Rozdział 8
Przypisywanie certyfikatów do kont użytkowników
Rozwiązania natychmiastowe [Author ID1: at Wed Oct 4 16:39:00 2000
]: [Author ID1: at Wed Oct 4 16:39:00 2000
]zobacz na stronie:
Instalowanie certyfikatu użytkownika
Eksportowanie certyfikatu
Instalowanie certyfikatu jednostki certyfikującej (CA)
Konfigurowanie Active Directory, aby można było przypisywać nazwy główne użytkownika (User Principal Name [Author ID1: at Wed Oct 4 16:39:00 2000
]-[Author ID1: at Wed Oct 4 16:39:00 2000
]— [Author ID1: at Wed Oct 4 16:39:00 2000
]UPN)
Konfigurowanie Active Directory, aby stosować odwzorowanie różnowartościowe (one-to-one mapping)
Konfigurowanie usługi Internet Information Server (IIS),[Author ID1: at Wed Oct 4 16:48:00 2000 ] aby stosować przyporządkowanie jeden-do-jednego (one-to-one mapping)
Konfigurowanie Active Directory,[Author ID1: at Wed Oct 4 16:48:00 2000 ] aby stosować przyporządkowanie wiele-do-jednego (many-to-one mapping)
Konfigurowanie usługi Internet Information Server (IIS) [Author ID1: at Wed Oct 4 16:49:00 2000
], [Author ID1: at Wed Oct 4 16:49:00 2000
]aby stosować przyporządkowanie wiele-do-jednego (many-to-one mapping)
Testowanie przypisania (mapping)
W skrócie
Dlaczego konieczne jest przypisywanie (mapping) certyfikatów
System operacyjny Windows 2000, dzięki uniwersalnemu modelowi administrowania, umożliwia zarządzanie kontami użytkowników na wiele sposobów. W systemach przedsiębiorstw, gdzie występuje stosunkowo niewiele zagrożeń, model konto użytkownika/[Author ID1: at Wed Oct 4 16:49:00 2000
]-hasło (user account/[Author ID1: at Wed Oct 4 16:50:00 2000
]-password) sprawdza się bardzo dobrze. Jednak sytuacja zmienia się w przypadku Internetu, który jest środowiskiem wrogim i ataki z zastosowaniem identyfikatora użytkownika oraz hasła (user ID/[Author ID1: at Wed Oct 4 16:50:00 2000
] [Author ID1: at Wed Oct 4 16:50:00 2000
]password attacks) stanowią poważny problem. Przypisywanie certyfikatów (certificate mapping) umożliwia rozwiązanie tego problemu za pomocą technologii klucza publicznego, ponieważ klucze te są lepszym zabezpieczeniem niż systemy korzystające z haseł.
W systemie Windows 2000 można przypisywać (map) certyfikat z kluczem publicznym,[Author ID1: at Wed Oct 4 16:50:00 2000
] wydany użytkownikowi,[Author ID1: at Wed Oct 4 16:50:00 2000
] do konta tego użytkownika. Certyfikat ten może być następnie używany z usługą Internet Information Server (IIS), więc aplikacje serwera do uwierzytelniania użytkownika stosują technologię klucza publicznego (p[Author ID1: at Wed Oct 4 16:50:00 2000
]P[Author ID1: at Wed Oct 4 16:50:00 2000
]ublic K[Author ID1: at Wed Oct 4 16:50:00 2000
]k[Author ID1: at Wed Oct 4 16:51:00 2000
]ey t[Author ID1: at Wed Oct 4 16:51:00 2000
]T[Author ID1: at Wed Oct 4 16:51:00 2000
]echnology — PKT[Author ID1: at Wed Oct 4 16:51:00 2000
]). Wynik jest ten [Author ID1: at Wed Oct 4 16:51:00 2000
]taki [Author ID1: at Wed Oct 4 16:51:00 2000
]sam, co [Author ID1: at Wed Oct 4 16:51:00 2000
] jak [Author ID1: at Wed Oct 4 16:51:00 2000
]w przypadku podawania identyfikatora użytkownika (user ID) i hasła, ale proces jest bardziej [Author ID1: at Wed Oct 4 16:51:00 2000
]bezpieczniejsz[Author ID1: at Wed Oct 4 16:51:00 2000
]y.
Wraz z rozbudową systemu i zwiększeniem stopnia rozproszenia, z setkami tysięcy użytkowników, scentralizowany nadzór nad hasłami staje się coraz [Author ID1: at Wed Oct 4 16:52:00 2000
]trudny[Author ID1: at Wed Oct 4 16:52:00 2000
]iejszy[Author ID1: at Wed Oct 4 16:52:00 2000
]. Z drugiej strony, certyfikaty z kluczem publicznym mogą być szeroko stosowane, mogą być [Author ID1: at Wed Oct 4 16:53:00 2000
]wydawane przez różne instytucje i weryfikowane bez konieczności odwoływania się do centralnej bazy danych. Jednak istniejące obecnie systemy operacyjne i narzędzia administracyjne dotyczą tylko kont,[Author ID1: at Wed Oct 4 16:55:00 2000
] a nie certyfikatów. Rozwiązaniem jest utworzenie skojarzenia (przypisania [Author ID1: at Wed Oct 4 16:55:00 2000
]-[Author ID1: at Wed Oct 4 16:55:00 2000
]— [Author ID1: at Wed Oct 4 16:55:00 2000
]mapping), pomiędzy certyfikatem a kontem użytkownika. Umożliwia to systemowi operacyjnemu używanie kont, podczas gdy duże systemy i użytkownicy korzystają z certyfikatów.
W modelu tym użytkownik przedstawia certyfikat,[Author ID1: at Wed Oct 4 16:55:00 2000
] a system sprawdza Odwzorowanie (Mapping) aby określić, na które konto użytkownika zostanie zalogowany. Nie należy tego mylić z logowaniem się[Author ID1: at Wed Oct 4 16:56:00 2000
] za pomocą kart elektronicznych (smart card logons), w tym przypadku również odwzorowuje się certyfikaty w sposób niejawny. Przyporządkowanie certyfikatu użytkownikowi systemu Windows 2000 może być wykonane za pomocą usług katalogowych Active Directory lub Internet Information Server (IIS). Usługa Internet Information Server [Author ID1: at Wed Oct 4 16:56:00 2000
]IIS korzysta z certyfikatu do uwierzytelnienia użytkownika. [Author ID1: at Wed Oct 4 16:56:00 2000
]
Rozwiązana pokrewne [Author ID1: at Wed Oct 4 16:56:00 2000
]: [Author ID1: at Wed Oct 4 16:56:00 2000
]zobacz na stronie:
Stosowanie zabezpieczeń systemu Windows 2000 z kluczem publicznym
Logowanie się za pomocą kart elektronicznych (smart card)
Rodzaje odwzorowywania
Certyfikat może być przyporządkowany do konta użytkownika na dwa sposoby:
d[Author ID1: at Wed Oct 4 16:59:00 2000
]D[Author ID1: at Wed Oct 4 16:59:00 2000
]o jednego konta użytkownika przypisany jest jeden certyfikat — [Author ID1: at Wed Oct 4 16:59:00 2000
]([Author ID1: at Wed Oct 4 16:59:00 2000
]przyporządkowanie jeden-do-jednego)[Author ID1: at Wed Oct 4 16:59:00 2000
] — [Author ID1: at Wed Oct 4 16:59:00 2000
]([Author ID1: at Wed Oct 4 16:59:00 2000
]one-to-one mapping),[Author ID1: at Wed Oct 4 16:59:00 2000
].[Author ID1: at Wed Oct 4 16:59:00 2000
]
d[Author ID1: at Wed Oct 4 16:59:00 2000
]D[Author ID1: at Wed Oct 4 16:59:00 2000
]o jednego konta użytkownika przypisanych jest wiele certyfikatów — [Author ID1: at Wed Oct 4 16:59:00 2000
]([Author ID1: at Wed Oct 4 16:59:00 2000
]przyporządkowanie wiele-do-jednego) —[Author ID1: at Wed Oct 4 16:59:00 2000
] ([Author ID1: at Wed Oct 4 16:59:00 2000
]many-to-one mapping)[Author ID1: at Wed Oct 4 16:59:00 2000
].
Przypisywanie nazw głównych użytkowników (User Principal Name — UPN[Author ID1: at Wed Oct 4 17:00:00 2000 ])
Przypisywanie nazw głównych użytkowników (User Principal Name [Author ID1: at Wed Oct 4 17:00:00 2000
]-[Author ID1: at Wed Oct 4 17:00:00 2000
]— [Author ID1: at Wed Oct 4 17:00:00 2000
]UPN) jest specjalnym przypadkiem odwzorowania różnowartościowego (one-to-one mapping), którego można dokonać za pomocą usług katalogowych Active Directory. Jednostki certyfikujące przedsiębiorstwa (enterprise CA) umieszczają[Author ID1: at Wed Oct 4 17:02:00 2000
] w każdym certyfikacie pozycję o nazwie N[Author ID1: at Wed Oct 4 17:02:00 2000
]n[Author ID1: at Wed Oct 4 17:02:00 2000
]azwa Główna Użytkownika (User Principal Name), która wygląda podobnie jak adres e-mail. Nazwa UPN jest niepowtarzalna w domenie systemu Windows 2000 i stosowana jest [Author ID1: at Wed Oct 4 17:02:00 2000
]do znajdowania konta użytkownika w Active Directory. Przyporządkowanie nazw głównych użytkowników (UPN) w systemie Windows 2000 dokonywane jest w sposób niejawny i służy do logowania się [Author ID1: at Wed Oct 4 17:02:00 2000
]za pomocą kart elektronicznych (smart cards[Author ID1: at Wed Oct 4 17:10:00 2000
]).
Przyporządkowanie jeden-do-jednego (one-to-one mapping)
Odwzorowanie jeden-do-jednego (one-to-one mapping) polega na przypisaniu pojedynczego certyfikatu użytkownika do jednego konta użytkownika. Przyjmijmy,[Author ID1: at Wed Oct 4 17:13:00 2000
] na przykład[Author ID1: at Wed Oct 4 17:13:00 2000
]p.[Author ID1: at Wed Oct 4 17:13:00 2000
],[Author ID1: at Wed Oct 4 17:13:00 2000
] że firma chce udostępnić pracownikom stronę sieci Web, aby umożliwić im korzystanie z dokumentów firmowych oraz przesyłanie sprawozdań tygodniowych. Strona ta ma być dostępna przez Internet i musi być [Author ID1: at Wed Oct 4 17:25:00 2000
]zabezpieczona. Firma może wydać certyfikat każdemu pracownikowi za pomocą swoich służb certyfikujących lub korzystając z zatwierdzonych jednostek certyfikujących. Kontom użytkowników systemu Windows 2000 przyporządkowywane są certyfikaty użytkowników. Pracownik może potem łączyć się z daną stroną sieci Web,[Author ID1: at Wed Oct 4 17:25:00 2000
] korzystając z protokołu Secure Sockets Layer (SSL) po [Author ID1: at Wed Oct 4 17:25:00 2000
]przedstawiając [Author ID1: at Wed Oct 4 17:25:00 2000
]przedstawieniu [Author ID1: at Wed Oct 4 17:25:00 2000
]swó[Author ID1: at Wed Oct 4 17:25:00 2000
]o[Author ID1: at Wed Oct 4 17:25:00 2000
]jego[Author ID1: at Wed Oct 4 17:25:00 2000
] certyfikatu[Author ID1: at Wed Oct 4 17:25:00 2000
].
Przyporządkowanie wiele-do-jednego (many-to-one mapping)
Przyporządkowanie wiele-do-jednego (many-to-one mapping) polega na przypisaniu wielu certyfikatów do jednego konta użytkownika. Przyjmijmy, że korzystamy z usług agencji pośrednictwa pracy, ponieważ nasza firma chce zatrudnić pracowników w niepełnym wymiarze godzin[Author ID1: at Wed Oct 4 17:27:00 2000
]. Personelowi tej agencji należy udostępnić stronę sieci Web, na której zamieszczono bieżące wakaty,[Author ID1: at Wed Oct 4 17:27:00 2000
] i[Author ID1: at Wed Oct 4 17:27:00 2000
] do której poza tym [Author ID1: at Wed Oct 4 17:28:00 2000
]mają dostęp tylko pracownicy firmy. Agencja ma własną jednostkę certyfikującą (CA), która wydaje certyfikaty jej pracownikom.
Po zainstalowaniu certyfikatu głównego jednostki certyfikującej (CA)[Author ID1: at Wed Oct 4 17:29:00 2000
] agencji jako zaufanego certyfikatu głównego (trusted root) w przedsiębiorstwie można ustanowić zasadę, aby wszystkie certyfikaty wydane przez daną jednostkę certyfikującą (CA) [Author ID1: at Wed Oct 4 17:29:00 2000
]były przypisywane do jednego konta w systemie Windows 2000. Następnie można ustanowić odpowiednie prawa dostępu tak, by z danego konta można było uzyskać dostęp do strony sieci Web. Kiedy kandydaci do zatrudnienia [Author ID1: at Wed Oct 4 17:31:00 2000
]na pracowników [Author ID1: at Wed Oct 4 17:31:00 2000
]łączą się z serwerem agencji i przedstawiają swoje certyfikaty, są oni przypisywani do tego samego konta użytkownika i w ten sposób mają dostęp do danej firmowej strony sieci Web. Nie mają jednak dostępu do innych stron, ponieważ dla danego konta nie ustawiono takiego prawa. Agencja może wydawać certyfikaty i zarządzać użytkownikami bez konieczności interwencji ze strony administratora w przedsiębiorstwie.
Gdzie dokonywane jest przyporządkowywanie (mapping)?[Author ID1: at Wed Oct 4 17:32:00 2000 ]
Przyporządkowywanie certyfikatów (certificate mapping) wykonuje się,[Author ID1: at Wed Oct 4 17:32:00 2000 ] korzystając z usługi Internet Information Server (IIS) lub usług katalogowych Active Directory.
Internet Information Server (IIS)
Podczas przyporządkowywania (mapping) certyfikatu,[Author ID1: at Wed Oct 4 17:33:00 2000
] usługa IIS porównuje go z listą reguł przechowywaną w metabazie (metabase). Usługa Internet Information Server znajduje regułę, która pasuje do wskazywanego konta systemu Windows 2000. Odwzorowywanie dokonywane przez tę [Author ID1: at Wed Oct 4 17:34:00 2000
]usługę IIS [Author ID1: at Wed Oct 4 17:34:00 2000
]jest konfigurowane dla każdego serwera sieci Web i korzysta się z niego, kiedy potrzeba niewielu odwzorowań lub różnych odwzorowań dla każdego z serwera sieci Web. Częściej korzysta się z odwzorowania za pomocą usług Active Directory, ponieważ wymaga ono [Author ID1: at Wed Oct 4 17:34:00 2000
]mniej działań administracyjnych.
Active Directory
Kiedy odwzorowanie dokonywane jest przez usługi katalogowe Active Directory, usługa Internet Information Server (IIS) otrzymuje certyfikat użytkownika i przekazuje go do Active Directory, które przypisują certyfikat do konta użytkownika. Odwzorowywanie dokonywane przez usługi katalogowe Active Directory stosuje się, jeśli odwzorowania kont są takie same na wszystkich serwerach IIS. Administrowanie jest uproszczone, ponieważ odwzorowywanie (mapping) dokonywane jest tylko w jednym miejscu.
Odwzorowanie jest dokonywane przez Active Directory na dwa sposoby:
A[Author ID1: at Wed Oct 4 17:35:00 2000
]a[Author ID1: at Wed Oct 4 17:35:00 2000
]dministrator przyporządkowuje certyfikat bezpośrednio do konta użytkownika. Certyfikat ten może być uzyskany z dowolnego źródła, przy założeniu, że jednostka certyfikująca (CA) jest zaufana dla uwierzytelniania klienta (client authentication),[Author ID1: at Wed Oct 4 17:35:00 2000
].[Author ID1: at Wed Oct 4 17:35:00 2000
]
S[Author ID1: at Wed Oct 4 17:35:00 2000
]s[Author ID1: at Wed Oct 4 17:35:00 2000
]tosuje się odwzorowanie nazw głównych użytkowników (UPNs[Author ID1: at Wed Oct 4 17:36:00 2000
]). Certyfikat wydany przez jednostkę certyfikującą przedsiębiorstwa (enterprise CA) zawsze zawiera nazwę główną użytkownika (UPN)[Author ID1: at Wed Oct 4 17:36:00 2000
]. Dla każdego certyfikatu przekazanego do Active Directory, który ma być odwzorowany, najpierw sprawdza się odwzorowanie nazwy głównej użytkownika (User Principal Name)[Author ID1: at Wed Oct 4 17:36:00 2000
]. Odwzorowywanie dokonywane jest przez administratora tylko wtedy, gdy niemożliwe jest odwzorowanie nazwy głównej użytkownika (UPN).
