Как настроить сертификаты для пересылки и сбора ACS
Применимо к:System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
Если сервер пересылки службы сбора аудита (ACS), находится в домене, отдельно от домена, где расположен сборщика ACS, и существует не двустороннее доверие между двумя доменами, так что проверка подлинности может выполняться между сервер пересылки ACS и сборщиком ACS, необходимо использовать сертификаты.
Прежде чем настроить сертификаты, убедитесь, что выполнены следующие действия:
На сервере пересылки ACS:
Агент был установлен на компьютере, который будет использоваться в качестве сервера пересылки ACS. Дополнительные сведения см. в статье Способы установки агента Operations Manager.
[ЦС] сертификата и сертификации сертификат установлен на компьютере агента. Дополнительные сведения см. в разделе проверки подлинности и шифрование данных для компьютеров Windows в руководстве по развертыванию.
Сборщика ACS:
Сертификат (и сертификат ЦС) устанавливается на сервере управления со сборщиком ACS. Дополнительные сведения см. в разделе проверки подлинности и шифрование данных для компьютеров Windows в руководстве по развертыванию.
Утверждение ожидающих агента и связи между агентом и сервером управления функционирует правильно. Дополнительные сведения см. в статье Обработка установки агентов вручную.
Устанавливается сборщика ACS и базы данных. Дополнительные сведения см. в разделе Установка службы сбора аудита (ACS) сборщика и базы данных в руководстве по развертыванию.
Ниже приводится общий обзор действий, которые необходимо выполнить для использования сертификатов с помощью службы ACS.
.jpeg "System_CAPS_important") Важно |
|---|
Сертификаты, используемые на различных компонентах в Operations Manager (например, сборщика ACS, сервер пересылки ACS, агента, сервер шлюза или сервера управления) должен быть выдан тем же ЦС. |
На компьютере сборщика ACS:
Запустите ADTServer - c.
Сопоставление сертификата сервера пересылки ACS в Active Directory.
В консоли управления включения служб ACS.
На компьютере, где размещается сервер пересылки ACS:
Экспортируйте сертификат на диске, USB-устройство флэш-накопитель или общий сетевой ресурс.
Запустите ADTAgent - c.
Чтобы назначить сертификат сборщика ACS
-
На рабочем столе Windows нажмите кнопку Пуск и выберите пункт Выполнить.
-
В диалоговом окне Выполнение введите cmd и нажмите кнопку ОК.
-
В командной строке введите <drive_letter>: (где <drive_letter> — это диск, где установлена операционная система), а затем нажмите клавишу ВВОД.
-
Тип cd % systemroot %, а затем нажмите клавишу ВВОД.
-
Тип cd system32\security\adtserver, а затем нажмите клавишу ВВОД.
-
Тип net stop adtserver, а затем нажмите клавишу ВВОД.
-
Тип adtserver - c, а затем нажмите клавишу ВВОД.
-
В нумерованный список сертификатов найти сертификат, используемый для Operations Manager, введите номер в списке (должен быть равен 1) и нажмите клавишу ВВОД.
-
Тип Команда net start adtserver и нажмите клавишу ВВОД.
Настройка сопоставления сертификата с именем
-
Войдите на компьютере, где размещается Active Directory.
-
На рабочем столе Windows щелкните Запуск, пункты программы, пункты Администрирование, и нажмите кнопку Active Directory-пользователи и компьютеры.
-
Разверните имя домена, щелкните правой кнопкой мыши компьютеры, пункты Создать, и нажмите кнопку компьютере.
-
В новый объект - компьютер диалоговое окно, введите имя NetBIOS компьютера, на котором размещается сервер пересылки ACS и нажмите кнопку Далее. Повторите этот шаг для каждого компьютера, на котором размещен сервер пересылки ACS.
-
В управляемый диалогового окна убедитесь, что Это управляемый компьютер не выбран и нажмите кнопку Далее.
-
В новый объект - компьютер диалоговое окно, нажмите кнопку Готово.
-
В Active Directory компьютеры и пользователи, в области справа щелкните правой кнопкой мыши компьютер (или компьютеры) можно добавить и нажмите кнопку сопоставлений имен.
-
В сопоставление объекта безопасности диалоговое окно, нажмите кнопку сертификаты X.509, а затем нажмите кнопку Добавить.
