Установка и настройка сервера

Для установки и настройки сервера Indeed AirCard Enterprise, выполните следующие действия:

1. Установите сервер Indeed AirCard Enterprise.
2. Создайте сертификат подписи.
3. Настройте параметры системы Indeed AirCard Enterprise.
4. Настройте интеграцию в Indeed Certificate Manager.

Установка сервера

Запустите файл Indeed.AirCard.Enterprise.Server-<номер версии>.msi из дистрибутива Indeed AirCard Enterprise и следуйте указаниям мастера.

После установки сервера автоматически задаются следующие параметры контроля доступа для сайта Indeed.AirCard.EntServer:

• Проверка подлинности (Authentication): включена Анонимная проверка подлинности (Anonymous Authentication), остальные способы отключены.
• Параметры SSL (SSL Settings): Требовать SSL (Require SSL) и Принимать (Accept) сертификаты клиента.

Настройка защищенного соединения в IIS

Настройте защищенное соединение в Диспетчере служб IIS (Internet Information Services Manager). Установите привязку для доступа к серверу AirCard по HTTPS:

1. Перейдите в Диспетчер служб IIS (IIS Manager).
2. Выберите сайт Indeed AirCard Enterprise Server и перейдите в раздел Привязки (Bindings).
3. Нажмите Добавить (Add).
4. Выберите Тип (Type) https.
5. Укажите Порт (Port), например 3002. Убедитесь, что порт открыт для входящих подключений в брандмауэре.
6. Если сервер AirCard Enterprise установлен на Windows Server 2019 и выше, включите опцию Отключить HTTP/2 (Disable HTTP/2).
7. Укажите SSL-сертификат (SSL certificate) и нажмите OK.

предупреждение

Убедитесь, что улучшенный ключ сертификата содержит значение Проверка подлинности сервера (Server Authentication) и выдан на имя рабочей станции, которое указывается в адресе подключения.

Создание сертификата подписи

Сертификат подписи необходим для выдачи сертификатов пользовательским рабочим станциям, к которым подключаются устройства AirCard.

Подробнее о сертификате подписи

Клиентский сертификат выдается автоматически при первом подключении устройства AirCard к компьютеру.

При обращении к серверу клиентский компьютер предоставляет свой сертификат, а сервер Indeed AirCard Enterprise проверяет подлинность клиентского сертификата и разрешает подключение виртуальной карты.

Чтобы создать сертификат подписи:

1. Откройте командную строку с правами администратора на сервере Indeed AirCard Enterprise и запустите утилиту Indeed.ACES.CertificateGenerator.exe. После завершения работы утилиты в оснастке Сертификаты (Certificates) локального компьютера появится сертификат AirCard Enterprise Server CA.
2. Выдайте серверу AirCard права на чтение закрытого ключа сертификата сервера:
   1. Перейдите в оснастку Сертификаты (Certificates) локального компьютера.
   2. Нажмите правой кнопкой мыши на сертификат AirCard Enterprise Server CA и выберите Все задачи (All tasks)→Управление закрытыми ключами (Manage Private Keys).
   3. Нажмите Добавить (Add), укажите локальную группу IIS_IUSRS (если используется IIS 7.0) или локальную учетную запись IIS AppPool\Indeed ACES (если используется IIS 7.5 и более поздние версии).
   4. Выставьте право на Чтение (Read).
   5. Нажмите Применить (Apply).
   6. Добавьте сертификат AirCard Enterprise Server CA в список Доверенных Корневых Центров Сертификации (Trusted Root Certification Authorities) на сервере AirCard и на рабочих станциях, к которым будут подключаться устройства AirCard.

Настройка параметров

1. Откройте файл конфигурации appsettings.json. Файл находится по пути C:\inetpub\wwwroot\aircard\server.
2. Заполните параметры.
3. Сохраните изменения.

