Примеры назначения и смены сервисных сертификатов
Внимание!
Смена сервисного сертификата влечет за собой изменения в настройке отношений доверия между компонентами. (см. примеры ниже).
Пример назначения и смены сертификата Центра Идентификации
Назначение и/или смена сервисного сертификата Центра Идентификации происходит в два этапа:
- Назначение и/или смена сервисного сертификата Центра Идентификации.
- Смена сертификата в настройках отношений доверия на компонентах DSS (Сервис Подписи, Веб-интерфейс Пользователя, Сервис Аудита).
Ниже приводится пример Powershell-сценария, демонстрирующий смену сертификата Центра Идентификации.
Пример:
# Назначение и/или смена сервисного сертификата Центра Идентификации
Set-DssStsProperties –ServiceCertificate <thumbprint>
# (!) Примечание
# Пулу приложений Центра Идентификации необходимо выдать права на доступ к закрытому
# ключу нового сервисного сертификата
# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-DssStsInstance
# Смена сертификата в настройках отношений доверия на Сервисе Подписи
Set-DSSClaimsProviderTrust -IssuerName realsts –NewThumbprint <thumbprint>
# Смена сертификата в настройках отношений доверия на Веб-интерфейсе Пользователя
Set-DSSFeClaimsProviderTrust -IssuerName realsts –NewThumbprint <thumbprint>
# Смена сертификата в настройках отношений доверия на Сервисе Аудита
Set-DssAnalyticsClaimsProviderTrust -IssuerName realsts –NewThumbprint <thumbprint>
# Смена сертификата в настройках отношений доверия на Сервисе Обработки Документов
Set-DssDocumentStoreClaimsProviderTrust -IssuerName realsts –NewThumbprint <thumbprint>
# (!) Примечание
# Значение параметра IssuerName можно посмотреть в выводе командлетов:
# Get-DSSClaimsProviderTrust
# Get-DSSFeClaimsProviderTrust
# Get-DSSAnalyticsClaimsProviderTrust
# Get-DSSDocumentStoreClaimsProviderTrust
# Имя издателя маркеров безопасности будет выведено в столбце «Имя»
# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-Dss(...,Fe,Analytics,DocumentStore)Instance
Пример назначения и смены сертификата Сервиса Подписи
Назначение и/или смена сервисного сертификата Сервиса Подписи происходит в два этапа:
- Назначение и/или смена сервисного сертификата Сервиса Подписи.
- Назначение и/или смена сертификата доверенной стороны на Центре Идентификации.
Ниже приводится пример Powershell-сценария, демонстрирующий смену сертификата Сервиса Подписи.
Пример:
# Назначение и/или смена сервисного сертификата Сервиса Подписи
Set-DssProperties –ServiceCertificateThumbprint <thumbprint>
# (!) Примечание
# Пулу приложений Сервиса Подписи необходимо выдать права на доступ к закрытому
# ключу нового сервисного сертификата
# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-DssSignServerInstance
# Смена сервисного сертификата доверенной стороны на Центре Идентификации
Set-DssRelyingPartyTrust -Id <signserver_ID> –MetadataUri http://<hostname>/<AppName>/FederationMetadata/2007-06/FederationMetadata.xml
# в примере выше:
# <hostname> – имя хоста, на котором развёрнут экземпляр Сервиса Подписи
# <AppName> – имя веб-приложения Сервиса Подписи. По умолчанию – SignServer
# <signserver_ID> – идентификатор доверенной стороны. Значение параметра можно
# посмотреть в выводе командлета Get-DssRelyingPartyTrust
# Доступность метаданных Сервиса Подписи можно проверить через браузер
# обратившись по адресу:
# http://<hostname>/<AppName>/FederationMetadata/2007-06/FederationMetadata.xml
# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-DssStsInstance.
Пример назначения и смены сертификата Веб-интерфейса Пользователя
Назначение и/или смена сервисного сертификата Веб-интерфейса Пользователя происходит в два этапа:
- Назначение и/или смена сервисного сертификата Веб-интерфейса Пользователя.
- Назначение и/или смена сертификата доверенной стороны на Центре Идентификации.
