Xulosalar Savollar ipv6-ga kirish
NLS veb-serverining SSL sertifikati
Download 458.46 Kb.
|
6-labaratoriya
- Bu sahifa navigatsiya:
- DirectAccess Server SSL sertifikati
- DA serveridagi va barcha DA mijozlaridagi mashina sertifikatlari
|
NLS veb-serverining SSL sertifikati
Bir necha daqiqa oldin aytib o'tganimizdek, NLS veb-saytingiz HTTPS bilan ishlagan bo'lishi kerak. Bu sizning NLS veb-saytingizni joylashtiradigan ushbu serverga o'rnatilgan biron bir SSL sertifikati kerakligini anglatadi. Sizning ichki CA-serveringiz bor deb taxmin qilsangiz, u holda sizning sertifikatingiz, bunday ichki CA-dan sizning sertifikatingiz osongina olinishi mumkin, chunki bu sertifikat faqat domenga ulangan mashinalaringizga, ya'ni DirectAccess mijozlariga kirish va tekshirish uchun mo'ljallangan . Domenga qo'shilgan kompyuterlar avtomatik ravishda sizning CA-serverlaringizga tarmoq muhiti orqali ishonganligi sababli, bunday sertifikat oddiy ichki CA-dan berilishi mumkin va bu DirectAccess maqsadlari uchun kerak bo'lgan narsani bajaradi . DirectAccess Server SSL sertifikati SSL sertifikati DirectAccess serverining o'zi o'rnatilishi uchun ham talab qilinadi , lekin sizning davlat sertifikatlash tashkilotingizdan sotib olinishi kerak. Bunday sertifikat sizning mijoz kompyuterlaringizdan keladigan IP-HTTPS oqimlarini tasdiqlash uchun ishlatiladi, chunki bu SSL almashinuvi va shuning uchun biz uni tasdiqlash uchun SSL sertifikatiga muhtojmiz. IP-HTTPS tinglovchisi umumiy Internet tarmog'iga joylashtirilganligi sababli, sizning ichki PKI sertifikatingizni ishlatishdan ko'ra, ommaviy CA-dan sertifikat turidan foydalanishingiz tavsiya etiladi. DA serveridagi va barcha DA mijozlaridagi mashina sertifikatlari DirectAccess sertifikatlaringiz jumboqining so'nggi va eng hiyla-nayranglari bu mashina sertifikatlari. Ammo, agar siz nima talab qilinishini bilsangiz , bu umuman qiyin bo'lmaydi. Biz har doim kompyuter yoki mashina sertifikatini sizning DirectAccess serveringizda va har bir mijoz mashinangizda o'rnatilishini talab qilamiz . Ushbu mashina sertifikati sizning IPsec tunnellaringiz uchun butun autentifikatsiya jarayonining bir qismi sifatida ishlatiladi . Bu DirectAccess-ning sizning kompyuteringiz bunday ulanishni amalga oshirishga majburlaganda o'zingizning kimligingizni tasdiqlashning katta qismidir . Windows CA -ning barcha serverlarida " Computer" deb nomlangan ichki shablon mavjud va bu shablon biz DirectAccess uchun kerak bo'lgan narsadir , shuning uchun biz tez-tez barcha DA mashinalarimizga kompyuter sertifikatlarini berish uchun ba'zi qoidalarni o'rnatamiz. Agar biron sababga ko'ra oldindan tayyorlangan shablonni ishlatishni istamasangiz, albatta ushbu maqsadda o'zingizning shaxsiy sertifikat shabloningizni yaratishingiz mumkin. O'zingizning sertifikat shabloningizni o'rnatganingizda, uning quyidagi mezonlarga javob berishini tekshiring: Sertifikatning umumiy nomi ( mavzusi , Umumiy nomi ) ushbu kompyuterning FQDN-ga mos kelishi kerak Subject Alternative Name (SAN ) sertifikati ushbu kompyuterning DNS nomiga teng bo'lishi kerak Ushbu sertifikat mijozning autentifikatsiyasi va serverning autentifikatsiyasi uchun mo'ljallangan maqsadga muvofiqlashtirilishi kerak - kengaytirilgan kalitlardan foydalanish . Bu erda ta'kidlashim kerak, garchi men buni xohlamasam ham, bunday sertifikatlarni berish DirectAccess- ni ishlashga majbur qilish uchun mutlaqo ixtiyoriydir . Agar sizda mijoz tomonida Windows 8 yoki undan yangi versiyasi bo'lsa , unda ishlaydigan DAni mashina sertifikatlarisiz olish mumkin. Buning o'rniga ular IPsec tunnellarini qurishda o'zlarining autentifikatsiyasi uchun Kerberos proksi- serveridan foydalanishlari mumkin , ammo men sertifikatlar bilan qolishni maslahat beraman. Autentifikatsiya jarayonining bir qismi sifatida sertifikatlardan foydalanish ulanishni yanada barqaror va xavfsiz qiladi. Agar Siz dan foydalanayotgan ayrim qo'shimcha vazifalar bajarish uchun boryapmiz agar Shuningdek, NLS hosting deb, DirectAccess kabi, hatto yuk dengeleme yoki bir nechta sayt, yoki, faqat kerakli ba'zi Windows 7 kompyuterlar ULARNING orqali ulash uchun davom ettirish, keyin kerak bo'ladi sertifikatlar. Shunday qilib, DirectAccess-ni sinashni boshlashdan oldin ham, avvalo eng yaxshi amaliyotlarga amal qiling va bunday sertifikatlarni bering . Download 458.46 Kb. Do'stlaringiz bilan baham: 
|