт оставьте значения по умолчанию.
| 4. | Измените параметры SSL сайта: |
| • | на вкладке «Просмотр возможностей», в группе IIS выберите возможность Параметры SSL; |
| • | установите флажок Требовать SSL и переключатель Принимать сертификаты клиента. |
| 5. | Откройте конфигурационный файл контроллера центра администрирования служб DIRECTUM Web.config и раскомментируйте секцию Конфигурация https без SPN. |
Выполните настройку на компьютере, где установлен сайт:
| 1. | Откройте оснастку Сертификаты. |
| 2. | Импортируйте сертификат сайта в личное хранилище пользователя, от имени которого работает пул приложений. Если пул приложений работает от системной учетной записи ApplicationPoolIdentity, импортируйте сертификат в личное хранилище локального компьютера. |
| 3. | Импортируйте сертификат ЦС в хранилище Доверенные корневые центры сертификации локального компьютера. |
| 4. | Откройте конфигурационный файл сайта центра администрирования служб DIRECTUM Web.config и в секции clientCertificate заполните параметры сертификата сайта. Пример настройки параметров: |
<clientCertificate findValue="CN=ClientCert" storeLocation="LocalMachine" storeName="My" x509FindType="FindBySubjectDistinguishedName" />
Для корректной работы центра администрирования служб DIRECTUM включите сайт центра в список надежных узлов на рабочем месте пользователей. Подробнее см. раздел «Настройка Internet Explorer c использованием параметров безопасности по умолчанию». Рекомендуется выполнять настройку с помощью групповых политик.