Параметр	Значение
adminFilter	Необязательный параметр. Данные клиентского сертификата сервера Indeed CM для аутентификации на сервере Indeed Aircard Enterprise: Назначение (OID) сертификата в разделе Улучшенный ключ (Enhanced Key Usage) Например, EKUs:1.3.6.1.5.5.7.3.2 Отпечаток (Thumbprint) сертификата Например, Thumbprint:05eac3725eaa791f18ef45118ff3fa269c4d706f Если в инфраструктуре развернуто несколько серверов Indeed CM, укажите OID или Thumbprint сертификата для каждого сервера через ;.
isCardsAllowedForAllUsers	true – в активной сессии пользователя отобразятся все смарт-карты AirCard, которые подключены к рабочей станции false – в активной сессии пользователя отобразятся только подключенные смарт-карты AirCard текущего пользователя, а устройства других пользователей не будут видны
serverCertThumbprint	Отпечаток (Thumbprint) сертификата подписи
storage	Хранилище данных: SqlServer или PostgreSql
connectionString	Строка подключения к хранилищу данных
cryptoAlgName	Алгоритм шифрования
cryptoKey	Ключ шифрования

Пример заполненного файла конфигурации с хранилищем в Microsoft SQL

{
  "certificateAccessControlSettings": {
    "adminFilter": "EKUs:1.3.6.1.5.5.7.3.1"
  },
  "airCardSettings": {
    "isCardsAllowedForAllUsers": true,
    "serverCertThumbprint": "138c1215787e4cb3460b7af46be77291bd4c7c1a"
  },
  "storage": "PostgreSql",
  "sqlPersistenceSettings": {
    "connectionString": "Data Source=DC;Initial Catalog=AirCard;User ID=Adm;Password=P@ssword;TrustServerCertificate=True",
    "cryptoAlgName": "AES",
    "cryptoKey": "9542a73b8208b601b50fc7ef53ab8065254394048e1ca155fac1e954fe965a71"
  },
  "eventLogAuditSettings": {
    "providerGuid": "{79A2642D-FDC4-4B29-88E6-972D2B7CECF7}"
  },
  "logging": {
    "logLevel": {
      "default": "Information",
      "microsoft": "Warning",
      "microsoft.Hosting.Lifetime": "Information"
    }
  },
  "allowedHosts": "*"
}

Пример заполненного файла конфигурации с хранилищем в PostgreSQL

{
  "certificateAccessControlSettings": {
    "adminFilter": "EKUs:1.3.6.1.5.5.7.3.1"
  },
  "airCardSettings": {
    "isCardsAllowedForAllUsers": true,
    "serverCertThumbprint": "138c1215787e4cb3460b7af46be77291bd4c7c1a"
  },
  "storage": "PostgreSql",
  "sqlPersistenceSettings": {
    "connectionString": "Server=DC;Database=AirCard;User Id=Adm;Password=P@ssword",
    "cryptoAlgName": "AES",
    "cryptoKey": "9542a73b8208b601b50fc7ef53ab8065254394048e1ca155fac1e954fe965a71"
  },
  "eventLogAuditSettings": {
    "providerGuid": "{79A2642D-FDC4-4B29-88E6-972D2B7CECF7}"
  },
  "logging": {
    "logLevel": {
      "default": "Information",
      "microsoft": "Warning",
      "microsoft.Hosting.Lifetime": "Information"
    }
  },
  "allowedHosts": "*"
}

Настройка интеграции с Indeed CM

Чтобы выпускать устройства AirCard для пользователя через Indeed Certificate Manager, настройте интеграцию и определите параметры работы с сервером Indeed AirCard Enterprise.

1. Перейдите на сервер Indeed CM, запустите Мастер настройки Indeed CM и перейдите в раздел AirCard Enterprise.
   Как запустить Мастер настройки Indeed CM
2. Включите опцию Включить интеграцию c Indeed AirCard Enterprise.
3. В поле URL подключения к серверу AirCard Enterprise укажите ссылку и порт для подключения к серверу. Убедитесь, что порт открыт в брандмауэре для входящих подключений на сервере AirCard.
4. В поле Отпечаток сертификата укажите Отпечаток (Thumbprint) сертификата, выданного рабочей станции, на которой установлен сервер Indeed CM.
   Как создать клиентский сертификат для сервера Indeed CM
5. В поле Время существования незарегистрированных смарт-карт AirCard Enterprise в секундах укажите время, по истечению которого служба Card Monitor удалит незарегистрированные устройства AirCard. Значение по умолчанию – 120 секунд.
6. Перейдите в раздел Подтверждение и нажмите Применить для сохранения настроек. Рекомендуется сохранить файл резервной копии Indeed Certificate Manager вместе с параметрами подключения к Indeed AirCard Enterprise.

ВАЖНО

Улучшенный ключ сертификата должен содержать значение Проверка подлинности клиента (Client Authentication). У группы IIS_IUSRS (если используется IIS 7.0) или учетной записи IIS AppPool\IndeedCM (если используется IIS 7.5 и более поздние версии) должны быть права на Чтение (Read) закрытого ключа указанного сертификата.