Uwaga: Odwzorowywanie nazw głównych użytkownika (UPN) [Author ID1: at Wed Oct 4 17:37:00 2000
]jest możliwe, jeśli certyfikat zawiera nazwę główną użytkownika (UPN)[Author ID1: at Wed Oct 4 17:37:00 2000
], domena jest częścią struktury hierarchicznej Active Directory i jednostka certyfikująca (CA), która wydała dany certyfikat, jest obdarzona zaufaniem w zakresie umieszczania nazw głównych użytkownika (UPN) [Author ID1: at Wed Oct 4 17:37:00 2000
]w certyfikatach. Jeśli którykolwiek z wymienionych wyżej warunków nie jest spełniony, w katalogu poszukiwane jest przyporządkowanie dokonane przez administratora.
Rozwiązania natychmiastowe
Instalowanie certyfikatu użytkownika
Pierwszym etapem odwzorowywania (mapping) certyfikatu jest zalogowanie się na konto administratora i zainstalowanie certyfikatu użytkownika. Jeśli ma być dokonane odwzorowanie nazw głównych użytkownika (UPN), certyfikat powinien zostać uzyskany od jednostki certyfikującej przedsiębiorstwa (enterprise CA) z danej domeny. W przypadku innych metod odwzorowywania (mapping) [Author ID1: at Wed Oct 4 17:38:00 2000
]certyfikat powinien zostać uzyskany od jednostki certyfikującej (CA)[Author ID1: at Wed Oct 4 17:38:00 2000
], która nie należy do przedsiębiorstwa. Gwarantuje to, że nie dojdzie do odwzorowania nazwy głównej użytkownika (UPN)[Author ID1: at Wed Oct 4 17:38:00 2000
], gdy[Author ID1: at Wed Oct 4 17:38:00 2000
]kiedy to[Author ID1: at Wed Oct 4 17:38:00 2000
] certyfikat jest odwzorowywany bezpośrednio do konta użytkownika.
Instalowanie certyfikatu uzyskanego od serwera certyfikatów firmy Microsoft
Jeśli certyfikaty uzyskuje się od Serwera Certyfikatów (CC[Author ID1: at Wed Oct 4 17:38:00 2000
]ertificate SS[Author ID1: at Wed Oct 4 17:38:00 2000
]erver) firmy Microsoft, to kontroler domeny w danej lokalizacji musi być skonfigurowany jako jednostka certyfikująca (CA). Jej k[Author ID1: at Wed Oct 4 17:39:00 2000
]K[Author ID0: at Thu Nov 30 00:00:00 1899
]onfigurowanie jednostki certyfikującej (CA) [Author ID0: at Thu Nov 30 00:00:00 1899
]i potwierdzanie ustawień strony sieci Web opisano w rozdziale 7.
Rozwiązania pokrewne [Author ID1: at Wed Oct 4 17:39:00 2000
]: [Author ID1: at Wed Oct 4 17:39:00 2000
]zobacz na stronie:
Konfigurowanie jednostki certyfikującej
Żądanie certyfikatu można wysłać na dwa sposoby:
K[Author ID1: at Wed Oct 4 17:39:00 2000
]k[Author ID1: at Wed Oct 4 17:39:00 2000
]orzystając z programu Internet Explorer do połączenia się z stroną rejestrowania sieci Web (Web enrollment page),[Author ID1: at Wed Oct 4 17:39:00 2000
].[Author ID1: at Wed Oct 4 17:39:00 2000
]
K[Author ID1: at Wed Oct 4 17:39:00 2000
]k[Author ID1: at Wed Oct 4 17:39:00 2000
]orzystając z modułu dodatkowego (snap-in) Certyfikaty (C[Author ID1: at Wed Oct 4 17:39:00 2000
]Certificates) konsoli MMC do wysłania żądania certyfikatu od Usługi Certyfikatów (C[Author ID1: at Wed Oct 4 17:39:00 2000
]Certificate SS[Author ID1: at Wed Oct 4 17:39:00 2000
]ervices) firmy Microsoft.
Firma Microsoft zaleca stosowanie pierwszej z wyżej [Author ID1: at Wed Oct 4 17:40:00 2000
]wymienionych metod, którą poniżej [Author ID1: at Wed Oct 4 17:40:00 2000
]tutaj zastosowano[Author ID1: at Wed Oct 4 17:40:00 2000
]opis[Author ID1: at Wed Oct 4 17:40:00 2000
]ano[Author ID1: at Wed Oct 4 17:40:00 2000
]. Jeśli uzyskano już certyfikat, postępując zgodnie z procedurami opisanymi w rozdziale 7.[Author ID1: at Wed Oct 4 17:40:00 2000
], można pominąć poniższą procedurę.
Poniżej zamieszczono p[Author ID1: at Wed Oct 4 17:41:00 2000
]rocedura[Author ID1: at Wed Oct 4 17:41:00 2000
]ę[Author ID1: at Wed Oct 4 17:41:00 2000
] wysyłania żądania certyfikatu za pomocą Strony Rejestrowania (Enrollment Page) wymaga, aby[Author ID1: at Wed Oct 4 17:41:00 2000
]:
Uruchomić[Author ID1: at Wed Oct 4 17:41:00 2000
] przeglądarkę i połączyć[Author ID1: at Wed Oct 4 17:41:00 2000
] się ze stroną o adresie http://ServerName/CertSrv, gdzie ServerName jest nazwą serwera jednostki certyfikującej (CA server) w danej domenie. Pojawi się ekran powitalny Usługi Certyfikatów Firmy Microsoft (Microsoft CC[Author ID1: at Wed Oct 4 17:42:00 2000
]ertificate SS[Author ID1: at Wed Oct 4 17:42:00 2000
]ervices).
Wybrać[Author ID1: at Wed Oct 4 17:42:00 2000
]ierz[Author ID1: at Wed Oct 4 17:42:00 2000
] opcję Żądanie Certyfikatu (RR[Author ID1: at Wed Oct 4 17:42:00 2000
]equest a Certificate). Naciśn[Author ID1: at Thu Oct 5 06:20:00 2000
]Nacisnąć[Author ID1: at Thu Oct 5 06:20:00 2000
] [Author ID1: at Wed Oct 4 17:42:00 2000
]ij [Author ID1: at Wed Oct 4 17:42:00 2000
]przycisk Dalej (N[Author ID1: at Wed Oct 4 17:42:00 2000
]Next).
Wybie[Author ID1: at Wed Oct 4 17:42:00 2000
]rz[Author ID1: at Wed Oct 4 17:42:00 2000
]ać[Author ID1: at Wed Oct 4 17:42:00 2000
] opcję Żądanie Certyfikatu Użytkownika (UU[Author ID1: at Wed Oct 4 17:42:00 2000
]ser Certificate Request) i w polu listy zaznaczyć[Author ID1: at Wed Oct 4 17:43:00 2000
] pozycję Certyfikat Użytkownika (UU[Author ID1: at Wed Oct 4 17:42:00 2000
]ser CC[Author ID1: at Wed Oct 4 17:42:00 2000
]ertificate). Naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 17:42:00 2000
](Next)[Author ID1: at Wed Oct 4 17:42:00 2000
].
W przypadku połączenia z autonomiczną jednostką certyfikującą (S[Author ID1: at Wed Oct 4 17:42:00 2000
]s[Author ID1: at Wed Oct 4 17:42:00 2000
]tandalone CA) pojawi się strona Certyfikat Użytkownika [Author ID1: at Wed Oct 4 17:42:00 2000
]-[Author ID1: at Wed Oct 4 17:42:00 2000
]— [Author ID1: at Wed Oct 4 17:42:00 2000
]I[Author ID1: at Wed Oct 4 17:42:00 2000
]Informacja Identyfikacyjna (UU[Author ID1: at Wed Oct 4 17:43:00 2000
]ser CC[Author ID1: at Wed Oct 4 17:43:00 2000
]ertificate [Author ID1: at Wed Oct 4 17:43:00 2000
]-[Author ID1: at Wed Oct 4 17:43:00 2000
]— [Author ID1: at Wed Oct 4 17:43:00 2000
]I[Author ID1: at Wed Oct 4 17:43:00 2000
]Identifying I[Author ID1: at Wed Oct 4 17:43:00 2000
]Information). Należy wówczas [Author ID1: at Wed Oct 4 17:43:00 2000
]W[Author ID1: at Wed Oct 4 17:43:00 2000
]w[Author ID1: at Wed Oct 4 17:43:00 2000
]ypełnić[Author ID1: at Wed Oct 4 17:43:00 2000
]j wtedy[Author ID1: at Wed Oct 4 17:43:00 2000
] formularz w trybie online i nacisnąć[Author ID1: at Wed Oct 4 17:43:00 2000
]śnij[Author ID1: at Wed Oct 4 17:43:00 2000
] przycisk Dalej [Author ID1: at Wed Oct 4 17:43:00 2000
](Next)[Author ID1: at Wed Oct 4 17:43:00 2000
]. W przypadku połączenia z jednostką certyfikującą przedsiębiorstwa (enterprise CA) dane zostaną pobrane z Active Directory i pojawi się monit o wysłanie żądania.
Nacisnąć [Author ID1: at Wed Oct 4 17:44:00 2000
]śnij [Author ID1: at Wed Oct 4 17:44:00 2000
]przycisk Wyślij (S[Author ID1: at Wed Oct 4 17:44:00 2000
]Submit). Na podstawie podanych informacji program wygeneruje parę kluczy prywatnych i żądanie certyfikatu oraz wyśle żądanie do jednostki certyfikującej (CA)[Author ID1: at Wed Oct 4 17:44:00 2000
].
Jeśli jednostka certyfikująca (CA) [Author ID1: at Wed Oct 4 17:44:00 2000
]jest skonfigurowana w ten sposób, że zatwierdza żądania automatycznie, zostanie wydany nowy certyfikat. W tym przypadku należy [Author ID1: at Wed Oct 4 17:44:00 2000
]klikn[Author ID2: at Wed Oct 4 20:11:00 2000
]ij[Author ID1: at Wed Oct 4 17:44:00 2000
] [Author ID2: at Wed Oct 4 20:11:00 2000
]zaznaczyć[Author ID1: at Wed Oct 4 20:11:00 2000
] [Author ID2: at Wed Oct 4 20:11:00 2000
]połączenie (link) Instaluj ten certyfikat (I[Author ID1: at Wed Oct 4 17:44:00 2000
]Install this certificate) i zostanie on zainstalowany. Jeśli jednostka certyfikująca (CA) [Author ID1: at Wed Oct 4 17:44:00 2000
]wymaga przed wydaniem certyfikatu zatwierdzenia przez administratora, pojawi się okno Certyfikat Oczekujący (CC[Author ID1: at Wed Oct 4 17:44:00 2000
]ertificate PP[Author ID1: at Wed Oct 4 17:45:00 2000
]ending). Teraz należy przejść do następnej procedury.
Zakończenie obsługi żądań oczekujących
Procedura ta pozwala na zakończenie obsługi żądania certyfikatu, które wymaga zatwierdzenia przez administratora. Należy zwrócić uwagę, że poniższą procedurę wykonuje się tylko wtedy, gdy jednostka certyfikująca została skonfigurowana w ten sposób, że przed wydaniem certyfikatu wymagane jest zatwierdzenie przez administratora oraz po pojawieniu się komunikatu o certyfikacie oczekującym (C[Author ID1: at Wed Oct 4 17:45:00 2000
]c[Author ID1: at Wed Oct 4 17:45:00 2000
]ertificate P[Author ID1: at Wed Oct 4 17:45:00 2000
]p[Author ID1: at Wed Oct 4 17:45:00 2000
]ending), kończącym procedurę opisaną powyżej.
Uruchom przeglądarkę i połącz się ze stroną o adresie http://ServerName/CertSrv. Pojawi się ekran powitalny Usługi Certyfikatów Firmy Microsoft [Author ID1: at Wed Oct 4 17:46:00 2000
]([Author ID1: at Wed Oct 4 17:46:00 2000
]. [Author ID1: at Wed Oct 4 17:46:00 2000
]Microsoft Certificate Services). [Author ID1: at Wed Oct 4 17:45:00 2000
]Zaznacz opcję Sprawdzenie Certyfikatów Oczekujących (C[Author ID1: at Wed Oct 4 17:46:00 2000
]Check On a Pending Certificate) i naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 17:46:00 2000
](Next)[Author ID1: at Wed Oct 4 17:46:00 2000
].
W polu listy pojawią się zatwierdzone żądania certyfikatów. Wybierz jedno i naciśnij przycisk Dalej (N[Author ID1: at Wed Oct 4 17:46:00 2000
]Next).
Kliknij łącze (link) Instalowanie niniejszego certyfikatu (I[Author ID1: at Wed Oct 4 17:46:00 2000
]Install this certificate).
Certyfikat został zainstalowany. Aby zamknąć okno z komunikatem potwierdzającym,[Author ID1: at Wed Oct 4 17:46:00 2000 ] naciśnij przycisk OK.
Instalowanie certyfikatu uzyskanego od komercyjnej jednostki certyfikującej
Zamiast korzystania z Serwera Certyfikatów (CC[Author ID1: at Wed Oct 4 17:46:00 2000
]ertificate SS[Author ID1: at Wed Oct 4 17:46:00 2000
]erver) firmy Microsoft można podjąć decyzję o zainstalowaniu certyfikatu uzyskanego od komercyjnej jednostki certyfikującej (commercial CA), takiej jak VeriSign. Można to zrobić, jeśli w domenie nie ma zainstalowanego serwera jednostki certyfikującej (CA server) lub jeśli istnieje jednostka certyfikująca przedsiębiorstwa (enterprise CA),[Author ID1: at Wed Oct 4 17:46:00 2000
] a administrator chce zainstalować certyfikat autonomicznej jednostki certyfikującej (standalone CA), aby można było bezpośrednio przypisać certyfikat do konta użytkownika.
OSTRZEŻENIE! Zależnie od wybranej jednostki certyfikującej zamieszczona poniżej procedura może ulegać niewielkim modyfikacjom. Zazwyczaj[Author ID1: at Wed Oct 4 17:47:00 2000
]wykle [Author ID1: at Wed Oct 4 17:47:00 2000
] [Author ID1: at Wed Oct 4 17:47:00 2000
]strony internetowe komercyjnej jednostki certyfikującej (commercial CA) zawierają informacje pomocnicze dotyczące instalowania certyfikatów.
Poniżej zamieszczono procedurę wysyłania żądań do komercyjnej jednostki certyfikującej oraz instalowania otrzymanych certyfikatów:
Połącz się ze stroną sieci Web komercyjnej jednostki certyfikującej (CA), np.[Author ID1: at Wed Oct 4 17:48:00 2000
](na przykład[Author ID1: at Wed Oct 4 17:48:00 2000
] www.verisign.com)[Author ID1: at Wed Oct 4 17:48:00 2000
].
Naciśnij przycisk służący do uzyskania certyfikatu lub identyfikatora cyfrowego (digital ID). Będzie na nim napis Certyfikaty Indywidualne ( [Author ID1: at Wed Oct 4 17:33:00 2000
]([Author ID1: at Wed Oct 4 17:33:00 2000
]„I[Author ID1: at Wed Oct 4 17:48:00 2000
]Individual C[Author ID1: at Wed Oct 4 17:48:00 2000
]Certificates”[Author ID1: at Wed Oct 4 17:48:00 2000
]).
Jeśli znajdujesz się w Stanach Zjednoczonych możesz przygotować żądanie certyfikatu. W przeciwnym przypadku[Author ID1: at Wed Oct 4 17:48:00 2000
]razie[Author ID1: at Wed Oct 4 17:48:00 2000
], aby uzyskać dostęp do usługodawcy, wybierz [Author ID1: at Wed Oct 4 20:08:00 2000
]na stronie sieci Web kliknij [Author ID1: at Wed Oct 4 17:49:00 2000
]łącze Międzynarodowy (II[Author ID1: at Wed Oct 4 17:49:00 2000
]nternational). Zgodnie z ograniczeniami nałożonymi przez rząd Stanów Zjednoczonych certyfikaty uzyskane od usługodawców międzynarodowych mogą mieć ograniczoną siłę szyfrowania (encryption strength). [Author ID1: at Wed Oct 4 17:49:00 2000
]
Uwaga: Niektórzy dostawcy komercyjni proszą o wybranie lokalizacji z listy rozwijalnej zamiast klikania [Author ID1: at Wed Oct 4 17:49:00 2000
]włączania [Author ID1: at Wed Oct 4 17:49:00 2000
]połączenia M[Author ID1: at Wed Oct 4 17:49:00 2000
]m[Author ID1: at Wed Oct 4 17:49:00 2000
]iędzynarodowego[Author ID1: at Wed Oct 4 17:49:00 2000
]y[Author ID1: at Wed Oct 4 17:49:00 2000
] (International).
