Как настроить сертификаты для пересылки и сбора ACS

 

Применимо к:System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

Если сервер пересылки службы сбора аудита (ACS), находится в домене, отдельно от домена, где расположен сборщика ACS, и существует не двустороннее доверие между двумя доменами, так что проверка подлинности может выполняться между сервер пересылки ACS и сборщиком ACS, необходимо использовать сертификаты.

Прежде чем настроить сертификаты, убедитесь, что выполнены следующие действия:

• На сервере пересылки ACS:

  • Агент был установлен на компьютере, который будет использоваться в качестве сервера пересылки ACS. Дополнительные сведения см. в статье Способы установки агента Operations Manager.

  • [ЦС] сертификата и сертификации сертификат установлен на компьютере агента. Дополнительные сведения см. в разделе проверки подлинности и шифрование данных для компьютеров Windows в руководстве по развертыванию.

• Сборщика ACS:

  • Сертификат (и сертификат ЦС) устанавливается на сервере управления со сборщиком ACS. Дополнительные сведения см. в разделе проверки подлинности и шифрование данных для компьютеров Windows в руководстве по развертыванию.

  • Утверждение ожидающих агента и связи между агентом и сервером управления функционирует правильно. Дополнительные сведения см. в статье Обработка установки агентов вручную.

  • Устанавливается сборщика ACS и базы данных. Дополнительные сведения см. в разделе Установка службы сбора аудита (ACS) сборщика и базы данных в руководстве по развертыванию.

Ниже приводится общий обзор действий, которые необходимо выполнить для использования сертификатов с помощью службы ACS.

Важно
Сертификаты, используемые на различных компонентах в Operations Manager (например, сборщика ACS, сервер пересылки ACS, агента, сервер шлюза или сервера управления) должен быть выдан тем же ЦС.

На компьютере сборщика ACS:

• Запустите ADTServer - c.

• Сопоставление сертификата сервера пересылки ACS в Active Directory.

• В консоли управления включения служб ACS.

На компьютере, где размещается сервер пересылки ACS:

• Экспортируйте сертификат на диске, USB-устройство флэш-накопитель или общий сетевой ресурс.

• Запустите ADTAgent - c.

Чтобы назначить сертификат сборщика ACS

1. На рабочем столе Windows нажмите кнопку Пуск и выберите пункт Выполнить.

2. В диалоговом окне Выполнение введите cmd и нажмите кнопку ОК.

3. В командной строке введите <drive_letter>: (где <drive_letter> — это диск, где установлена операционная система), а затем нажмите клавишу ВВОД.

4. Тип cd % systemroot %, а затем нажмите клавишу ВВОД.

5. Тип cd system32\security\adtserver, а затем нажмите клавишу ВВОД.

6. Тип net stop adtserver, а затем нажмите клавишу ВВОД.

7. Тип adtserver - c, а затем нажмите клавишу ВВОД.

8. В нумерованный список сертификатов найти сертификат, используемый для Operations Manager, введите номер в списке (должен быть равен 1) и нажмите клавишу ВВОД.

9. Тип Команда net start adtserver и нажмите клавишу ВВОД.

Настройка сопоставления сертификата с именем

1. Войдите на компьютере, где размещается Active Directory.

2. На рабочем столе Windows щелкните Запуск, пункты программы, пункты Администрирование, и нажмите кнопку Active Directory-пользователи и компьютеры.

3. Разверните имя домена, щелкните правой кнопкой мыши компьютеры, пункты Создать, и нажмите кнопку компьютере.

4. В новый объект - компьютер диалоговое окно, введите имя NetBIOS компьютера, на котором размещается сервер пересылки ACS и нажмите кнопку Далее. Повторите этот шаг для каждого компьютера, на котором размещен сервер пересылки ACS.

5. В управляемый диалогового окна убедитесь, что Это управляемый компьютер не выбран и нажмите кнопку Далее.

6. В новый объект - компьютер диалоговое окно, нажмите кнопку Готово.

7. В Active Directory компьютеры и пользователи, в области справа щелкните правой кнопкой мыши компьютер (или компьютеры) можно добавить и нажмите кнопку сопоставлений имен.

8. В сопоставление объекта безопасности диалоговое окно, нажмите кнопку сертификаты X.509, а затем нажмите кнопку Добавить.

