Перейти к основному содержимому

Установка и настройка сервера

Для установки и настройки сервера Indeed AirCard Enterprise, выполните следующие действия:

  1. Установите сервер Indeed AirCard Enterprise.
  2. Создайте сертификат подписи.
  3. Настройте параметры системы Indeed AirCard Enterprise.
  4. Настройте интеграцию в Indeed Certificate Manager.

Установка сервера

Запустите файл IndeedID.AirCard.EnterpriseServer.msi из дистрибутива Indeed AirCard Enterprise и выполните установку, следуя указаниям мастера. После установки сервера автоматически задаются следующие параметры контроля доступа для сайта Indeed.AirCard.EntServer:

  • Проверка подлинности (Authentication): включена Анонимная проверка подлинности (Anonymous Authentication), остальные способы отключены.
  • Параметры SSL (SSL Settings): Требовать SSL (Require SSL) и Принимать (Accept) сертификаты клиента.

Настройте защищенное соединение в Диспетчере служб IIS (Internet Information Services Manager). Для доступа к серверу AirCard по HTTPS установите привязку, в которой определите порт и SSL/TLS-сертификат:

  1. Перейдите в Диспетчер служб IIS (IIS Manager).
  2. Выберите сайт Indeed.AirCard.EntServer и перейдите в раздел Привязки (Bindings).
  3. Нажмите Добавить (Add).
  4. Выберите Тип (Type) https.
  5. Укажите Порт (Port), например 3002.
  6. Укажите SSL-сертификат (SSL certificate) и нажмите OK.
ВАЖНО

Указанный порт должен быть открыт для входящих подключений в брандмауэре.

Убедитесь, что улучшенный ключ сертификата содержит значение Проверка подлинности сервера (Server Authentication) и выдан на имя рабочей станции, которое будет использоваться в адресе подключения.

Создание сертификата подписи

Сертификат подписи необходим для выдачи сертификатов пользовательским рабочим станциям, к которым подключаются устройства AirCard. Клиентский сертификат выдается автоматически при первом подключении устройства AirCard к компьютеру. При обращении к серверу клиентский компьютер предоставляет свой сертификат, а сервер Indeed AirCard Enterprise проверяет подлинность клиентского сертификата и разрешает подключение виртуальной карты.

Чтобы создать сертификат подписи:

Откройте командную строку с правами администратора на сервере Indeed AirCard Enterprise и запустите утилиту Indeed.AKES.CertificateGenerator.exe. После завершения работы утилиты в оснастке Сертификаты (Certificates) локального компьютера появится сертификат AirCard Enterprise Server CA.

Выдайте серверу AirCard права на чтение закрытого ключа сертификата сервера. Для этого:

  1. Перейдите в оснастку Сертификаты (Certificates) локального компьютера.
  2. Нажмите правой кнопкой мыши на сертификат AirCard Enterprise Server CA и выберите Все задачи (All tasks)→Управление закрытыми ключами (Manage Private Keys).
  3. Нажмите Добавить (Add), укажите локальную группу IIS_IUSRS (если используется IIS 7.0) или локальную учетную запись IIS AppPool\IndeedAKES (если используется IIS 7.5 и более поздние версии).
  4. Выставьте право на Чтение (Read).
  5. Нажмите Применить (Apply).
  6. Добавьте сертификат AirCard Enterprise Server CA в список Доверенных Корневых Центров Сертификации (Trusted Root Certification Authorities) на сервере AirCard и на рабочих станциях, к которым будут подключаться устройства AirCard.

Настройка параметров системы

Конфигурация настраивается в Мастере настройки Indeed AirCard Enterprise. Мастер запускается автоматически, если в Мастере установки сервера Indeed AirCard Enterprise отмечена опция Запустить мастер настройки Indeed AirCard Enterprise. Или можно запустить Мастер настройки вручную: Пуск→Все программы→Indeed Identity.

Параметры Мастера настройки Indeed AirCard Enterprise:

РазделОписание
Перед началом работыИнформация о назначении и возможностях Мастера настройки Indeed AirCard Enterprise.
Восстановление настроекЗагрузка резервной копии конфигурации Indeed AirCard Enterprise.
Клиентский сертификатНастройка контроля доступа к серверу Indeed AirCard Enterprise по сертификатам.

Предъявляемый клиентом (сервером системы Indeed CM) сертификат должен соответствовать заданному Фильтру сертификата и должен быть выдан на имя сервера Indeed CM, которое используется в адресе подключения.