Kliknij [Author ID2: at Wed Oct 4 20:08:00 2000
]Zaznacz[Author ID1: at Wed Oct 4 20:08:00 2000
] [Author ID2: at Wed Oct 4 20:08:00 2000
]połączenie Certyfikaty Osobiste (PP[Author ID1: at Wed Oct 4 17:49:00 2000
]ersonal CC[Author ID1: at Wed Oct 4 17:49:00 2000
]ertificates).
Pojawi się informacja o tym, że żądasz dokumentu zabezpieczonego. Naciśnij przycisk Kontynuuj (C[Author ID1: at Wed Oct 4 17:50:00 2000
]Continue).
Wypełnij Formularz Rejestrowania (Enrollment Form), przeczytaj umowę,[Author ID1: at Wed Oct 4 17:50:00 2000
] a potem naciśnij Akceptuj (AA[Author ID1: at Wed Oct 4 17:50:00 2000
]ccept).
Aby potwierdzić adres poczty elektronicznej,[Author ID1: at Wed Oct 4 17:50:00 2000 ] naciśnij przycisk OK.
Wprowadź hasło,[Author ID1: at Wed Oct 4 17:50:00 2000
] a następnie naciśnij przycisk [Author ID1: at Wed Oct 4 17:50:00 2000
]OK.
Sprawdź swoją pocztę elektroniczną. Skopiuj swój numer PIN (Personal identification number)[Author ID1: at Wed Oct 4 17:50:00 2000
].
Kliknij łącze (link) podane w wiadomości e-mail. Zazwyczaj[Author ID1: at Wed Oct 4 17:50:00 2000
]wykle[Author ID1: at Wed Oct 4 17:50:00 2000
] nastą[Author ID1: at Wed Oct 4 17:50:00 2000
]ę[Author ID1: at Wed Oct 4 17:50:00 2000
]pi[Author ID1: at Wed Oct 4 17:50:00 2000
]uje[Author ID1: at Wed Oct 4 17:50:00 2000
] powrót do strony z monitem o sprawdzenie poczty elektronicznej. Kliknij [Author ID2: at Wed Oct 4 20:08:00 2000
]Wybierz [Author ID1: at Wed Oct 4 20:08:00 2000
]łącze, które umożliwi wprowadzenie twojego numeru PIN.
Wstaw swój numer [Author ID1: at Wed Oct 4 17:51:00 2000
]PIN w wyświetlone pole i n[Author ID1: at Wed Oct 4 17:51:00 2000
]. N[Author ID1: at Wed Oct 4 17:51:00 2000
]aciśnij przycisk [Author ID1: at Wed Oct 4 17:51:00 2000
]OK.
Kliknij Zapisz jako (S[Author ID1: at Wed Oct 4 17:51:00 2000
]Save a[Author ID1: at Wed Oct 4 17:51:00 2000
]A[Author ID1: at Wed Oct 4 17:51:00 2000
]s). Możesz zapisać dany certyfikat na dyskietce, aby mieć kopię zapasową, ale przechowuj ją w miejscu zabezpieczonym.
Aby zainstalować certyfikat,[Author ID1: at Wed Oct 4 17:51:00 2000
] naciśnij [Author ID1: at Wed Oct 4 17:51:00 2000
]potwierdź [Author ID1: at Wed Oct 4 17:51:00 2000
]przyciskiem[Author ID1: at Wed Oct 4 17:51:00 2000
] OK.
Eksportowanie certyfikatu
Następnym krokiem po zainstalowaniu certyfikatu użytkownika jest jego wyeksportowanie. Poniżej opisano tę [Author ID1: at Wed Oct 4 17:51:00 2000
]procedurę eksportowania certyfikatu użytkownika[Author ID1: at Wed Oct 4 17:51:00 2000
]:
Z menu Start wybierz pozycję Uruchom (RR[Author ID1: at Wed Oct 4 17:51:00 2000
]un) i wpisz mmc.
Z listy rozwijalnej Konsola (C[Author ID1: at Wed Oct 4 17:52:00 2000
]Console) wybierz pozycję Dodaj/Usuń przystawkę (AA[Author ID1: at Wed Oct 4 17:52:00 2000
]dd/RR[Author ID1: at Wed Oct 4 17:52:00 2000
]emove S[Author ID1: at Wed Oct 4 17:52:00 2000
]s[Author ID1: at Wed Oct 4 17:52:00 2000
]nap-in).
Naciśnij przycisk Dodaj (A[Author ID1: at Wed Oct 4 17:52:00 2000
]Add).
Zaznacz Certyfikaty (CC[Author ID1: at Wed Oct 4 17:52:00 2000
]ertificates),[Author ID1: at Wed Oct 4 17:52:00 2000
] a następnie naciśnij Dodaj [Author ID1: at Wed Oct 4 17:52:00 2000
](Add)[Author ID1: at Wed Oct 4 17:52:00 2000
].
Wybierz Moje Konto Użytkownika (M[Author ID1: at Wed Oct 4 17:52:00 2000
]My User Account),[Author ID1: at Wed Oct 4 17:52:00 2000
] a potem naciśnij przycisk Zakończ (F[Author ID1: at Wed Oct 4 17:52:00 2000
]Finish).
Aby zamknąć okno dialogowe Dodawanie Przystawki Autonomicznej (AA[Author ID1: at Wed Oct 4 17:52:00 2000
]dd SS[Author ID1: at Wed Oct 4 17:52:00 2000
]tandalone SS[Author ID1: at Wed Oct 4 17:52:00 2000
]nap-in),[Author ID1: at Wed Oct 4 17:52:00 2000
] naciśnij przycisk Zamknij (C[Author ID1: at Wed Oct 4 17:52:00 2000
]Close).
Aby zamknąć okno dialogowe Dodaj/Usuń przystawkę [Author ID1: at Wed Oct 4 17:53:00 2000
](Add/Remove Snap-in) n[Author ID1: at Wed Oct 4 17:53:00 2000
], n[Author ID1: at Wed Oct 4 17:53:00 2000
]aciśnij przycisk OK.
Wybierz pozycję Certyfikaty [Author ID1: at Wed Oct 4 17:53:00 2000
]-[Author ID1: at Wed Oct 4 17:53:00 2000
]— [Author ID1: at Wed Oct 4 17:53:00 2000
]Bieżący Użytkownik (C[Author ID1: at Wed Oct 4 17:53:00 2000
]Certificates [Author ID1: at Wed Oct 4 17:53:00 2000
]-[Author ID1: at Wed Oct 4 17:53:00 2000
]— [Author ID1: at Wed Oct 4 17:53:00 2000
]C[Author ID1: at Wed Oct 4 17:53:00 2000
]Current UU[Author ID1: at Wed Oct 4 17:53:00 2000
]ser).
Wybierz pozycję Widok|Opcje (V[Author ID1: at Wed Oct 4 17:53:00 2000
]View\OO[Author ID1: at Wed Oct 4 17:53:00 2000
]ptions) i upewnij się, czy wybrano opcję Logiczne Magazyny Certyfikatów (LL[Author ID1: at Wed Oct 4 17:53:00 2000
]ogical Certificate Stores), jak przedstawiono to na rysunku 8.1. Naciśnij przycisk OK.
Rozwiń gałąź Certyfikaty [Author ID1: at Wed Oct 4 17:54:00 2000
]-[Author ID1: at Wed Oct 4 17:54:00 2000
]— [Author ID1: at Wed Oct 4 17:54:00 2000
]Bieżący Użytkownik|Osobiste (C[Author ID1: at Wed Oct 4 17:54:00 2000
]Certificates [Author ID1: at Wed Oct 4 17:54:00 2000
]-[Author ID1: at Wed Oct 4 17:54:00 2000
]— [Author ID1: at Wed Oct 4 17:54:00 2000
]C[Author ID1: at Wed Oct 4 17:54:00 2000
]Current CU[Author ID1: at Wed Oct 4 17:54:00 2000
]ser\P[Author ID1: at Wed Oct 4 17:54:00 2000
]Personal).
Otwórz kontener Certyfikaty (C[Author ID1: at Wed Oct 4 17:54:00 2000
]Certificates).
Prawym klawiszem [Author ID1: at Wed Oct 4 17:54:00 2000
]przyciskiem [Author ID1: at Wed Oct 4 17:54:00 2000
]myszki kliknij [Author ID2: at Wed Oct 4 20:09:00 2000
]zaznacz[Author ID1: at Wed Oct 4 20:09:00 2000
] [Author ID2: at Wed Oct 4 20:09:00 2000
]certyfikat wydany dla twojego konta. Nie wybieraj certyfikatu odzyskiwania plików (file recovery certificate).
Z menu wybierz pozycję Wszystkie zadania (A[Author ID1: at Wed Oct 4 17:54:00 2000
]All t[Author ID1: at Wed Oct 4 17:54:00 2000
]T[Author ID1: at Wed Oct 4 17:54:00 2000
]asks), jak przedstawiono to na rysunku 8.2. Kliknij opcję Eksportuj (E[Author ID1: at Wed Oct 4 17:54:00 2000
]Export).
Uruchomiony zostanie Kreator Eksportu Certyfikatów (EE[Author ID1: at Wed Oct 4 17:55:00 2000
]xport C[Author ID1: at Wed Oct 4 17:55:00 2000
]Certificate WW[Author ID1: at Wed Oct 4 17:55:00 2000
]izard). Naciśnij przycisk Dalej (NN[Author ID1: at Wed Oct 4 17:55:00 2000
]ext).
Wybierz opcję Nie eksportuj klucza prywatnego (NN[Author ID1: at Wed Oct 4 17:55:00 2000
]o, do not export the private key), a następnie naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 17:55:00 2000
](Next)[Author ID1: at Wed Oct 4 17:55:00 2000
].
Uwaga: Jest to opcja bardziej bezpieczna. Im mniej kopii twojego klucza prywatnego,[Author ID1: at Wed Oct 4 17:55:00 2000 ] tym lepiej. Nie oznacza to jednak, że wszystkie procedury opisane w niniejszym rozdziale muszą być uruchamiane z komputera, na którym zainstalowano twój certyfikat.
Rysunek 8.1.[Author ID1: at Wed Oct 4 17:55:00 2000
] Okno dialogowe Opcje Widoku (V[Author ID0: at Thu Nov 30 00:00:00 1899
]View OO[Author ID0: at Thu Nov 30 00:00:00 1899
]ptions).[Author ID0: at Thu Nov 30 00:00:00 1899
]
Rysunek 8.2.[Author ID1: at Wed Oct 4 17:55:00 2000
] Eksportowanie certyfikatu.[Author ID0: at Thu Nov 30 00:00:00 1899
]
Wybierz opcję Zaszyfrowa[Author ID1: at Wed Oct 4 17:56:00 2000
]ne Base64 X.509[Author ID1: at Wed Oct 4 17:56:00 2000
] [Author ID1: at Wed Oct 4 17:56:00 2000
]B[Author ID1: at Wed Oct 4 17:56:00 2000
]([Author ID1: at Wed Oct 4 17:56:00 2000
]Base64 Encode X.509 (Zaszyfrowane Base64 X.509[Author ID1: at Wed Oct 4 17:56:00 2000
]). Naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 17:56:00 2000
](Next)[Author ID1: at Wed Oct 4 17:56:00 2000
].
Wpisz nazwę pliku, np.[Author ID1: at Wed Oct 4 17:56:00 2000
] (na przykład[Author ID1: at Wed Oct 4 17:56:00 2000
] my-base64-cert). N[Author ID1: at Wed Oct 4 17:56:00 2000
] i n[Author ID1: at Wed Oct 4 17:56:00 2000
]aciśnij przycisk Dalej [Author ID1: at Wed Oct 4 17:57:00 2000
](Next)[Author ID1: at Wed Oct 4 17:57:00 2000
].
Sprawdź, czy wszystkie ustawienia są prawidłowe, po czym n[Author ID1: at Wed Oct 4 17:57:00 2000
]. N[Author ID1: at Wed Oct 4 17:57:00 2000
]aciśnij przycisk [Author ID1: at Wed Oct 4 17:57:00 2000
]Zakończ (F[Author ID1: at Wed Oct 4 17:57:00 2000
]Finish).
Aby zamknąć okno dialogowe,[Author ID1: at Wed Oct 4 17:57:00 2000 ] naciśnij przycisk OK. Zamknij moduł dodatkowy (snap-in) konsoli MMC.
Instalowanie certyfikatu jednostki certyfikującej
Jeśli stosowany jest certyfikat uzyskany od jednostki certyfikującej przedsiębiorstwa (enterprise CA) w danej domenie można pominąć tę[Author ID1: at Wed Oct 4 17:58:00 2000
]ą[Author ID1: at Wed Oct 4 17:58:00 2000
] procedurę, ponieważ certyfikat główny (root certificate) jest zaufany w danym systemie.
Jeśli korzysta się z innej jednostki certyfikującej (CA) konieczne jest zainstalowanie głównej jednostki certyfikującej (root CA) i wszystkich pośredniczących certyfikatów głównych (intermediate roots) w magazynie (store) komputera, który jest serwerem sieci Web. Jest to konieczne[Author ID1: at Wed Oct 4 17:58:00 2000
], aby usługa Internet Information Server (IIS) mogła zweryfikować certyfikat klienta (client certificate). W rozdziale 7.[Author ID1: at Wed Oct 4 17:58:00 2000
] opisano procedurę konfigurowania domeny poprzez edytowanie obiektu zasad grupy (GPO) domyślne zasady domeny (d[Author ID1: at Wed Oct 4 17:58:00 2000
]D[Author ID0: at Thu Nov 30 00:00:00 1899
]efault d[Author ID1: at Wed Oct 4 17:58:00 2000
]D[Author ID0: at Thu Nov 30 00:00:00 1899
]omain p[Author ID1: at Wed Oct 4 17:58:00 2000
]P[Author ID0: at Thu Nov 30 00:00:00 1899
]olicy) w ten sposób, by ufać zewnętrznej jednostce certyfikującej (CA). Poniżej opisano alternatywny sposób instalowania głównej jednostki certyfikującej (root CA[Author ID1: at Wed Oct 4 17:58:00 2000
])[Author ID1: at Wed Oct 4 17:59:00 2000
], rozpoczynając od certyfikatu zewnętrznej jednostki certyfikującej (CA)[Author ID1: at Wed Oct 4 17:59:00 2000
], który może być zapisany, np.[Author ID1: at Wed Oct 4 17:59:00 2000
] na przykład[Author ID1: at Wed Oct 4 17:59:00 2000
] na dyskietce.
Rozwiązania pokrewne [Author ID1: at Wed Oct 4 17:59:00 2000
]: [Author ID1: at Wed Oct 4 17:59:00 2000
]zobacz na stronie:
Konfigurowanie relacji zaufania pomiędzy domeną a zewnętrzną jednostką certyfikującą (e[Author ID1: at Wed Oct 4 17:59:00 2000
]E[Author ID1: at Wed Oct 4 17:59:00 2000
]xternal CA)
Oto procedura instalowania certyfikatu jednostki certyfikującej (CA certificate):
Zaloguj się jako administrator.
Wskazówka: Jeśli korzysta się z certyfikatu uzyskanego od jednostki certyfikującej (CA) [Author ID1: at Wed Oct 4 17:59:00 2000
]w danej domenie i wyeksportuje się go bez klucza prywatnego, jak opisano to w części „Eksportowanie certyfikatu”, konieczne jest wykonanie odpowiedniej procedury odwzorowania (mapping) na komputerze, na którym zainstalowano ten certyfikat. W sytuacjach, w których instaluje się certyfikat uzyskany od zewnętrznej jednostki certyfikującej (CA) [Author ID1: at Wed Oct 4 18:00:00 2000
]i zapisany, np.[Author ID1: at Wed Oct 4 18:00:00 2000
] na przykład[Author ID1: at Wed Oct 4 18:00:00 2000
] na dyskietce, można zainstalować go na dowolnie wybranym komputerze. Procedury opisane w dalszej części niniejszego rozdziału będą działały [Author ID1: at Wed Oct 4 18:00:00 2000
]ć [Author ID1: at Wed Oct 4 18:00:00 2000
]szybciej,[Author ID1: at Wed Oct 4 18:00:00 2000
] jeśli administrator zaloguje się do serwera sieci Web.
OSTRZEŻENIE! W niniejszym rozdziale zamiast określenia „komputer, na którym działa usługa Internet Information Server[Author ID1: at Wed Oct 4 18:01:00 2000
] ([Author ID1: at Wed Oct 4 18:01:00 2000
]IIS — [Author ID1: at Wed Oct 4 18:01:00 2000
]([Author ID1: at Wed Oct 4 18:01:00 2000
]IIS computer)” używane jest określenie „serwer sieci Web (Web server)”. Jest to ważne rozróżnienie. Na komputerze, który jest serwerem sieci Web (Web server) [Author ID1: at Wed Oct 4 18:00:00 2000
]może oczywiście działać usługa Internet Information Server ([Author ID1: at Wed Oct 4 18:01:00 2000
]IIS)[Author ID1: at Wed Oct 4 18:01:00 2000
], ale w sieci mogą znajdować się inne komputery, na których ona [Author ID1: at Wed Oct 4 18:01:00 2000
]działa usługa IIS[Author ID1: at Wed Oct 4 18:01:00 2000
], a [Author ID1: at Wed Oct 4 18:02:00 2000
]które zapewniają usługi intranetowe. Odwzorowanie (Mapping) certyfikatów wykonuje się na komputerze z zainstalowaną usługą IIS, który łączy się z siecią Web, [Author ID1: at Wed Oct 4 18:02:00 2000
]-[Author ID1: at Wed Oct 4 18:02:00 2000
]tzn. na [Author ID1: at Wed Oct 4 18:02:00 2000
]serwerze sieci Web.