Ниже приводится пример Powershell-сценария, демонстрирующий смену сертификата Веб-интерфейса Пользователя.
Пример:
# Назначение и/или смена сервисного сертификата Веб-интерфейса Пользователя
Set-DSSFEProperties -ServiceCertificate <thumbprint>
# (!) Примечание
# Пулу приложений Веб-интерфейса Пользователя необходимо выдать
# права на доступ к закрытому ключу нового сервисного сертификата
# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-DssFeInstance.
# Смена сервисного сертификата доверенной стороны на Центре Идентификации
Set-DssRelyingPartyTrust -Id <frontend_ID> –MetadataUri https://<hostname>/<AppName>/FederationMetadata/2007-06/FederationMetadata.xml
# ИЛИ
# если необходимо сменить только сертификат аутентификации Веб-интерфейса Пользователя
Set-DssRelyingPartyTrust -Id <frontend_ID> -AuthenticationCertificate <thumbprint>
# в примере выше:
# <hostname> – имя хоста, на котором развёрнут экземпляр
# Веб-интерфейса Пользователя.
# <AppName> – имя веб-приложения веб-интерфейса Пользователя. По умолчанию – SignServer
# <frontend_ID> – идентификатор доверенной стороны. Значение параметра можно
# посмотреть в выводе командлета Get-DssRelyingPartyTrust
# Доступность метаданных Веб-интерфейса Пользователя можно проверить через браузер
# обратившись по адресу:
# https://<hostname>/<AppName>/FederationMetadata/2007-06/FederationMetadata.xml
# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-DssStsInstance.
Пример назначения и смены сертификата Сервиса Аудита
Назначение и/или смена сервисного сертификата Сервиса Аудита происходит в два этапа:
- Назначение и/или смена сервисного сертификата Сервиса Аудита.
- Назначение и/или смена сертификата доверенной стороны на Центре Идентификации.
Ниже приводится пример Powershell-сценария, демонстрирующий смену сертификата Сервиса Аудита.
Пример:
# Назначение и/или смена сервисного сертификата Сервиса Аудита
Set-DSSAnalyticsServiceProperties -ServiceCertificateThumbprint <thumbprint>
# (!) Примечание
# Пулу приложений Сервиса Аудита необходимо выдать
# права на доступ к закрытому нового сервисного сертификата
# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-DssAnalyticsInstance.
# Смена сервисного сертификата доверенной стороны на Центре Идентификации
Set-DssRelyingPartyTrust -Id <AnalyticsService> –MetadataUri http://<hostname>/<AppName>/FederationMetadata/2007-06/FederationMetadata.xml
# в примере выше:
# <hostname> – имя хоста, на котором развёрнут экземпляр Сервиса Аудита.
# <AppName> – имя веб-приложения Сервиса Аудита. По умолчанию – AnalyticsService
# <AnalyticsService> – идентификатор доверенной стороны. Значение параметра можно
# посмотреть в выводе командлета Get-DssRelyingPartyTrust
# Доступность метаданных Сервиса Аудита можно проверить через браузер
# обратившись по адресу:
# http://<hostname>/<AppName>/FederationMetadata/2007-06/FederationMetadata.xml
# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-DssStsInstance.
Пример назначения и смены сертификата Сервиса Обработки Документов
Назначение и/или смена сервисного сертификата Сервиса Обработки Документов происходит в два этапа:
- Назначение и/или смена сервисного сертификата Сервиса Обработки Документов.
- Назначение и/или смена сертификата доверенной стороны на Центре Идентификации.
Ниже приводится пример Powershell-сценария, демонстрирующий смену сертификата Сервиса Обработки Документов.
Пример:
# Назначение и/или смена сервисного сертификата Сервиса Обработки Документов
Set-DSSDocumentStoreProperties -ServiceCertificate <thumbprint>
# (!) Примечание
# Пулу приложений Сервиса Обработки Документов необходимо выдать
# права на доступ к закрытому ключу нового сервисного сертификата
# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-DssDocumentStoreInstance.
# Смена сервисного сертификата доверенной стороны на Центре Идентификации
Set-DssRelyingPartyTrust -Id <documentstore_ID> -AuthenticationCertificate <thumbprint>
# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-DssStsInstance.