Возможные значения:
- Назначение сертификата (OID) раздела Улучшенный ключ (Enhanced Key Usage) сертификата,
- Отпечаток сертификата (Thumbprint).
Например:
- EKUs:1.3.6.1.5.5.7.3.2
- Thumbprint:05eac3725eaa791f18ef45118ff3fa269c4d706f

ВАЖНО: Улучшенный ключ (Enhanced Key Usage) сертификата должен содержать значение Проверка подлинности клиента (Client Authentication).

Если в инфраструктуре используются несколько серверов Indeed CM, то OID или Thumbprint сертификатов каждого из них следует указать через точку с запятой, например:
- EKUs:OID1;EKUs:OID2
- Thumbprint:1;Thumbprint:2
Параметры карт AirCardОпределение параметров работы смарт-карт AirCard.

Если опция Показывать все подключенные смарт-карты AirCard включена, то в активной Windows-сессии пользователя отобразятся все смарт-карты AirCard, которые подключены к данной рабочей станции.
Если опция выключена, то в Windows-сессии пользователя отобразятся только подключенные смарт-карты AirCard текущего пользователя, а устройства других пользователей не будут видны (только внутри этой сессии).
Все подключенные устройства AirCard будут видны в интерфейсе разблокировки рабочей станции и смены пользователя.

Выберите созданный Сертификат подписи.
Отпечаток (Thumbprint) сертификата подписи Indeed AirCard Enterprise необходим для выдачи сертификатов пользовательским рабочим станциям. Сертификат пользователя создается в локальном хранилище компьютера при первом подключении устройства AirCard к рабочей станции.
Хранилище данных:
- Active Directory или Microsoft SQL
- Ключ шифрования		Определение хранилища данных системы и алгоритма шифрования данных. Создание резервной копии ключа шифрования и восстановление ключа из копии.
ПодтверждениеСводная информация по настройкам всех разделов Мастера с возможностью создания резервной копии конфигурации Indeed AirCard Enterprise.

При установке Indeed AirCard Enterprise сохраните копию необходимых параметров (опция Сохранить резервную копию параметров конфигурации).
При развертывании новых серверов Indeed AirCard Enterprise используйте файл резервной копии, указав его в разделе Восстановление настроек Мастера настройки.

ВАЖНО: Резервная копия настроек Indeed AirCard Enterprise включает в себя все параметры, определенные при установке системы, а также алгоритм и ключ шифрования данных. Сохраните файл резервной копии в защищенном месте.
РезультатыПосле завершения работы Мастера настройки Indeed AirCard Enterprise все указанные параметры будут записаны в файл конфигурации приложения и зашифрованы с помощью машинного ключа шифрования Microsoft .NET (.NetFrameworkConfigurationKey). Алгоритм шифрования – RSA.

Настройка интеграции в Indeed CM

Чтобы выпускать устройства AirCard для пользователя через Indeed Certificate Manager, необходимо настроить интеграцию и определить параметры работы с сервером Indeed AirCard Enterprise. Для этого:

  1. Перейдите на сервер Indeed CM, запустите Мастер настройки Indeed CM и перейдите в раздел AirCard Enterprise.
  2. Включите интеграцию с Indeed AirCard Enterprise.
  3. В поле URL подключения к серверу AirCard Enterprise укажите ссылку и порт для подключения к серверу. Убедитесь, что порт открыт в брандмауэре для входящих подключений на сервере AirCard.
  4. В поле Отпечаток сертификата укажите Отпечаток (Thumbprint) сертификата, выданного рабочей станции, на которой установлен сервер Indeed CM.
  5. В поле Время существования незарегистрированных смарт-карт AirCard Enterprise в секундах укажите время, по истечению которого служба Card Monitor удалит незарегистрированные устройства AirCard. Значение по умолчанию – 120 секунд.
  6. Перейдите в раздел Подтверждение и нажмите Применить для сохранения настроек. Рекомендуется сохранить файл резервной копии Indeed Certificate Manager вместе с параметрами подключения к Indeed AirCard Enterprise.
Пример настроек подключения к серверу Indeed AirCard Enterprise

ВАЖНО

Улучшенный ключ сертификата должен содержать значение Проверка подлинности клиента (Client Authentication). У группы IIS_IUSRS (если используется IIS 7.0) или учетной записи IIS AppPool\IndeedCM (если используется IIS 7.5 и более поздние версии) должны быть права на Чтение (Read) закрытого ключа указанного сертификата.