Uruchom Eksploratora Windows (Windows EE[Author ID1: at Wed Oct 4 18:02:00 2000
]xplorer). Kliknij dwukrotnie plik certyfikatu jednostki certyfikującej (CA). Uruchomiony zostanie Kreator Importu Certyfikatu (C[Author ID1: at Wed Oct 4 18:02:00 2000
]Certificate II[Author ID1: at Wed Oct 4 18:02:00 2000
]mport WW[Author ID1: at Wed Oct 4 18:02:00 2000
]izard). Naciśnij przycisk Dalej (N[Author ID1: at Wed Oct 4 18:02:00 2000
]Next).
W oknie dialogowym Import Pliku (FF[Author ID1: at Wed Oct 4 18:02:00 2000
]ile To I[Author ID1: at Wed Oct 4 18:02:00 2000
]Import) pojawi się nazwa wybranego pliku. Jeśli wybrałeś zły plik, można to jeszcze zmienić. Następnie naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 18:03:00 2000
](Next)[Author ID1: at Wed Oct 4 18:03:00 2000
].
Wprowadź hasło i[Author ID1: at Wed Oct 4 18:03:00 2000
],[Author ID1: at Wed Oct 4 18:03:00 2000
] zaznacz opcję Oznacz klucz prywatny jako możliwy do eksportu (M[Author ID1: at Wed Oct 4 18:03:00 2000
]Mark the private key as exportable), a następnie naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 18:03:00 2000
](Next)[Author ID1: at Wed Oct 4 18:03:00 2000
].
Wybierz opcję Umieść wszystkie certyfikaty w następującym magazynie (PP[Author ID1: at Wed Oct 4 18:03:00 2000
]lace all certificates into the following store). Naciśnij przycisk Przeglądaj (B[Author ID1: at Wed Oct 4 18:03:00 2000
]Browse). Pojawi się okno dialogowe Wybieranie Magazynu Certyfikatów (SS[Author ID1: at Wed Oct 4 18:03:00 2000
]elect C[Author ID1: at Wed Oct 4 18:03:00 2000
]Certificate SS[Author ID1: at Wed Oct 4 18:03:00 2000
]tore), które przedstawiono na rysunku 8.3.
Wskazówka: W przypadku wybrania opcji Automatycznie wybierz magazyn certyfikatów na podstawie typu certyfikatu (A[Author ID1: at Wed Oct 4 18:03:00 2000
]Automatically select the certificate store based on the type of certificate) certyfikaty jednostek certyfikujących (CAs[Author ID1: at Wed Oct 4 18:03:00 2000
]) są umieszczane w magazynie użytkownika (user store) zamiast w magazynie komputera (machine store). Jeśli tak się stanie,[Author ID1: at Wed Oct 4 18:04:00 2000
] należy użyć przystawki (snap-in) Certyfikaty (C[Author ID1: at Wed Oct 4 18:04:00 2000
]Certificates) konsoli MMC i[Author ID1: at Wed Oct 4 18:04:00 2000
]oraz[Author ID1: at Wed Oct 4 18:04:00 2000
] przenieść certyfikat główny (root certificate) i wszystkie pośredniczące certyfikaty główne (intermediate roots) z magazynu (store) certyfikatów Osobiste (PP[Author ID1: at Wed Oct 4 18:04:00 2000
]ersonal) do magazynu (store) [Author ID1: at Wed Oct 4 18:04:00 2000
]certyfikatów Zaufane Główne Jednostki Certyfikujące (T[Author ID1: at Wed Oct 4 18:04:00 2000
]Trusted R[Author ID1: at Wed Oct 4 18:04:00 2000
]Root CC[Author ID1: at Wed Oct 4 18:04:00 2000
]ertification AA[Author ID1: at Wed Oct 4 18:04:00 2000
]uthority).
Zaznacz opcję Pokaż Magazyny Fizyczne (SS[Author ID1: at Wed Oct 4 18:04:00 2000
]how Physical Stores).
Rozwiń gałąź Zaufane Główne Jednostki Certyfikujące [Author ID1: at Wed Oct 4 18:04:00 2000
](Trusted Root Certification Authorities)[Author ID1: at Wed Oct 4 18:04:00 2000
].
Wybierz pozycję[Author ID1: at Thu Oct 5 07:28:00 2000
]e[Author ID1: at Thu Oct 5 07:28:00 2000
] Komputer Lokalny (LL[Author ID1: at Wed Oct 4 18:04:00 2000
]ocal Computer),[Author ID1: at Wed Oct 4 18:04:00 2000
] a następnie naciśnij przycisk OK.
Nastąpi powrót do strony Magazyn Certyfikatów (CC[Author ID1: at Wed Oct 4 18:05:00 2000
]ertificate SS[Author ID1: at Wed Oct 4 18:05:00 2000
]tore) Kreatora Importu Certyfikatów (CC[Author ID1: at Wed Oct 4 18:05:00 2000
]ertificate I[Author ID1: at Wed Oct 4 18:05:00 2000
]Import WW[Author ID1: at Wed Oct 4 18:05:00 2000
]izard). Naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 18:05:00 2000
](Next)[Author ID1: at Wed Oct 4 18:05:00 2000
].
Sprawdź podane ustawienia,[Author ID1: at Wed Oct 4 18:05:00 2000
] a potem naciśnij przycisk [Author ID1: at Wed Oct 4 18:05:00 2000
]Zakończ (FF[Author ID1: at Wed Oct 4 18:05:00 2000
]inish).
Aby zamknąć okno dialogowe,[Author ID1: at Wed Oct 4 18:05:00 2000
] naciśnij przycisk OK. Zamknij Eksploratora systemu Windows (Windows Explorer[Author ID1: at Wed Oct 4 18:05:00 2000
]Explorer[Author ID1: at Wed Oct 4 18:05:00 2000
]).
Uwaga: Niektóre certyfikaty uzyskane od niezależnych jednostek certyfikujących (third-party CA) będą w strukturze hierarchicznej, w której główna jednostka certyfikująca (root CA) i wiele pośredniczących (intermediate) znajdują się powyżej certyfikatu użytkownika.
Rysunek 8.3.[Author ID1: at Wed Oct 4 18:05:00 2000
] Wybór magazynu (store) certyfikatów.[Author ID0: at Thu Nov 30 00:00:00 1899
]
Konfigurowanie Active Directory,[Author ID1: at Wed Oct 4 18:36:00 2000
] aby można było przypisywać nazwy główne użytkownika (User Principal Name [Author ID1: at Wed Oct 4 18:36:00 2000
]-[Author ID1: at Wed Oct 4 18:36:00 2000
]— [Author ID1: at Wed Oct 4 18:36:00 2000
]UPN)
Kiedy usługi katalogowe Active Directory wykonują Odwzorowanie (Mapping), usługa Internet Information Server (IIS) otrzymuje certyfikat od użytkownika i przekazuje go do usług katalogowych Active Directory, który[Author ID1: at Wed Oct 4 18:37:00 2000
]e[Author ID1: at Wed Oct 4 18:37:00 2000
] przypisuje[Author ID1: at Wed Oct 4 18:37:00 2000
]ą[Author ID1: at Wed Oct 4 18:37:00 2000
] (maps) ten certyfikat do konta użytkownika systemu Windows 2000. Usługi katalogowe Active Directory można skonfigurować w ten sposób, by przyporządkowywane były nazwy główne użytkowników (User Principal Name mapping) lub,[Author ID1: at Wed Oct 4 18:37:00 2000
] aby przyporządkowanie wykonywane było przez administratora w sposób jawny. Poniżej opisano przyporządkowywanie nazwy głównej użytkownika (UPN mapping)[Author ID1: at Wed Oct 4 18:38:00 2000
], które odwzorowuje certyfikat uzyskany od jednostki certyfikującej przedsiębiorstwa (enterprise CA).
Rozwiązania pokrewne [Author ID1: at Wed Oct 4 18:38:00 2000
]zobacz na stronie:
Konfigurowanie jednostki certyfikującej (certification Authority)[Author ID1: at Wed Oct 4 18:38:00 2000
]
Uwaga: Większość procedur zamieszczonych w pozostałej części niniejszego rozdziału wykluczają[Author ID1: at Wed Oct 4 18:38:00 2000
] się wzajemnie. Nie można jednocześnie skonfigurować odwzorowywania przez usługi katalogowe Active Directory i usługę internet Information Server (IIS). Nie można także skonfigurować usług katalogowych Active Directory,[Author ID1: at Wed Oct 4 18:38:00 2000
] aby jednocześnie wykonywane było przyporządkowanie nazwy głównej użytkownika (UPN mapping) i przyporządkowanie jawne (explicit mapping).
Z menu Start|Programy|Narzędzia administracyjne (S[Author ID1: at Wed Oct 4 18:38:00 2000
]Start\PP[Author ID1: at Wed Oct 4 18:38:00 2000
]rograms\A[Author ID1: at Wed Oct 4 18:39:00 2000
]Administrative T[Author ID1: at Wed Oct 4 18:39:00 2000
]t[Author ID1: at Wed Oct 4 18:39:00 2000
]ools) wybierz pozycję Menedżer Usług Internetowych (Internet S[Author ID1: at Wed Oct 4 18:39:00 2000
]Services MM[Author ID1: at Wed Oct 4 18:39:00 2000
]anager). Uruchomiona zostanie przystawka (snap-in) IIS konsoli MMC. Prawym klawiszem [Author ID1: at Wed Oct 4 18:39:00 2000
]przyciskiem [Author ID1: at Wed Oct 4 18:39:00 2000
]myszki kliknij [Author ID2: at Wed Oct 4 20:09:00 2000
]wyb[Author ID1: at Wed Oct 4 20:09:00 2000
]ierz[Author ID1: at Wed Oct 4 20:09:00 2000
] [Author ID2: at Wed Oct 4 20:09:00 2000
]nazwę serwera sieci Web (Web server) i z menu wybierz opcję Właściwości (P[Author ID1: at Wed Oct 4 18:40:00 2000
]Properties).
Kliknij przycisk Edytuj (EE[Author ID1: at Wed Oct 4 18:40:00 2000
]dit) znajdujący się w części okna Właściwości Główne (M[Author ID1: at Wed Oct 4 18:40:00 2000
]Master PP[Author ID1: at Wed Oct 4 18:40:00 2000
]roperties). Pojawi się okno Usługa WWW Właściwości Główne (WWW Service M[Author ID1: at Wed Oct 4 18:40:00 2000
]Master PP[Author ID1: at Wed Oct 4 18:40:00 2000
]roperties), z którego [Author ID1: at Wed Oct 4 18:41:00 2000
]. W[Author ID1: at Wed Oct 4 18:41:00 2000
]w[Author ID1: at Wed Oct 4 18:41:00 2000
]ybierz zakładkę Zabezpieczenia Usługi Active Directory (D[Author ID1: at Wed Oct 4 18:41:00 2000
]Directory SS[Author ID1: at Wed Oct 4 18:41:00 2000
]ecurity).
Zaznacz opcję Włącz przyporządkowywanie za pomocą usług katalogowych systemu Windows (EE[Author ID1: at Wed Oct 4 18:41:00 2000
]nable the Windows directory service mapper). Wtedy usługa IIS korzysta z odwzorowania przez usługi katalogowe Active Directory (Active Directory mapping). Jeśli opcja ta nie jest wybrana, przyporządkowanie wykonywane jest przez usługę IIS (IIS mapping). Powinien pojawić się ekran podobny do przedstawionego na rysunku 8.4.
Rysunek 8.4.[Author ID1: at Wed Oct 4 18:41:00 2000
] Uaktywnienie odwzorowywania przez Active Directory (Active Directory mapping).[Author ID0: at Thu Nov 30 00:00:00 1899
]
Naciśnij przycisk OK. Nastąpi powrót do okna Serwer Sieci Web Właściwości (Web SS[Author ID1: at Wed Oct 4 18:42:00 2000
]erver PP[Author ID1: at Wed Oct 4 18:42:00 2000
]roperties). Aby powrócić do przystawki (snap-in) IIS konsoli MMC [Author ID1: at Wed Oct 4 18:42:00 2000
], [Author ID1: at Wed Oct 4 18:42:00 2000
]naciśnij przycisk OK.
Instalowanie certyfikatu serwera sieci Web
Kolejnym krokiem jest zainstalowanie Certyfikatu Serwera Sieci Web. Po jego [Author ID1: at Wed Oct 4 18:42:00 2000
]zainstalowaniu tego certyfikatu [Author ID1: at Wed Oct 4 18:42:00 2000
]można skonfigurować protokół SSL i ustawić poziom zabezpieczeń konieczny do odwzorowywania certyfikatów.
W oknie przystawki (snap-in) [Author ID1: at Wed Oct 4 18:43:00 2000
] [Author ID1: at Wed Oct 4 18:43:00 2000
]IIS konsoli MMC rozwiń gałąź Serwer Sieci Web (Web Server),[Author ID1: at Wed Oct 4 18:43:00 2000
] a następnie prawym klawiszem [Author ID1: at Wed Oct 4 18:43:00 2000
]przyciskiem [Author ID1: at Wed Oct 4 18:43:00 2000
]myszki kliknij pozycję Domyślna Witryna Sieci Web (DD[Author ID1: at Wed Oct 4 18:43:00 2000
]efault Web S[Author ID1: at Wed Oct 4 18:43:00 2000
]Site). Z menu wybierz pozycję Właściwości (PP[Author ID1: at Wed Oct 4 18:43:00 2000
]roperties).
Wybierz zakładkę Zabezpieczenia Katalogu [Author ID1: at Wed Oct 4 18:43:00 2000
](Directory Security)[Author ID1: at Wed Oct 4 18:43:00 2000
]. Powinno pojawić się okno dialogowe podobne do przedstawionego na rysunku 8.5. Zwróć uwagę, że przycisk Edytuj [Author ID1: at Thu Oct 5 06:21:00 2000
] [Author ID1: at Wed Oct 4 18:44:00 2000
](Edit) [Author ID1: at Wed Oct 4 18:44:00 2000
]w polu Komunikacja Bezpieczna (SS[Author ID1: at Wed Oct 4 18:44:00 2000
]ecure Communications) jest nieaktywny. Pozostanie tak, dopóki nie zainstalujesz Certyfikatu Serwera Sieci Web.
Naciśnij przycisk Certyfikat Serwera (SS[Author ID1: at Wed Oct 4 18:44:00 2000
]erver CC[Author ID1: at Wed Oct 4 18:44:00 2000
]ertificate). Uruchomiony zostanie Kreator Certyfikatu Serwera Sieci Web (Web SS[Author ID1: at Wed Oct 4 18:44:00 2000
]erver C[Author ID1: at Wed Oct 4 18:44:00 2000
]Certificate WW[Author ID1: at Wed Oct 4 18:44:00 2000
]izard).
Naciśnij przycisk Dalej (N[Author ID1: at Wed Oct 4 18:44:00 2000
]Next).
Wybierz opcję Utwórz Nowy Certyfikat (C[Author ID1: at Wed Oct 4 18:44:00 2000
]Create a New Certificate). Naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 18:44:00 2000
](Next)[Author ID1: at Wed Oct 4 18:44:00 2000
].
Wybierz opcję [Author ID1: at Wed Oct 4 18:44:00 2000
]Włącz pozycję [Author ID1: at Wed Oct 4 18:44:00 2000
]Natychmiast wyślij żądanie do jednostki certyfikującej, pracującej w trybie online (S[Author ID1: at Wed Oct 4 18:44:00 2000
]Send the request immediately to an online certification authority) i n[Author ID1: at Wed Oct 4 18:45:00 2000
]. N[Author ID1: at Wed Oct 4 18:45:00 2000
]aciśnij przycisk [Author ID1: at Wed Oct 4 18:45:00 2000
]Dalej [Author ID1: at Wed Oct 4 18:45:00 2000
](Next)[Author ID1: at Wed Oct 4 18:45:00 2000
].
Rysunek 8.5.[Author ID1: at Wed Oct 4 18:45:00 2000 ] Zablokowane konfigurowanie komunikacji bezpiecznej[Author ID1: at Wed Oct 4 18:45:00 2000 ]
Wpisz nazwę nowego certyfikatu, na [Author ID1: at Wed Oct 4 18:45:00 2000
]przykład[Author ID1: at Wed Oct 4 18:45:00 2000
].[Author ID1: at Wed Oct 4 18:45:00 2000
] mapcert. Potwierdź wartości domyślne zamieszczone w oknie dialogowym. Naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 18:45:00 2000
](Next)[Author ID1: at Wed Oct 4 18:45:00 2000
].
Wpisz nazwę twojego przedsiębiorstwa i jednostki organizacyjnej. Naciśnij przycisk [Author ID1: at Wed Oct 4 18:45:00 2000
]Dalej [Author ID1: at Wed Oct 4 18:45:00 2000
](Next)[Author ID1: at Wed Oct 4 18:45:00 2000
].
W oknie przeglądarki wpisz nazwę serwera sieci Web. Może to być nazwa DNS, nazwa [Author ID1: at Wed Oct 4 18:45:00 2000
]NetBIOS lub LOCALHOST (jeśli jesteś zalogowany na serwerze sieci Web). Znów n[Author ID1: at Wed Oct 4 18:46:00 2000
]N[Author ID1: at Wed Oct 4 18:46:00 2000
]aciśnij przycisk [Author ID1: at Wed Oct 4 18:46:00 2000
]Dalej [Author ID1: at Wed Oct 4 18:46:00 2000
](Next)[Author ID1: at Wed Oct 4 18:46:00 2000
].
W oknie Dane Geograficzne (GG[Author ID1: at Wed Oct 4 18:46:00 2000
]eographical II[Author ID1: at Wed Oct 4 18:46:00 2000
]nformation) wpisz odpowiednie dane i [Author ID1: at Wed Oct 4 18:46:00 2000
]zaznacz [Author ID1: at Wed Oct 4 20:09:00 2000
]. Naciśnij przycisk[Author ID1: at Wed Oct 4 18:46:00 2000
] [Author ID2: at Wed Oct 4 20:09:00 2000
]Dalej [Author ID1: at Wed Oct 4 18:46:00 2000
](Next)[Author ID1: at Wed Oct 4 18:46:00 2000
].
Z przedstawionej listy wybierz Certyfikat Serwera Sieci Web. O ile w twojej domenie nie ma kilku jednostek certyfikujących (CAs[Author ID1: at Wed Oct 4 18:46:00 2000
]), wymieniona wyżej lista zawiera tylko jedną pozycję. Naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 18:46:00 2000
](Next)[Author ID1: at Wed Oct 4 18:46:00 2000
].
Uwaga: Jeśli lista jest pusta, oznacza to, że w danej domenie nie ma jednostki certyfikującej przedsiębiorstwa (enterprise CA). D[Author ID1: at Wed Oct 4 18:47:00 2000
], d[Author ID1: at Wed Oct 4 18:47:00 2000
]ana jednostka certyfikująca (CA) nie jest skonfigurowana,[Author ID1: at Wed Oct 4 18:47:00 2000
] aby wydawać certyfikaty serwera sieci Web lub dany użytkownik nie ma uprawnień do żądania takiego certyfikatu. W tym przypadku należy wrócić do rozdziału 7.
Powinna pojawić się strona Przesyłanie Żądania Certyfikatu (CC[Author ID1: at Wed Oct 4 18:47:00 2000
]ertificate RR[Author ID1: at Wed Oct 4 18:47:00 2000
]equest SS[Author ID1: at Wed Oct 4 18:47:00 2000
]ubmission), podobna do przedstawionej na rysunku 8.6. Naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 18:47:00 2000
](Next)[Author ID1: at Wed Oct 4 18:47:00 2000
].
Aby zakończyć działanie kreatora certyfikatu serwera sieci Web (Web Server Certificate [Author ID1: at Wed Oct 4 18:48:00 2000
]Wizard)[Author ID1: at Wed Oct 4 18:48:00 2000
],[Author ID1: at Wed Oct 4 18:48:00 2000
] kliknij Zakończ (Finish). Serwer ma teraz Certyfikat Serwera Sieci Web. Nastąpi powrót do zakładki Zabezpieczenia Katalogu (Directory Security)[Author ID1: at Wed Oct 4 18:48:00 2000
] okna Domyślna Witryna Sieci Web Właściwości (DD[Author ID1: at Wed Oct 4 18:48:00 2000
]efault Web SS[Author ID1: at Wed Oct 4 18:48:00 2000
]ite PP[Author ID1: at Wed Oct 4 18:48:00 2000
]roperties).
Rysunek 8.6.[Author ID1: at Wed Oct 4 18:48:00 2000
] Strona Przesłanie Żądania Certyfikatu (C[Author ID0: at Thu Nov 30 00:00:00 1899
]Certificate RR[Author ID0: at Thu Nov 30 00:00:00 1899
]equest S[Author ID0: at Thu Nov 30 00:00:00 1899
]Submission).[Author ID0: at Thu Nov 30 00:00:00 1899
]
Konfigurowanie protokołu Secure Sockets Layer
Po zainstalowaniu Certyfikatu Serwera Sieci Web można skonfigurować protokół Secure Sockets Layer (SSL) i j[Author ID1: at Wed Oct 4 18:52:00 2000
]. J[Author ID1: at Wed Oct 4 18:52:00 2000
]ednocześnie można [Author ID1: at Wed Oct 4 18:52:00 2000
]ustawić poziom zabezpieczeń konieczny dla odwzorowywania certyfikatów.
W oknie Domyślna Witryna Sieci Web Właściwości [Author ID1: at Wed Oct 4 18:53:00 2000
](Default Web Site Properties) [Author ID1: at Wed Oct 4 18:52:00 2000
]n[Author ID1: at Wed Oct 4 18:53:00 2000
], n[Author ID1: at Wed Oct 4 18:52:00 2000
]a stronie zakładki Zabezpieczenia Katalogu (Directory Security) [Author ID1: at Wed Oct 4 18:52:00 2000
]przycisk Edytuj (Edit) znajdujący się w polu Komunikacja Bezpieczna (S[Author ID1: at Wed Oct 4 18:53:00 2000
]Secure Communications) jest uaktywniony, co przedstawiono na rysunku 8.7. Naciśnij ten przycisk[Author ID1: at Wed Oct 4 18:53:00 2000
]go[Author ID1: at Wed Oct 4 18:53:00 2000
].
Rysunek 8.7.[Author ID1: at Wed Oct 4 18:53:00 2000
] Uaktywniony przycisk Edytuj (EE[Author ID0: at Thu Nov 30 00:00:00 1899
]dit) w polu Komunikacja Bezpieczna (SS[Author ID0: at Thu Nov 30 00:00:00 1899
]ecure Communications).[Author ID0: at Thu Nov 30 00:00:00 1899
]
Pojawi się okno dialogowe Komunikacja Bezpieczna (S[Author ID1: at Wed Oct 4 19:07:00 2000
]Secure CC[Author ID1: at Wed Oct 4 19:07:00 2000
]ommunications), które służy do skonfigurowania odwzorowywania kont i protokołu SSL. Wykonaj następujące czynności:
Z[Author ID1: at Wed Oct 4 19:07:00 2000
]z[Author ID1: at Wed Oct 4 19:07:00 2000
]aznacz opcję Włącz Przyporządkowywanie Certyfikatu Klienta (E[Author ID1: at Wed Oct 4 19:08:00 2000
]Enable Client Certificate Mapping),[Author ID1: at Wed Oct 4 19:09:00 2000
].[Author ID1: at Wed Oct 4 19:09:00 2000
]
w[Author ID1: at Wed Oct 4 19:09:00 2000
]W[Author ID1: at Wed Oct 4 19:09:00 2000
]ybierz opcję Akceptuj Certyfikaty Klientów (A[Author ID1: at Wed Oct 4 19:08:00 2000
]Accept Client Certificates) lub opcję Wymagaj Certyfikatów Klienta[Author ID1: at Wed Oct 4 19:08:00 2000
]ów[Author ID1: at Wed Oct 4 19:08:00 2000
] (R[Author ID1: at Wed Oct 4 19:08:00 2000
]Require Client Certificates). Opcja Akceptuj Certyfikaty Klientów (Accept client certificates) [Author ID1: at Wed Oct 4 19:09:00 2000
]oznacza, że negocjacje dotyczące uwierzytelniania certyfikatu klienta będą przeprowadzane w przeglądarce (Browser). Jeśli nie powiodą się, nastąpi powrót do jednego ze standardowych protokołów uwierzytelniania,[Author ID1: at Wed Oct 4 19:09:00 2000
].[Author ID1: at Wed Oct 4 19:09:00 2000
]
J[Author ID1: at Wed Oct 4 19:09:00 2000
]j[Author ID1: at Wed Oct 4 19:09:00 2000
]eśli chcesz zaznaczyć opcję Wymagaj Certyfikatów Klienta (Require client certificates) [Author ID1: at Wed Oct 4 19:09:00 2000
]najpierw trzeba zaznaczyć opcje [Author ID1: at Wed Oct 4 19:09:00 2000
]pozycję [Author ID1: at Wed Oct 4 19:09:00 2000
]Wymagaj Kanału Bezpiecznego (R[Author ID1: at Wed Oct 4 19:09:00 2000
]Require Secure Channel (SSL)). W tym przypadku nie nastąpi powrót do innych sposobów uwierzytelniania. Żądanie Kanału Bezpiecznego (Secure Channel) oznacza, że dana[Author ID1: at Wed Oct 4 19:10:00 2000
]ą[Author ID1: at Wed Oct 4 19:10:00 2000
] witryna[Author ID1: at Wed Oct 4 19:10:00 2000
]ę[Author ID1: at Wed Oct 4 19:10:00 2000
] sieci Web będzie widoczna za pomocą protokołu HTTPs,[Author ID1: at Wed Oct 4 19:10:00 2000
].[Author ID1: at Wed Oct 4 19:10:00 2000
]
n[Author ID1: at Wed Oct 4 19:10:00 2000
]N[Author ID1: at Wed Oct 4 19:10:00 2000
]ie zaznaczaj opcji Włącz Listę Zaufań Certyfikatów (EE[Author ID1: at Wed Oct 4 19:10:00 2000
]nable Certificate Trust List), która dotyczy odwzorowywania nazw głównych użytkowników (User [Author ID1: at Wed Oct 4 19:10:00 2000
]Principal [Author ID1: at Wed Oct 4 19:11:00 2000
]Name[Author ID1: at Wed Oct 4 19:11:00 2000
]),[Author ID1: at Wed Oct 4 19:11:00 2000
].[Author ID1: at Wed Oct 4 19:11:00 2000
]
Z[Author ID1: at Wed Oct 4 19:11:00 2000
]z[Author ID1: at Wed Oct 4 19:11:00 2000
]aznacz opcję Wymagaj Szyfrowania 128-bitowego (R[Author ID1: at Wed Oct 4 19:11:00 2000
]Require 128-bit Encryption),[Author ID1: at Wed Oct 4 19:11:00 2000
] jeśli jesteś pewien, że ten [Author ID1: at Wed Oct 4 19:11:00 2000
]takie szyfrowanie jest obsługiwane. Zauważ, że opcję tę[Author ID1: at Wed Oct 4 19:11:00 2000
]ą[Author ID1: at Wed Oct 4 19:11:00 2000
] można wybrać tylko wtedy, jeśli zaznaczona jest opcja Wymagaj Kanału Bezpiecznego (SSL) (Require secure channel (SSL))[Author ID1: at Wed Oct 4 19:11:00 2000
].
OSTRZEŻENIE! Obecnie oprogramowanie umożliwia konfigurowanie szyfrowania 128-bitowego nawet, jeśli dany certyfikat czy system operacyjny nie obsługują takiego szyfrowania. W razie wątpliwości nie zaznaczaj opcji Wymagaj Szyfrowania 128-bitowego (RR[Author ID1: at Wed Oct 4 19:12:00 2000
]equire 128-bit Encryption).
Po skonfigurowaniu okna dialogowego Komunikacja Bezpieczna (SS[Author ID1: at Wed Oct 4 19:12:00 2000
]ecure CC[Author ID1: at Wed Oct 4 19:12:00 2000
]ommunications), jak przedstawiono na rysunku 8.8, naciśnij przycisk OK.
Rysunek 8.8.[Author ID1: at Wed Oct 4 19:12:00 2000
] Konfigurowanie komunikacji bezpiecznej.[Author ID0: at Thu Nov 30 00:00:00 1899
]
Aby zamknąć okno dialogowe Domyślna Witryna Sieci Web Właściwości [Author ID1: at Wed Oct 4 19:13:00 2000
](Default Web Site Properties) [Author ID1: at Wed Oct 4 19:13:00 2000
], [Author ID1: at Wed Oct 4 19:13:00 2000
]naciśnij przycisk OK. W oknie dialogowym Zastępowanie Dziedziczenia (II[Author ID1: at Wed Oct 4 19:13:00 2000
]nheritance OO[Author ID1: at Wed Oct 4 19:13:00 2000
]verrides) wybierz Zaznacz wszystko (AS[Author ID1: at Wed Oct 4 19:13:00 2000
]elect all),[Author ID1: at Wed Oct 4 19:13:00 2000
] a następnie naciśnij przycisk [Author ID1: at Wed Oct 4 19:13:00 2000
]OK. Zamknij przystawkę (snap-in) [Author ID1: at Wed Oct 4 19:13:00 2000
]konsoli MMC.
Teraz można przejść bezpośrednio do procedury „Testowanie odwzorowania”.
Konfigurowanie Active Directory,[Author ID1: at Wed Oct 4 19:13:00 2000 ] aby stosować odwzorowanie różnowartościowe (one-to-one mapping)
Jeśli procedura opisana w poprzednim podrozdziale została wykonana poprawnie, to nie jest konieczne wykonywanie poniższej procedury ani żadnych innych procedur odwzorowywania (mapping procedures),[Author ID1: at Wed Oct 4 19:13:00 2000
] zamieszczonych w niniejszym rozdziale i można przejść bezpośrednio do podrozdziału „Testowanie odwzorowy[Author ID0: at Thu Nov 30 00:00:00 1899
]wania”.
Jeśli jednak nie uzyskano certyfikatu od jednostki certyfikującej przedsiębiorstwa (enterprise CA) i jeśli ma być zastosowane odwzorowanie jeden-do-jednego (one-to-one mapping) w Active Directory, należy postępować zgodnie z poniższą procedurą:
Uruchom przystawkę (snap-in) Active Directory U[Author ID1: at Wed Oct 4 19:14:00 2000
]Użytkownicy i Komputery (AD U[Author ID1: at Wed Oct 4 19:14:00 2000
]Users and CC[Author ID1: at Wed Oct 4 19:14:00 2000
]omputers).
W menu Widok (V[Author ID1: at Wed Oct 4 19:14:00 2000
]View) wybierz pozycję Właściwości Z[Author ID1: at Wed Oct 4 19:14:00 2000
]Zaawansowane (AA[Author ID1: at Wed Oct 4 19:14:00 2000
]dvanced FF[Author ID1: at Wed Oct 4 19:14:00 2000
]eatures), o ile nie jest już wybrana.
Kliknij dwukrotnie nazwę domeny i otwórz kontener Użytkownicy (UU[Author ID1: at Wed Oct 4 19:15:00 2000
]sers).
Prawym klawiszem [Author ID1: at Wed Oct 4 19:15:00 2000
]przycis[Author ID1: at Wed Oct 4 19:15:00 2000
]kiem [Author ID1: at Wed Oct 4 19:15:00 2000
]myszki kliknij [Author ID2: at Wed Oct 4 20:10:00 2000
]zaznacz[Author ID1: at Wed Oct 4 20:10:00 2000
] [Author ID2: at Wed Oct 4 20:10:00 2000
]konto Administrator i z menu wybierz pozycję Mapowania Nazw (NN[Author ID1: at Wed Oct 4 19:15:00 2000
]ame MM[Author ID1: at Wed Oct 4 19:15:00 2000
]appings), jak przedstawiono to na rysunku 8.9. Pojawi się okno dialogowe Mapowanie Tożsamości Zabezpieczeń (SS[Author ID1: at Wed Oct 4 19:15:00 2000
]ecurity II[Author ID1: at Wed Oct 4 19:15:00 2000
]dentity MM[Author ID1: at Wed Oct 4 19:15:00 2000
]apping).
Naciśnij przycisk Dodaj (AA[Author ID1: at Wed Oct 4 19:15:00 2000
]dd). Wybierz certyfikat użytkownika z pliku CER,[Author ID1: at Wed Oct 4 19:15:00 2000
] zapisanego za pomocą procedury Eksportowanie Certyfikatu.
Naciśnij przycisk Otwórz (OO[Author ID1: at Wed Oct 4 19:15:00 2000
]pen). Pojawi się okno dialogowe Dodaj Certyfikat (AA[Author ID1: at Wed Oct 4 19:15:00 2000
]dd CC[Author ID1: at Wed Oct 4 19:15:00 2000
]ertificate).
Upewnij się, czy zaznaczone są opcje Użyj wystawcy do alternatywnej tożsamości zabezpieczeń (UU[Author ID1: at Wed Oct 4 19:16:00 2000
]se i[Author ID1: at Wed Oct 4 19:16:00 2000
]I[Author ID1: at Wed Oct 4 19:16:00 2000
]ssuer for alternate security identity) oraz Użyj tematu dla alternatywnej tożsamości zabezpieczeń (UU[Author ID1: at Wed Oct 4 19:16:00 2000
]se s[Author ID1: at Wed Oct 4 19:19:00 2000
]S[Author ID1: at Wed Oct 4 19:19:00 2000
]ubject for alternate security identity), które powinny być zaznaczone domyślnie. Zagwarantuje to, że wprowadzone będzie odwzorowanie jeden-do-jednego (one-to-one mapping). Jeśli którakolwiek z tych opcji nie zostanie wybrana, zastosowane zostanie odwzorowanie wiele-do-jednego (many-to-one mapping).
Naciśnij przycisk OK. Aby zamknąć okno dialogowe Mapowanie Tożsamości Zabezpieczeń (SS[Author ID1: at Wed Oct 4 19:19:00 2000
]ecurity II[Author ID1: at Wed Oct 4 19:19:00 2000
]dentity MM[Author ID1: at Wed Oct 4 19:19:00 2000
]apping),[Author ID1: at Wed Oct 4 19:19:00 2000
] kolejny raz naciśnij przycisk [Author ID1: at Wed Oct 4 19:19:00 2000
]OK. Zamknij przystawkę (snap-in) konsoli MMC.
Zakończona została procedura konfigurowania przyporządkowania jeden-do-jednego (one-to-one mapping) [Author ID0: at Thu Nov 30 00:00:00 1899
]Active Directory i można przejść bezpośrednio do podrozdziału „Testowanie odwzorowania”,[Author ID1: at Wed Oct 4 19:32:00 2000
] zamieszczonego w dalszej części niniejszego rozdziału.
Rysunek 8.9.[Author ID1: at Wed Oct 4 19:20:00 2000
] Odwzorowywanie (mapping) konta Administrator.[Author ID0: at Thu Nov 30 00:00:00 1899
]
Konfigurowanie usługi Internet Information Server (IIS) aby[Author ID1: at Wed Oct 4 19:34:00 2000
] dla[Author ID1: at Wed Oct 4 19:34:00 2000
] stosowania[Author ID1: at Wed Oct 4 19:34:00 2000
]ć[Author ID1: at Wed Oct 4 19:34:00 2000
] odwzorowania[Author ID1: at Wed Oct 4 19:34:00 2000
]e[Author ID1: at Wed Oct 4 19:34:00 2000
] jeden-do-jednego (one-to-one mapping)
Zamiast Active Directory do przechowywania odwzorowań (mappings) można użyć usługi Internet Information Server (IIS). Jeśli skonfigurowano odwzorowywanie (mapping) [Author ID1: at Wed Oct 4 19:21:00 2000
]w inny sposób, można pominąć poniższą procedurę. [Author ID1: at Wed Oct 4 19:21:00 2000
]
W oknie przystawki (snap-in) IIS konsoli MMC prawym klawiszem [Author ID1: at Wed Oct 4 19:21:00 2000
]przyciskiem [Author ID1: at Wed Oct 4 19:21:00 2000
]myszki kliknij serwer IIS, z menu wybierz opcję Właściwości (PP[Author ID1: at Wed Oct 4 19:21:00 2000
]roperties),[Author ID1: at Wed Oct 4 19:21:00 2000
] a następnie,[Author ID1: at Wed Oct 4 19:21:00 2000
] w części Usługa WWW Właściwości Główne (WWW SS[Author ID1: at Wed Oct 4 19:21:00 2000
]ervice MM[Author ID1: at Wed Oct 4 19:21:00 2000
]aster PP[Author ID1: at Wed Oct 4 19:21:00 2000
]roperties),[Author ID1: at Wed Oct 4 19:21:00 2000
] naciśnij przycisk Edytuj (EE[Author ID1: at Wed Oct 4 19:21:00 2000
]dit).
W oknie dialogowym Usługa WWW Właściwości Główne (WWW Service Master Properties) [Author ID1: at Wed Oct 4 19:21:00 2000
]wybierz zakładkę Zabezpieczenia Katalogu (DD[Author ID1: at Wed Oct 4 19:21:00 2000
]irectory SS[Author ID1: at Wed Oct 4 19:22:00 2000
]ecurity) i upewnij się, czy opcja Włącz przyporządkowywanie za pomocą usług katalogowych systemu Windows (EE[Author ID1: at Wed Oct 4 19:22:00 2000
]nable the Windows directory service mapper) pozostaje niezaznaczona, jak przedstawiono to na rysunku 8.10. Naciśnij przycisk[Author ID2: at Wed Oct 4 19:54:00 2000
]Zaznacz[Author ID1: at Wed Oct 4 19:54:00 2000
] OK. Aby powrócić do przystawki (snap-in) [Author ID1: at Wed Oct 4 19:22:00 2000
]IIS konsoli MMC [Author ID1: at Wed Oct 4 19:22:00 2000
], [Author ID1: at Wed Oct 4 19:22:00 2000
]ponownie naciśnij przycisk [Author ID1: at Wed Oct 4 19:22:00 2000
]OK.
Z przystawki (snap-in) [Author ID1: at Wed Oct 4 19:22:00 2000
]IIS konsoli MMC przejdź do zakładki Zabezpieczenia Katalogu (Directory Security) [Author ID1: at Wed Oct 4 19:22:00 2000
]strony Domyślna Witryna Sieci Web Właściwości (DD[Author ID1: at Wed Oct 4 19:22:00 2000
]efault Web SS[Author ID1: at Wed Oct 4 19:22:00 2000
]ite PP[Author ID1: at Wed Oct 4 19:22:00 2000
]roperties). Przycisk Edytuj (EE[Author ID1: at Wed Oct 4 19:22:00 2000
]dit) w polu Komunikacja Bezpieczna (SS[Author ID1: at Wed Oct 4 19:22:00 2000
]ecure CC[Author ID1: at Wed Oct 4 19:22:00 2000
]ommunications) powinien być uaktywniony, ponieważ odwzorowywanie przez usługi Active Directory (Active Directory mapping) jest wyłączone. Naciśnij ten przycisk.
Ponownie n[Author ID1: at Wed Oct 4 19:23:00 2000
]N[Author ID1: at Wed Oct 4 19:23:00 2000
]aciśnij przycisk Edytuj (EE[Author ID1: at Wed Oct 4 19:23:00 2000
]dit), który [Author ID1: at Wed Oct 4 19:23:00 2000
]znajduje[Author ID1: at Wed Oct 4 19:23:00 2000
]ący[Author ID1: at Wed Oct 4 19:23:00 2000
] się w części Włącz Przyporządkowywanie Certyfikatu Klienta (E[Author ID1: at Wed Oct 4 19:24:00 2000
]Enable Client Certificate Mapping) okna dialogowego Komunikacja Bezpieczna [Author ID1: at Wed Oct 4 19:24:00 2000
](Secure Communications)[Author ID1: at Wed Oct 4 19:24:00 2000
].
Naciśnij przycisk[Author ID2: at Wed Oct 4 19:54:00 2000
]Wybierz[Author ID1: at Wed Oct 4 19:54:00 2000
] Dodaj (A[Author ID1: at Wed Oct 4 19:24:00 2000
]Add) znajdujący się w zakładce odwzorowania jeden-do-jednego[Author ID1: at Wed Oct 4 19:24:00 2000
]1-to-1 [Author ID1: at Wed Oct 4 19:24:00 2000
] [Author ID1: at Wed Oct 4 19:24:00 2000
]okna dialogowego Przyporządkowywanie Kont (AA[Author ID1: at Wed Oct 4 19:24:00 2000
]ccounts MM[Author ID1: at Wed Oct 4 19:24:00 2000
]apping).
Wybierz certyfikat użytkownika, jak przedstawiono to na rysunku 8.11. Naciśnij przycisk Otwórz (OO[Author ID1: at Wed Oct 4 19:25:00 2000
]pen).
Rysunek 8.10.[Author ID1: at Wed Oct 4 19:25:00 2000
] Uaktywnianie odwzorowywania przez usługę IIS.[Author ID0: at Thu Nov 30 00:00:00 1899
]
Rysunek 8.11.[Author ID1: at Wed Oct 4 19:25:00 2000
] Wybieranie certyfikatu w formacie base64.[Author ID0: at Thu Nov 30 00:00:00 1899
]
Wskazówka: W przypadku odwzorowywania przez usługę IIS (IIS mapping), certyfikat musi być w formacie base64 (base64-encoded) i nie może być certyfikatem binarnym. Z tej przyczyny podczas eksportowania certyfikatu,[Author ID1: at Wed Oct 4 19:25:00 2000
] według procedury zamieszczonej wcześniej [Author ID1: at Wed Oct 4 19:25:00 2000
]w niniejszym rozdziale,[Author ID1: at Wed Oct 4 19:25:00 2000
] wybrano odpowiednią opcję kodowania.
W oknie dialogowym Przyporządkuj Konto (MM[Author ID1: at Wed Oct 4 19:25:00 2000
]ap To AA[Author ID1: at Wed Oct 4 19:25:00 2000
]ccount) naciśnij przycisk Przeglądaj (BB[Author ID1: at Wed Oct 4 19:26:00 2000
]rowse) i dodaj konto Administrator. Naciśnij przycisk OK.
Wprowadź hasło. Naciśnij OK. Potwierdź hasło i znów [Author ID1: at Wed Oct 4 19:26:00 2000
]. Naciśnij przycisk [Author ID1: at Wed Oct 4 19:26:00 2000
]OK.
Aby zamknąć okno dialogowe Mapowania Kont (Account Mappings) [Author ID1: at Wed Oct 4 19:26:00 2000
]naciśnij przycisk OK. W kolejnych oknach dialogowych naciskaj przycisk [Author ID1: at Wed Oct 4 19:26:00 2000
]OK.[Author ID1: at Wed Oct 4 19:26:00 2000
],[Author ID1: at Wed Oct 4 19:26:00 2000
] dopóki nie powrócisz do przystawki (snap-in) [Author ID1: at Wed Oct 4 19:26:00 2000
]IIS. Zamknij tą przystawkę [Author ID1: at Wed Oct 4 19:26:00 2000
]ją[Author ID1: at Wed Oct 4 19:26:00 2000
](snap-in)[Author ID1: at Wed Oct 4 19:27:00 2000
].
Zakończona została procedura konfigurowania przyporządkowania jeden-do-jednego (one-to-one mapping) usługi IIS i można przejść bezpośrednio do podrozdziału „Testowanie odwzorowania”,[Author ID1: at Wed Oct 4 19:27:00 2000 ] zamieszczonego w dalszej części niniejszego rozdziału.
Konfigurowanie Active Directory,[Author ID1: at Wed Oct 4 19:27:00 2000 ] aby stosować odwzorowanie wiele-do-jednego (many-to-one mapping)
Usługi katalogowe Active Directory można skonfigurować w ten sposób, aby zapisane było odwzorowanie wiele-do-jednego (many-to-one mapping). Jeśli skonfigurowano odwzorowywanie (mapping) w inny sposób, można pominąć poniższą procedurę.
W oknie przystawki (snap-in) IIS konsoli MMC prawym klawiszem [Author ID1: at Wed Oct 4 19:27:00 2000
]przyciskiem [Author ID1: at Wed Oct 4 19:27:00 2000
]myszki kliknij serwer IIS, z menu wybierz opcję Właściwości (PP[Author ID1: at Wed Oct 4 19:27:00 2000
]roperties),[Author ID1: at Wed Oct 4 19:27:00 2000
] a następnie w części Usługa WWW WW[Author ID1: at Wed Oct 4 19:27:00 2000
]łaściwości Główne (WWW SS[Author ID1: at Wed Oct 4 19:27:00 2000
]ervice MM[Author ID1: at Wed Oct 4 19:27:00 2000
]aster PP[Author ID1: at Wed Oct 4 19:27:00 2000
]roperties) naciśnij przycisk Edytuj (E[Author ID1: at Wed Oct 4 19:27:00 2000
]Edit).
W oknie dialogowym Usługa WWW WW[Author ID1: at Wed Oct 4 19:27:00 2000
]łaściwości Główne (WWW Service Master Properties) [Author ID1: at Wed Oct 4 19:27:00 2000
]wybierz zakładkę Zabezpieczenia Katalogu (DD[Author ID1: at Wed Oct 4 19:28:00 2000
]irectory SS[Author ID1: at Wed Oct 4 19:28:00 2000
]ecurity) i upewnij się, czy zaznaczono opcję Włącz przyporządkowywanie za pomocą usług katalogowych systemu Windows (E[Author ID1: at Wed Oct 4 19:28:00 2000
]Enable the Windows directory service mapper), jak przedstawiono to na rysunku 8.4. Dwukrotnie [Author ID1: at Wed Oct 4 19:28:00 2000
]N[Author ID1: at Wed Oct 4 19:28:00 2000
]n[Author ID1: at Wed Oct 4 19:28:00 2000
]aciśnij przycisk OK. Ponownie naciśnij przycisk [Author ID1: at Wed Oct 4 19:28:00 2000
]OK[Author ID1: at Wed Oct 4 19:28:00 2000
].[Author ID1: at Wed Oct 4 19:28:00 2000
] i zamknij przystawkę (snap-in)[Author ID1: at Wed Oct 4 19:28:00 2000
].
Uruchom przystawkę (snap-in) [Author ID1: at Wed Oct 4 19:28:00 2000
]Active Directory U[Author ID1: at Wed Oct 4 19:28:00 2000
]Użytkownicy i Komputery (AD U[Author ID1: at Wed Oct 4 19:28:00 2000
]Users and C[Author ID1: at Wed Oct 4 19:28:00 2000
]Computers).
Z[Author ID2: at Wed Oct 4 19:54:00 2000
]W[Author ID1: at Wed Oct 4 19:54:00 2000
] menu Widok (V[Author ID1: at Wed Oct 4 19:28:00 2000
]View) wybierz [Author ID2: at Wed Oct 4 19:54:00 2000
]zaznacz [Author ID1: at Wed Oct 4 19:54:00 2000
]opcję Właściwości [Author ID1: at Wed Oct 4 19:29:00 2000
]Zaawansowane Właściwości[Author ID1: at Wed Oct 4 19:29:00 2000
] [Author ID1: at Wed Oct 4 19:29:00 2000
](AA[Author ID1: at Wed Oct 4 19:29:00 2000
]dvanced FF[Author ID1: at Wed Oct 4 19:29:00 2000
]eatures), o ile nie jest jeszcze wybrana.
Prawym klawiszem [Author ID1: at Wed Oct 4 19:29:00 2000
]przyciskiem [Author ID1: at Wed Oct 4 19:29:00 2000
]myszki kliknij [Author ID2: at Wed Oct 4 20:10:00 2000
]wybierz[Author ID1: at Wed Oct 4 20:10:00 2000
] [Author ID2: at Wed Oct 4 20:10:00 2000
]konto Administrator. [Author ID2: at Wed Oct 4 20:10:00 2000
], a z[Author ID1: at Wed Oct 4 20:10:00 2000
]Z[Author ID2: at Wed Oct 4 20:10:00 2000
] menu wybierz [Author ID2: at Wed Oct 4 20:11:00 2000
]— [Author ID1: at Wed Oct 4 20:11:00 2000
]opcję Mapowania Nazw (NN[Author ID1: at Wed Oct 4 19:29:00 2000
]ame MM[Author ID1: at Wed Oct 4 19:29:00 2000
]appings).
Naciśnij przycisk Dodaj (AA[Author ID1: at Wed Oct 4 19:29:00 2000
]dd). Wybierz certyfikat użytkownika z pliku CER, który zapisano za pomocą procedury Eksportowanie Certyfikatu. Naciśnij przyci[Author ID1: at Wed Oct 4 19:29:00 2000
]sk [Author ID1: at Wed Oct 4 19:29:00 2000
]Otwórz (OO[Author ID1: at Wed Oct 4 19:29:00 2000
]pen).
Usuń zaznaczenie opcji Użyj tematu dla alternatywnej tożsamości zabezpieczeń (UU[Author ID1: at Wed Oct 4 19:29:00 2000
]se s[Author ID1: at Wed Oct 4 19:29:00 2000
]S[Author ID1: at Wed Oct 4 19:29:00 2000
]ubject for alternate security identity). Zagwarantuje to, że zostanie zastosowane [Author ID1: at Wed Oct 4 19:30:00 2000
]pozostawienie [Author ID1: at Wed Oct 4 19:30:00 2000
]odwzorowania[Author ID1: at Wed Oct 4 19:30:00 2000
]e[Author ID1: at Wed Oct 4 19:30:00 2000
] wiele-do-jednego (many-to-one mapping) oraz że usługi katalogowe Active Directory zostały [Author ID1: at Wed Oct 4 19:30:00 2000
]skonfigurowano[Author ID1: at Wed Oct 4 19:30:00 2000
]e[Author ID1: at Wed Oct 4 19:30:00 2000
] w ten sposób, że wszystkie certyfikaty uzyskane od jednostek certyfikujących wydających certyfikaty (issuing CA) będą przypisane (map) do konta Administrator. Naciśnij przycisk OK. Jeśli pojawi się okno z komunikatem ostrzegawczym,[Author ID1: at Wed Oct 4 19:30:00 2000
] aby je zamknąć,[Author ID1: at Wed Oct 4 19:30:00 2000
] naciśnij przycisk Tak (YY[Author ID1: at Wed Oct 4 19:30:00 2000
]es). Kolejny raz naciśnij przycisk [Author ID1: at Wed Oct 4 19:30:00 2000
]potwierdź [Author ID1: at Wed Oct 4 19:30:00 2000
]OK[Author ID1: at Wed Oct 4 19:30:00 2000
]OK[Author ID1: at Wed Oct 4 19:31:00 2000
].[Author ID1: at Wed Oct 4 19:31:00 2000
] i z[Author ID1: at Wed Oct 4 19:31:00 2000
]Z[Author ID1: at Wed Oct 4 19:31:00 2000
]amknij przystawkę (snap-in) [Author ID1: at Wed Oct 4 19:31:00 2000
]konsoli MMC.
Teraz można przejść bezpośrednio do podrozdziału „Testowanie odwzorowania”,[Author ID1: at Wed Oct 4 19:31:00 2000 ] zamieszczonego w dalszej części niniejszego rozdziału.
Konfigurowanie usługi Internet Information Server (IIS),[Author ID1: at Wed Oct 4 19:33:00 2000
] w celu[Author ID1: at Wed Oct 4 19:33:00 2000
]aby [Author ID1: at Wed Oct 4 19:33:00 2000
] [Author ID1: at Wed Oct 4 19:33:00 2000
]stosowania[Author ID1: at Wed Oct 4 19:33:00 2000
]ć[Author ID1: at Wed Oct 4 19:33:00 2000
] odwzorowania[Author ID1: at Wed Oct 4 19:33:00 2000
]e[Author ID1: at Wed Oct 4 19:33:00 2000
] wiele do jednego (many-to-one mapping)
Usługę Internet Information Server (IIS) [Author ID1: at Wed Oct 4 19:34:00 2000
]można skonfigurować w ten sposób, aby zapisane było odwzorowanie wiele-do-jednego (many-to-one mapping)[Author ID1: at Wed Oct 4 19:34:00 2000
]. Jeśli skonfigurowano odwzorowywanie (mapping) w inny sposób, można pominąć poniższą procedurę.
W oknie przystawki (snap-in) IIS konsoli MMC prawym klawiszem [Author ID1: at Wed Oct 4 19:35:00 2000
]przyciskiem [Author ID1: at Wed Oct 4 19:35:00 2000
]myszki kliknij serwer IIS, z menu wybierz opcję Właściwości (P[Author ID1: at Wed Oct 4 19:35:00 2000
]Properties),[Author ID1: at Wed Oct 4 19:35:00 2000
] a następnie,[Author ID1: at Wed Oct 4 19:35:00 2000
] w części Usługa WWW W[Author ID1: at Wed Oct 4 19:35:00 2000
]Właściwości Główne (WWW SS[Author ID1: at Wed Oct 4 19:35:00 2000
]ervice MM[Author ID1: at Wed Oct 4 19:35:00 2000
]aster PP[Author ID1: at Wed Oct 4 19:35:00 2000
]roperties),[Author ID1: at Wed Oct 4 19:35:00 2000
] naciśnij przycisk Edytuj (EE[Author ID1: at Wed Oct 4 19:35:00 2000
]dit).
W oknie dialogowym Usługa WWW Właściwości Główne (WWW Service Mas[Author ID1: at Wed Oct 4 19:35:00 2000
]ter Properties) [Author ID1: at Wed Oct 4 19:35:00 2000
]wybierz zakładkę Zabezpieczenia Katalogu (DD[Author ID1: at Wed Oct 4 19:35:00 2000
]irectory SS[Author ID1: at Wed Oct 4 19:35:00 2000
]ecurity) i upewnij się, czy opcja Włącz przyporządkowywanie za pomocą usług katalogowych systemu Windows (E[Author ID1: at Wed Oct 4 19:35:00 2000
]Enable the Windows directory service mapper) pozostaje niezaznaczona, jak przedstawiono to na rysunku 8.10. Naciśnij przycisk OK. Aby powrócić do przystawki (snap-in) [Author ID1: at Wed Oct 4 19:35:00 2000
]IIS konsoli MMC [Author ID1: at Wed Oct 4 19:36:00 2000
], [Author ID1: at Wed Oct 4 19:36:00 2000
]ponownie naciśnij przycisk [Author ID1: at Wed Oct 4 19:36:00 2000
]OK.
Z przystawki (snap-in) [Author ID1: at Wed Oct 4 19:36:00 2000
]IIS konsoli MMC przejdź do zakładki Zabezpieczenia Katalogu (DD[Author ID1: at Wed Oct 4 19:36:00 2000
]irectory SS[Author ID1: at Wed Oct 4 19:36:00 2000
]ecurity) strony Domyślna Witryna Sieci Web WW[Author ID1: at Wed Oct 4 19:36:00 2000
]łaściwości (DD[Author ID1: at Wed Oct 4 19:36:00 2000
]efault Web SS[Author ID1: at Wed Oct 4 19:36:00 2000
]ite PP[Author ID1: at Wed Oct 4 19:36:00 2000
]roperties). Przycisk Edytuj (Edit) [Author ID1: at Wed Oct 4 19:36:00 2000
]w polu Komunikacja Bezpieczna (SS[Author ID1: at Wed Oct 4 19:36:00 2000
]ecure CC[Author ID1: at Wed Oct 4 19:36:00 2000
]ommunications) powinien być uaktywniony, ponieważ odwzorowywanie przez usługi Active Directory (Active Directory mapping) jest wyłączone. Naciśnij ten przycisk.
Naciśnij przycisk[Author ID2: at Wed Oct 4 19:53:00 2000
]Wybierz[Author ID1: at Wed Oct 4 19:53:00 2000
] Edytuj [Author ID1: at Wed Oct 4 19:37:00 2000
](Edit)[Author ID1: at Wed Oct 4 19:37:00 2000
], znajdujący się w części Włącz Przyporządkowywanie Certyfikatu Klienta (EE[Author ID1: at Wed Oct 4 19:37:00 2000
]nable Client Certificate Mapping) okna dialogowego Komunikacja Bezpieczna [Author ID1: at Wed Oct 4 19:37:00 2000
](Secure Communications)[Author ID1: at Wed Oct 4 19:37:00 2000
].
Naciśnij przycisk Dodaj (A[Author ID1: at Wed Oct 4 19:37:00 2000
]Add) znajdujący się w zakładce Wiele-do-jednego (MM[Author ID1: at Wed Oct 4 19:38:00 2000
]any-to-one).
Pojawi się okno dialogowe Reguła Symboli Wieloznacznych (WW[Author ID1: at Wed Oct 4 19:38:00 2000
]ildcard RR[Author ID1: at Wed Oct 4 19:38:00 2000
]ule). Naciśnij przycisk Dalej (N[Author ID1: at Wed Oct 4 19:38:00 2000
]Next).
Pojawi się okno dialogowe Reguły (R[Author ID1: at Wed Oct 4 19:38:00 2000
]Rules) i włącz[Author ID1: at Wed Oct 4 19:38:00 2000
]. Naciśnij przycisk[Author ID1: at Wed Oct 4 19:38:00 2000
] Nowy (NN[Author ID1: at Wed Oct 4 19:38:00 2000
]ew).
W oknie dialogowym Edytuj Człon Reguły (EE[Author ID1: at Wed Oct 4 19:38:00 2000
]dit RR[Author ID1: at Wed Oct 4 19:38:00 2000
]ule EE[Author ID1: at Wed Oct 4 19:38:00 2000
]lement) wartość w polu Pole Niższego Rzędu (SS[Author ID1: at Wed Oct 4 19:39:00 2000
]ub FF[Author ID1: at Wed Oct 4 19:39:00 2000
]ield) ustaw na CN i w polu Kryteria (C[Author ID1: at Wed Oct 4 19:39:00 2000
]Criteria) określ nazwę jednostki certyfikującej wydającej certyfikaty (issuing CA). W przykładzie zamieszczonym na rysunku 8.12.[Author ID1: at Wed Oct 4 19:39:00 2000
] wpisano nazwę extcertCA [Author ID2: at Wed Oct 4 19:40:00 2000
]— [Author ID2: at Wed Oct 4 19:40:00 2000
]. J[Author ID1: at Wed Oct 4 19:40:00 2000
]j[Author ID2: at Wed Oct 4 19:40:00 2000
]est to certyfikat uzyskany od zewnętrznej jednostki certyfikującej (CA)[Author ID2: at Wed Oct 4 19:40:00 2000
] i zainstalowany w katalogu komputera, który jest serwerem sieci Web. Oznacza to, że wszystkie certyfikaty wydane przez tę[Author ID1: at Wed Oct 4 19:40:00 2000
]ą[Author ID2: at Wed Oct 4 19:40:00 2000
] jednostkę certyfikującą będą odwzorowywane. Naciśnij przycisk OK.
Wskazówka: P[Author ID1: at Wed Oct 4 19:40:00 2000
]rzy odwzorowywaniu przez usługę [Author ID2: at Wed Oct 4 19:40:00 2000
]IIS[Author ID2: at Wed Oct 4 19:40:00 2000
] [Author ID1: at Wed Oct 4 19:40:00 2000
]N[Author ID2: at Wed Oct 4 19:40:00 2000
]n[Author ID1: at Wed Oct 4 19:40:00 2000
]ie wolno wpisywać ciągów znaków,[Author ID1: at Wed Oct 4 19:40:00 2000
] zawierających znaki w standardzie Unicode przy odwzorowywaniu przez usługę IIS[Author ID2: at Wed Oct 4 19:40:00 2000
], ponieważ spowoduje to błędne działanie ([Author ID1: at Wed Oct 4 19:40:00 2000
]. D[Author ID2: at Wed Oct 4 19:40:00 2000
]d[Author ID1: at Wed Oct 4 19:41:00 2000
]otyczy to pól zawierających znak @)[Author ID1: at Wed Oct 4 19:41:00 2000
]. Należy wybierać tylko pola zawierające ciągi znaków, które można wydrukować (printable strings).
W oknie dialogowym Reguły (RR[Author ID2: at Wed Oct 4 19:41:00 2000
]ules) naciśnij przycisk Dalej [Author ID2: at Wed Oct 4 19:41:00 2000
](Next)[Author ID2: at Wed Oct 4 19:41:00 2000
]. Pojawi się okno dialogowe Odwzorowanie (MM[Author ID2: at Wed Oct 4 19:41:00 2000
]apping).
Rysunek 8.12.[Author ID1: at Wed Oct 4 19:41:00 2000
] Określenie Nazwy Uniwersalnej (C[Author ID1: at Wed Oct 4 20:18:00 2000
]C[Author ID0: at Thu Nov 30 00:00:00 1899
]ommon[Author ID1: at Thu Oct 5 06:22:00 2000
] N[Author ID1: at Wed Oct 4 20:18:00 2000
]n N[Author ID0: at Thu Nov 30 00:00:00 1899
]ame — CN[Author ID1: at Wed Oct 4 20:18:00 2000
]) jednostki certyfikującej (CA).[Author ID0: at Thu Nov 30 00:00:00 1899
]
Naciśnij przycisk Przeglądaj (B[Author ID2: at Wed Oct 4 19:42:00 2000
]Browse) i wybierz konto Administrator. Naciśnij przycisk [Author ID2: at Wed Oct 4 19:42:00 2000
]Włącz [Author ID1: at Wed Oct 4 19:42:00 2000
]Dodaj (a[Author ID1: at Wed Oct 4 19:42:00 2000
]A[Author ID2: at Wed Oct 4 19:42:00 2000
]dd), naciśnij przycisk [Author ID2: at Wed Oct 4 19:42:00 2000
]OK. a potem naciśnij przycisk [Author ID2: at Wed Oct 4 19:42:00 2000
]Zakończ (FF[Author ID2: at Wed Oct 4 19:42:00 2000
]inish).
Aby zamknąć okna dialogowe,[Author ID1: at Wed Oct 4 19:42:00 2000
] naciśnij przycisk OK.[Author ID2: at Wed Oct 4 19:42:00 2000
] i z[Author ID1: at Wed Oct 4 19:42:00 2000
]Z[Author ID2: at Wed Oct 4 19:42:00 2000
]amknij przystawkę (snap-in) [Author ID2: at Wed Oct 4 19:42:00 2000
]konsoli MMC.
Teraz można przejść do podrozdziału „Testowanie odwzorowania”,[Author ID1: at Wed Oct 4 19:32:00 2000
] zamieszczonego poniżej i sprawdzić, czy certyfikaty wydane przez podaną jednostkę certyfikującą (CA) [Author ID2: at Wed Oct 4 19:42:00 2000
]pozwalają na uzyskanie dostępu do danego serwera.
Testowanie odwzorowania
W niniejszym podrozdziale opisano sposób testowania wykonanych odwzorowań (mappings). W zależności od zastosowanej metody,[Author ID1: at Wed Oct 4 19:43:00 2000
] do konta Administrator przyporządkowano jeden lub kilka certyfikatów. Obecnie skonfigurowana zostanie strona sieci Web oraz zostanie uzyskany dostęp do pliku, skonfigurowanego w ten sposób, że dostęp jest możliwy tylko po wykonaniu odwzorowania (mapping).[Author ID2: at Wed Oct 4 19:43:00 2000
].[Author ID1: at Wed Oct 4 19:43:00 2000
]
Tworzenie pliku zastrzeżonego
Pierwszym etapem jest utworzenie pliku, do którego dostęp jest możliwy tylko z konta Administrator. Może on mieć[Author ID1: at Wed Oct 4 19:46:00 2000
]Plik ten może być takiego[Author ID2: at Wed Oct 4 19:46:00 2000
] rodzaj pliku [Author ID1: at Wed Oct 4 19:46:00 2000
]u, który jest [Author ID2: at Wed Oct 4 19:46:00 2000
]spotykany[Author ID2: at Wed Oct 4 19:46:00 2000
]ego[Author ID1: at Wed Oct 4 19:46:00 2000
] na stronach sieci Web, jak HTM, GIF, JPEG,[Author ID1: at Wed Oct 4 19:46:00 2000
] itd. W niniejszym przykładzie użyty zostanie plik GIF.
Oto procedura tworzenia pliku z ograniczonym dostępem:
Za pomocą Exploratora Windows (Windows E[Author ID2: at Wed Oct 4 19:46:00 2000
]Explorer) otwórz katalog Inetpub\wwwroot.
Skopiuj dowolny plik GIF (na [Author ID2: at Wed Oct 4 19:46:00 2000
]p.[Author ID1: at Wed Oct 4 19:47:00 2000
]rzykład[Author ID2: at Wed Oct 4 19:47:00 2000
] win2000.gif) do pliku test.gif.
Prawym kl[Author ID2: at Wed Oct 4 19:47:00 2000
]awiszem [Author ID2: at Wed Oct 4 19:47:00 2000
]przyciskiem [Author ID1: at Wed Oct 4 19:47:00 2000
]myszki kliknij plik test.gif i z menu wybierz Właściwości (P[Author ID2: at Wed Oct 4 19:47:00 2000
]Properties).
Wybierz zakładkę Bezpieczeństwo (SS[Author ID2: at Wed Oct 4 19:47:00 2000
]ecurity).
Usuń zaznaczenie opcji Zezwalaj na propagację [Author ID2: at Wed Oct 4 19:48:00 2000
]p[Author ID2: at Wed Oct 4 19:48:00 2000
]ozwolenie [Author ID1: at Wed Oct 4 19:48:00 2000
]możliwych do dziedziczenia uprawnień z obiektu nadrzędnego do tego obiektu (A[Author ID2: at Wed Oct 4 19:47:00 2000
]Allow inheritable permissions from parent to propagate to this object).
W oknie dialogowym Bezpieczeństwo (S[Author ID2: at Wed Oct 4 19:50:00 2000
]Security) naciśnij przycisk Usuń (R[Author ID2: at Wed Oct 4 19:50:00 2000
]Remove).
Naciśnij [Author ID2: at Wed Oct 4 19:50:00 2000
]Kliknij[Author ID1: at Wed Oct 4 19:50:00 2000
]przycisk [Author ID2: at Wed Oct 4 19:50:00 2000
] [Author ID1: at Wed Oct 4 19:50:00 2000
]Dodaj (A[Author ID2: at Wed Oct 4 19:50:00 2000
]a[Author ID1: at Wed Oct 4 19:50:00 2000
]dd) i dodaj konto Administrator z uprawnieniami F[Author ID2: at Wed Oct 4 19:51:00 2000
]Pełna [Author ID1: at Wed Oct 4 19:51:00 2000
]Kontrola[Author ID1: at Wed Oct 4 19:51:00 2000
] [Author ID1: at Wed Oct 4 19:51:00 2000
]-->([Author ID1: at Wed Oct 4 19:51:00 2000
][Author ID1: at Wed Oct 4 19:51:00 2000
]F-->ull[Author ID2: at Wed Oct 4 19:51:00 2000
] -->C[Author ID2: at Wed Oct 4 19:51:00 2000
][Author ID2: at Wed Oct 4 19:51:00 2000
]C-->ontrol[Author ID2: at Wed Oct 4 19:51:00 2000
]-->)[Author ID1: at Wed Oct 4 19:51:00 2000
][Author ID1: at Wed Oct 4 19:51:00 2000
]. Naciśnij przycisk OK. Zamknij Eksploratora Windows (Windows Explorer)[Author ID2: at Wed Oct 4 19:51:00 2000
].
Dostęp do pliku test.gif można obecnie uzyskać tylko z konta Administrator.
Wyłączanie uwierzytelniania
Kiedy usługa Internet Information Server (IIS) ma uzyskać dostęp do pliku, personifikuje (impersonate) użytkownika tak,[Author ID1: at Wed Oct 4 19:52:00 2000
] by system stosował prawa dostępu użytkownika uwierzytelnionego. Należy upewnić się, czy proces uwierzytelniania korzysta z odwzorowania (mapping) certyfikatów. [Author ID2: at Wed Oct 4 19:52:00 2000
]
Do skonfigurowania usługi IIS, aby nie można było zastosować innego sposobu uwierzytelniania,[Author ID1: at Wed Oct 4 19:52:00 2000 ] w przypadku pliku test.gif, należy postępować zgodnie z poniższą procedurą:
Uruchom przystawkę (snap-in) IIS konsoli MMC.
Kliknij dwukrotnie pozycję Domyślna Witryna Sieci Web (DD[Author ID2: at Wed Oct 4 19:52:00 2000
]efault Web SS[Author ID2: at Wed Oct 4 19:52:00 2000
]ite).
Prawym klawiszem [Author ID2: at Wed Oct 4 19:52:00 2000
]przyciskiem[Author ID1: at Wed Oct 4 19:52:00 2000
] [Author ID2: at Wed Oct 4 19:52:00 2000
]myszki kliknij plik test.gif, który wyświetlony jest w prawej części okna. Z menu wybierz pozycję Właściwości (PP[Author ID2: at Wed Oct 4 19:52:00 2000
]roperties).
Wybierz [Author ID2: at Wed Oct 4 19:52:00 2000
]Naciśnij [Author ID1: at Wed Oct 4 19:52:00 2000
]zakładkę Zabezpieczenia Plików (FF[Author ID2: at Wed Oct 4 19:53:00 2000
]ile SS[Author ID2: at Wed Oct 4 19:53:00 2000
]ecurity).
Naciśnij przycisk [Author ID2: at Wed Oct 4 19:53:00 2000
]Wybier[Author ID1: at Wed Oct 4 19:53:00 2000
]z [Author ID1: at Wed Oct 4 19:53:00 2000
]Edytuj (E[Author ID2: at Wed Oct 4 19:53:00 2000
]Edit), który znajduje się w polu Kontrola Dostępu Anonimowego i Uwierzytelniania (AA[Author ID2: at Wed Oct 4 19:55:00 2000
]nonymous Access and Authentication Control).
Usuń zaznaczenie wszystkich opcji. Naciśnij przycisk OK.
Aby zamknąć okno dialogowe Właściwości (PP[Author ID2: at Wed Oct 4 19:55:00 2000
]roperties),[Author ID1: at Wed Oct 4 19:55:00 2000
] naciśnij przycisk OK. Zamknij przystawkę (snap-in) [Author ID2: at Wed Oct 4 19:55:00 2000
]konsoli MMC.
Teraz nie ma innej możliwości uwierzytelnienia prawa użytkownika do uzyskania dostępu do danego pliku niż przez odwzorowanie (mapping) certyfikatów.
Ważne jest, aby zrozumieć, co będzie testowane. Plik test.gif ma właściwości ustawione w ten sposób, że dostęp do niego za pomocą przeglądarki jest możliwy tylko przez przyporządkowanie certyfikatu. Katalog lub całą stronę sieci Web można skonfigurować w ten sam sposób. Jeśli stosowane jest przyporządkowywanie jawne (explicit mapping), byłoby to wystarczające, ponieważ tylko konto administratora ma aktualnie przyporządkowany certyfikat. Warto pamiętać o [Author ID1: at Wed Oct 4 19:56:00 2000
]Byłoby dobrze [Author ID2: at Wed Oct 4 19:56:00 2000
]ograniczeniu[Author ID1: at Wed Oct 4 19:56:00 2000
]yć[Author ID2: at Wed Oct 4 19:56:00 2000
] dostępu[Author ID1: at Wed Oct 4 19:56:00 2000
] do pliku poprzez [Author ID1: at Wed Oct 4 19:56:00 2000
]konfigurując [Author ID2: at Wed Oct 4 19:56:00 2000
]s[Author ID1: at Wed Oct 4 19:56:00 2000
]konfigur[Author ID2: at Wed Oct 4 19:56:00 2000
]owanie [Author ID1: at Wed Oct 4 19:56:00 2000
]uprawnienia do pliku (file permissions). Aktualne ustawienia uprawnień umożliwiają dostęp tylko z konta Administrator. [Author ID2: at Wed Oct 4 19:56:00 2000
]
Jeśli stosuje się Odwzorowanie (Mapping) nazw głównych użytkowników (User Principal Name [Author ID1: at Wed Oct 4 19:56:00 2000
]-[Author ID2: at Wed Oct 4 19:56:00 2000
]— [Author ID1: at Wed Oct 4 19:56:00 2000
]UPN), to wtedy [Author ID2: at Wed Oct 4 19:56:00 2000
]wówczas [Author ID1: at Wed Oct 4 19:56:00 2000
]każdy użytkownik, który posiada certyfikat, może zostać uwierzytelniony. W tym przypadku ustawienie uprawnień do pliku jest konieczne. Przy odwzorowywaniu (mapping) nazw głównych użytkowników (UPN),[Author ID1: at Wed Oct 4 19:57:00 2000
] zwykły użytkownik mógłby uzyskać dostęp do pliku, ale uwierzytelnienie nie powiedzie się z powodu ustawienia uprawnień. Wpływa to na komunikaty otrzymywane przez użytkownika. Jeśli proces uwierzytelniania nie rozpocznie się, pojawi się komunikat, że dany plik (lub [Author ID2: at Wed Oct 4 19:57:00 2000
]katalog czy strona sieci Web) nie został znaleziony. Jeśli uwierzytelnianie rozpoczęło się, ale zakończyło się [Author ID2: at Wed Oct 4 19:57:00 2000
]błędem, użytkownik zostanie poinformowany, że nie ma odpowiednich uprawnień.
Połączenie ze stroną sieci Web
Poniżej zamieszczono procedurę połączenia ze stroną test.gif i sprawdzenia, czy odwzorowanie (mapping) działa poprawnie.
Uruchom program Internet Explorer i połącz się ze stroną https://ServerName/test.gif, gdzie ServerName jest nazwą serwera sieci Web. Jeśli testowanie odbywa się na serwerze sieci Web,[Author ID1: at Wed Oct 4 19:58:00 2000 ] zamiast nazwy serwera wpisz LOCALHOST.
Program Internet Explorer wyświetli komunikat ostrzegający, że zostanie użyty protokół SSL (o ile wcześniej wyświetlanie komunikatów nie zostało wyłączone). Naciśnij przycisk OK.
W zależności od tego,[Author ID2: at Wed Oct 4 19:58:00 2000
] czy wpiszesz LOCALHOST,[Author ID1: at Wed Oct 4 19:58:00 2000
] czy podasz nazwę serwera sieci Web, z którym chcesz się połączyć, Internet Explorer może wyświetlić ostrzeżenie, że certyfikat serwera nie zgadza się z podaną nazwą, jak przedstawiono to na rysunku 8.13. Aby przejść dalej,[Author ID1: at Wed Oct 4 19:58:00 2000
] naciśnij przycisk [Author ID2: at Wed Oct 4 19:58:00 2000
]zaznacz [Author ID1: at Wed Oct 4 19:58:00 2000
]Tak (Y[Author ID2: at Wed Oct 4 19:58:00 2000
]Yes).
Wybierz certyfikat, który ma odpowiedni klucz prywatny. Informację taką uzyskasz,[Author ID1: at Wed Oct 4 19:59:00 2000
] naciskając przycisk Wyświetl Certyfikat (V[Author ID2: at Wed Oct 4 19:59:00 2000
]View CC[Author ID2: at Wed Oct 4 19:59:00 2000
]ertificate). Naciśnij przycisk [Author ID2: at Wed Oct 4 19:59:00 2000
]OK.
Uwaga: Niniejszy test powinien być przeprowadzony na komputerze, na którym pierwotnie zainstalowano dany certyfikat. Każdy certyfikat ma klucz prywatny, który jest zapisany na komputerze, z którego wysłano żądanie certyfikatu.
Jeśli odwzorowanie (mapping) działa poprawnie, powinien pojawić się plik test.gif, jak przedstawiono to na rysunku 8.14.
Rysunek 8.13.[Author ID1: at Wed Oct 4 19:59:00 2000
] Komunikat Alarm Zabezpieczeń Systemu Windows (S[Author ID0: at Thu Nov 30 00:00:00 1899
]Security A[Author ID0: at Thu Nov 30 00:00:00 1899
]Alert).[Author ID0: at Thu Nov 30 00:00:00 1899
]
Rysunek 8.14.[Author ID1: at Wed Oct 4 19:59:00 2000
] Poprawne odwzorowanie pozwala uzyskać dostęp do tego ekranu.[Author ID0: at Thu Nov 30 00:00:00 1899
]
Jeśli pojawi się komunikat o błędzie, przyczyny jego mogą być następujące:
k[Author ID1: at Wed Oct 4 19:59:00 2000
]K[Author ID2: at Wed Oct 4 19:59:00 2000
]omunikat Dostęp Zabroniony (AA[Author ID2: at Wed Oct 4 19:59:00 2000
]ccess Denied) wskazuje, że uwierzytelnienie było prawidłowe, ale dany użytkownik nie ma odpowiednich uprawnień, aby uzyskać dostęp do tego pliku. Należy sprawdzić uprawnienia do tego pliku aby [Author ID2: at Wed Oct 4 20:00:00 2000
]i [Author ID1: at Wed Oct 4 20:00:00 2000
]zobaczyć, do którego konta przypisany został dany certyfikat użytkownika,[Author ID1: at Wed Oct 4 20:00:00 2000
].[Author ID2: at Wed Oct 4 20:00:00 2000
]
K[Author ID2: at Wed Oct 4 20:00:00 2000
]k[Author ID1: at Wed Oct 4 20:00:00 2000
]omunikat Certyfikat Odwołany (CC[Author ID2: at Wed Oct 4 20:00:00 2000
]ertificate RR[Author ID2: at Wed Oct 4 20:00:00 2000
]evoked) zwykle [Author ID2: at Wed Oct 4 20:00:00 2000
]zazwyczaj [Author ID1: at Wed Oct 4 20:00:00 2000
]wskazuje na [Author ID1: at Wed Oct 4 20:00:00 2000
], że [Author ID2: at Wed Oct 4 20:00:00 2000
]odwołanie [Author ID1: at Wed Oct 4 20:00:00 2000
]certyfikatu[Author ID1: at Wed Oct 4 20:00:00 2000
] został odwołany (revoked) [Author ID2: at Wed Oct 4 20:00:00 2000
] [Author ID1: at Wed Oct 4 20:00:00 2000
]lub że usługa IIS nie jest w stanie wyszukać listy odwołań certyfikatów (Certificate Revocation List [Author ID1: at Wed Oct 4 20:00:00 2000
]-[Author ID2: at Wed Oct 4 20:00:00 2000
]— [Author ID1: at Wed Oct 4 20:00:00 2000
]CRL),[Author ID1: at Wed Oct 4 20:00:00 2000
].[Author ID2: at Wed Oct 4 20:00:00 2000
]
k[Author ID1: at Wed Oct 4 20:01:00 2000
]K[Author ID2: at Wed Oct 4 20:01:00 2000
]omunikat Certyfikat nie jest zaufany lub jest nieprawidłowy (C[Author ID2: at Wed Oct 4 20:01:00 2000
]c[Author ID1: at Wed Oct 4 20:01:00 2000
]ertificate is not trusted or is invalid) oznacza zwykle, że nie zainstalowano certyfikatu głównego (roots[Author ID2: at Wed Oct 4 20:01:00 2000
]) w magazynie zaufanych certyfikatów głównych (trusted roots[Author ID1: at Wed Oct 4 20:01:00 2000
] store) komputera na serwerze sieci Web. Często spotykanym błędem jest instalowanie certyfikatu głównego w magazynie zaufanych certyfikatów głównych (trusted root store)[Author ID2: at Wed Oct 4 20:01:00 2000
] użytkownika,[Author ID1: at Wed Oct 4 20:01:00 2000
] zamiast w magazynie (store) [Author ID2: at Wed Oct 4 20:01:00 2000
]komputera.
Komunikaty o błędach są zwykle dość [Author ID2: at Wed Oct 4 20:01:00 2000
]opisowe. Innymi źródłami informacji dotyczących komunikatów o błędach mogą być informacje o wersji (release notes), P[Author ID2: at Wed Oct 4 20:01:00 2000
]p[Author ID1: at Wed Oct 4 20:01:00 2000
]odręczniki w trybie online (b[Author ID1: at Wed Oct 4 20:01:00 2000
]B[Author ID2: at Wed Oct 4 20:01:00 2000
]ooks o[Author ID1: at Wed Oct 4 20:02:00 2000
]O[Author ID2: at Wed Oct 4 20:02:00 2000
]n l[Author ID1: at Wed Oct 4 20:02:00 2000
]L[Author ID2: at Wed Oct 4 20:02:00 2000
]ine) i pliki pomocy (H[Author ID2: at Wed Oct 4 20:02:00 2000
]h[Author ID1: at Wed Oct 4 20:02:00 2000
]elp files).
W niniejszym rozdziale przedstawiono sposoby przyporządkowywania jednego lub kilku certyfikatów do konta Administrator. Korzystając z odwzorowywania nazw głównych użytkownika (UPN mapping), można umożliwić [Author ID2: at Wed Oct 4 20:02:00 2000
]ułatwiać[Author ID1: at Wed Oct 4 20:02:00 2000
] [Author ID2: at Wed Oct 4 20:02:00 2000
]użytkownikom z ważnymi certyfikatami przedsiębiorstwa (enterprise certificates), uzyskiwanymi przez [Author ID1: at Wed Oct 4 20:02:00 2000
]które [Author ID2: at Wed Oct 4 20:03:00 2000
]każdy[Author ID2: at Wed Oct 4 20:03:00 2000
]ego[Author ID1: at Wed Oct 4 20:03:00 2000
] użytkownik może uzyskać [Author ID2: at Wed Oct 4 20:03:00 2000
]z nich[Author ID1: at Wed Oct 4 20:03:00 2000
] [Author ID2: at Wed Oct 4 20:03:00 2000
]od Usług Certyfikatów (Certificate [Author ID2: at Wed Oct 4 20:03:00 2000
]Certificate [Author ID2: at Wed Oct 4 20:03:00 2000
]SS[Author ID2: at Wed Oct 4 20:03:00 2000
]erver) firmy Microsoft, stosowanie odwzorowywania (mapping) certyfikatów,[Author ID1: at Wed Oct 4 20:03:00 2000
] aby zatwierdzić ich prawa dostępu poprzez serwer sieci Web. W danym przypadku jest to po prostu kwestia odpowiednich ustawień uprawnień do plików i folderów oraz usunięcia innych metod sprawdzania certyfikatów.
Jeśli korzysta się z przyporządkowywania jawnego (explicit mapping), wymaga to trochę większego wysiłku, ponieważ konta muszą być przyporządkowane w sposób jawny do certyfikatów. Jeśli jednak ma być dokonywane odwzorowanie wiele-do-jednego (many-to-one mapping) lub jeśli w danej domenie nie ma jednostki certyfikującej przedsiębiorstwa (enterprise CA),[Author ID1: at Wed Oct 4 20:04:00 2000 ] wtedy jawne odwzorowanie (explicit mapping) zapewnia wysoki stopień zabezpieczeń we wrogim środowisku.
33 Część I ♦ Podstawy obsługi systemu WhizBang (Nagłówek strony)
2 T:\Paweł\r-08.03.doc