9. В Добавление сертификата диалоговое окно, нажмите кнопку Искать в меню, выберите местоположение, где расположен экспортированный сертификат и нажмите кнопку Откройте.

10. В Добавление сертификата диалогового окна убедитесь, что использовать субъекта как альтернативный объект безопасности выбран и нажмите кнопку ОК.

11. В сопоставление объекта безопасности диалоговое окно, нажмите кнопку ОК.

12. Повторите шаги 4 – 11 для каждого компьютера, который вы добавили.

После выполнения этих процедур необходимо включить серверов пересылки ACS. Дополнительные сведения см. в статье Как включить сбор аудита службы пересылки (ACS).

Экспорт сертификата

1. На рабочем столе Windows нажмите кнопку Пуск и выберите пункт Выполнить.

2. В запуска диалоговом mmc, а затем нажмите кнопку ОК.

3. В меню Файл выберите команду Добавить или удалить оснастку.

4. В диалоговом окне Добавление или удаление оснастки нажмите кнопку Добавить.

5. В диалоговом окне Добавить изолированную оснастку нажмите выберите Сертификаты, а затем нажмите кнопку Добавить.

6. В диалоговом окне Оснастка диспетчера сертификатов установите переключатель учетной записи компьютера, а затем нажмите кнопку Далее.

7. В Выбор компьютера выберите локальный компьютер (компьютер, на которой запущена эта консоль), а затем нажмите кнопку Готово.

8. В диалоговом окне Добавление изолированной оснастки нажмите кнопку Закрыть.

9. В диалоговом окне Добавление или удаление оснастки нажмите кнопку ОК.

10. В области консоли Root\Certificates (локальный компьютер), разверните Сертификаты (локальный компьютер), разверните Личные, и нажмите кнопку Сертификаты.

11. В области результатов щелкните правой кнопкой мыши сертификат, который вы используете для Operations Manager, выберите Все задачи, а затем нажмите кнопку экспорта.

12. В Мастер экспорта сертификатов, на приветствия щелкните Далее.

13. На Экспорт закрытого ключа выберите Нет, обратите внимание, экспортировать закрытый ключ, а затем нажмите кнопку Далее.

14. На Формат экспортируемого файла выберите DER-кодировке X.509 (. (CER), а затем нажмите кнопку Далее.

15. На файл для экспорта щелкните Обзор.

16. На Сохранить как выберите папку и имя файла сертификата, убедитесь, что тип равен DER кодировке X.509 (*.cer), и нажмите кнопку Сохранить.

    Примечание
    Необходимо скопировать этот сертификат на компьютер со сборщиком ACS, поэтому выберите расположение, что сборщика ACS для чтения или имеет смысл сохранить сертификат на диск, ФЛЭШ-накопитель USB или общий сетевой ресурс. Кроме того рекомендуется включить имя компьютера в имени файла при экспорте сертификатов из более чем один компьютер.

17. На файл для экспорта убедитесь, что путь и имя файла указаны правильно, нажмите кнопку Далее, а затем нажмите кнопку Готово.

Чтобы выполнить команду adtagent

1. На рабочем столе Windows нажмите кнопку Пуск и выберите пункт Выполнить.

2. В диалоговом окне Выполнение введите cmd и нажмите кнопку ОК.

3. В командной строке введите <drive_letter>: (где <drive_letter> — это диск, где установлена операционная система), а затем нажмите клавишу ВВОД.

4. Тип cd % systemroot % и нажмите клавишу ВВОД.

5. Тип cd system32 и нажмите клавишу ВВОД.

6. Тип adtagent - c и нажмите клавишу ВВОД.

7. Вы увидите нумерованного списка сертификатов. Найти сертификат, используемый для Operations Manager, введите номер в списке (должен быть равен 1) и нажмите клавишу ВВОД.

8. Тип выхода чтобы закрыть окно командной строки.

См. также

Сбор событий безопасности с помощью служб ACS в Operations Manager
Безопасность служб ACS
Планирование загрузки служб ACS
Счетчики производительности служб ACS
Как включить сбор аудита службы пересылки (ACS)
Как включить ведение журнала событий и правил ACS на компьютерах AIX и Solaris
Инструкции по фильтрации событий ACS для UNIX и Linux компьютеров
Мониторинг производительности служб ACS
Удаление службы сбора аудита (ACS)
Администрирование служб ACS (AdtAdmin.exe)