-
В Добавление сертификата диалоговое окно, нажмите кнопку Искать в меню, выберите местоположение, где расположен экспортированный сертификат и нажмите кнопку Откройте.
-
В Добавление сертификата диалогового окна убедитесь, что использовать субъекта как альтернативный объект безопасности выбран и нажмите кнопку ОК.
-
В сопоставление объекта безопасности диалоговое окно, нажмите кнопку ОК.
-
Повторите шаги 4 – 11 для каждого компьютера, который вы добавили.
После выполнения этих процедур необходимо включить серверов пересылки ACS. Дополнительные сведения см. в статье Как включить сбор аудита службы пересылки (ACS).
Экспорт сертификата
-
На рабочем столе Windows нажмите кнопку Пуск и выберите пункт Выполнить.
-
В запуска диалоговом mmc, а затем нажмите кнопку ОК.
-
В меню Файл выберите команду Добавить или удалить оснастку.
-
В диалоговом окне Добавление или удаление оснастки нажмите кнопку Добавить.
-
В диалоговом окне Добавить изолированную оснастку нажмите выберите Сертификаты, а затем нажмите кнопку Добавить.
-
В диалоговом окне Оснастка диспетчера сертификатов установите переключатель учетной записи компьютера, а затем нажмите кнопку Далее.
-
В Выбор компьютера выберите локальный компьютер (компьютер, на которой запущена эта консоль), а затем нажмите кнопку Готово.
-
В диалоговом окне Добавление изолированной оснастки нажмите кнопку Закрыть.
-
В диалоговом окне Добавление или удаление оснастки нажмите кнопку ОК.
-
В области консоли Root\Certificates (локальный компьютер), разверните Сертификаты (локальный компьютер), разверните Личные, и нажмите кнопку Сертификаты.
-
В области результатов щелкните правой кнопкой мыши сертификат, который вы используете для Operations Manager, выберите Все задачи, а затем нажмите кнопку экспорта.
-
В Мастер экспорта сертификатов, на приветствия щелкните Далее.
-
На Экспорт закрытого ключа выберите Нет, обратите внимание, экспортировать закрытый ключ, а затем нажмите кнопку Далее.
-
На Формат экспортируемого файла выберите DER-кодировке X.509 (. (CER), а затем нажмите кнопку Далее.
-
На файл для экспорта щелкните Обзор.
-
На Сохранить как выберите папку и имя файла сертификата, убедитесь, что тип равен DER кодировке X.509 (*.cer), и нажмите кнопку Сохранить.
.jpeg "System_CAPS_note")
ПримечаниеНеобходимо скопировать этот сертификат на компьютер со сборщиком ACS, поэтому выберите расположение, что сборщика ACS для чтения или имеет смысл сохранить сертификат на диск, ФЛЭШ-накопитель USB или общий сетевой ресурс. Кроме того рекомендуется включить имя компьютера в имени файла при экспорте сертификатов из более чем один компьютер.
-
На файл для экспорта убедитесь, что путь и имя файла указаны правильно, нажмите кнопку Далее, а затем нажмите кнопку Готово.
Чтобы выполнить команду adtagent
-
На рабочем столе Windows нажмите кнопку Пуск и выберите пункт Выполнить.
-
В диалоговом окне Выполнение введите cmd и нажмите кнопку ОК.
-
В командной строке введите <drive_letter>: (где <drive_letter> — это диск, где установлена операционная система), а затем нажмите клавишу ВВОД.
-
Тип cd % systemroot % и нажмите клавишу ВВОД.
-
Тип cd system32 и нажмите клавишу ВВОД.
-
Тип adtagent - c и нажмите клавишу ВВОД.
-
Вы увидите нумерованного списка сертификатов. Найти сертификат, используемый для Operations Manager, введите номер в списке (должен быть равен 1) и нажмите клавишу ВВОД.
-
Тип выхода чтобы закрыть окно командной строки.
См. также
Сбор событий безопасности с помощью служб ACS в Operations Manager
Безопасность служб ACS
Планирование загрузки служб ACS
Счетчики производительности служб ACS
Как включить сбор аудита службы пересылки (ACS)
Как включить ведение журнала событий и правил ACS на компьютерах AIX и Solaris
Инструкции по фильтрации событий ACS для UNIX и Linux компьютеров
Мониторинг производительности служб ACS
Удаление службы сбора аудита (ACS)
Администрирование служб ACS (AdtAdmin.exe)