2208
правок
Изменения
Перейти к навигации
Перейти к поиску
*Можно создать сертификат, подписанный с помощью корневого сертификата контроллера домена. В этом случае IE будет принимать этот сертификат без предупреждений, другие браузеры будут выдавать предупреждение. И это только на компьютерах, включенных в домен. На всех остальных компьютерах браузер всегда будет предупреждать о небезопасности подключения. Инструкция от Microsoft:<br/>https://technet.microsoft.com/ru-ru/library/dd362553.aspx?f=255&MSPPError=-2147217396 *Обратиться в один из центров сертификации и получить "зеленый" сертификат. Будет работать корректно и без предупреждений во всех браузерах. Например, можно воспользоваться бесплатным сервисом сертификации [https://letsencrypt.org/ LetsEncrypt] для получения сертификата сроком до 90 дней, после истечения можно продлевать.
Перед созданием сертификата необходимо решить: будет ли доступен сайт извне или только внутри локальной сети и под какими dns именами, т.к. сертификат жестко привязан к dns имени.==Настройка DPA==
1. #Найти сертификат в консоли управления (MMC) и запомнить его отпечаток:a. Win#*win+Rb. Mmc#*mmcc. #*Файл -> Добавить или удалить оснастку.d. #*Выбрать сертификаты "Сертификаты" и нажать кнопку добавить.e. #*Выбрать учетную запись компьютера и нажать далее.f. #*Выбрать локальный компьютер и нажать далее.g. #*Найти нужный сертификат и дважды щелкнуть по нему.h. #*Перейти на вкладку "Состав".i. #*Найти в списке поле "Отпечатки ", щелкнуть его.j. #*Скопировать шестнадцатеричные значения из текстового поля (- без пробелов).!2. #Выполнить привязку SSL-сертификата к номеру порта:a. #*Запустить консоль с привилегией администратора.b. #*Выполнить команду: <pre>netsh http add sslcert ipport=0.0.0.0:443 certhash=отпечаток appid={9b370ac4-e875-4a1f-bc11-5c0a39cc4768} </pre> где, "отпечаток" - шестнадцатеричные значения из предыдущего пункта. c. #*Выполнить команду: <pre>netsh http add urlacl url=https://*:443/ user=”NT AUTHORITY\СИСТЕМА”SYSTEM”</pre>3. Настроить службу DPA Host#Выбрать HTTPS при установкеa. sc stop DPAHostНажать на кнопку выбора адреса
b[[file:Https_setup. sc delete DPAHostpng | 600px]]
c. sc create DPAHost binPath= "C:\Program Files\X-tensive\DPA Host\Xtensive.DPA.Web.exe https://*:443" start= autoВыбрать протокол HTTPS
d[[file:Https_add. sc start DPAHostpng]]
Нет описания правки
==Сертификат==
Есть множество вариантов сертификатов и способов их получения. Во всех случаях соединение будет зашифровано, но в некоторых случаях браузер будет предупреждать, что соединение не безопасно. Вот несколько из них:
*Самозаверенный сертификат. Это самый простой и быстрый способ создать/установить сертификат. Но в этом случае все браузеры точно будут сообщать о том, что соединение не безопасно. Создать его можно с помощью команды PowerSehllPowerShell, который следует запустить с правами администратора:
<pre>
</pre>
где dnsName - имя компьютера на котором будет развернут сайт DPA (- имя, по которому на него будут заходить в браузере).
*Можно создать сертификат, подписанный с помощью корневого сертификата контроллера домена. В этом случае IE будет принимать этот сертификат без предупреждений, другие браузеры будут выдавать предупреждение. И это только на компьютерах, включенных в домен. На всех остальных компьютерах браузер всегда будет предупреждать о небезопасности подключения. Инструкция от Microsoft: https://docs.microsoft.com/en-us/previous-versions/system-center/operations-manager-2007-r2/dd362553(v=technet.10)
Перед созданием сертификата необходимо решить: будет ли доступен сайт извне или только внутри локальной сети и под какими dns именами, т.к. сертификат жестко привязан к dns имени.
После того, как сертификат установлен необходимо:
