Примеры назначения и смены сервисных сертификатов

Внимание!

Смена сервисного сертификата влечет за собой изменения в настройке отношений доверия между компонентами. (см. примеры ниже).

Пример назначения и смены сертификата Центра Идентификации

Назначение и/или смена сервисного сертификата Центра Идентификации происходит в два этапа:

  • Назначение и/или смена сервисного сертификата Центра Идентификации.
  • Смена сертификата в настройках отношений доверия на компонентах DSS (Сервис Подписи, Веб-интерфейс Пользователя, Сервис Аудита).

Ниже приводится пример Powershell-сценария, демонстрирующий смену сертификата Центра Идентификации.

Пример:

# Назначение и/или смена сервисного сертификата Центра Идентификации
Set-DssStsProperties –ServiceCertificate <thumbprint>

# (!) Примечание
# Пулу приложений Центра Идентификации необходимо выдать права на доступ к закрытому
# ключу нового сервисного сертификата

# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-DssStsInstance

# Смена сертификата в настройках отношений доверия на Сервисе Подписи
Set-DSSClaimsProviderTrust -IssuerName realsts –NewThumbprint <thumbprint>

# Смена сертификата в настройках отношений доверия на Веб-интерфейсе Пользователя
Set-DSSFeClaimsProviderTrust -IssuerName realsts –NewThumbprint <thumbprint>

# Смена сертификата в настройках отношений доверия на Сервисе Аудита
Set-DssAnalyticsClaimsProviderTrust -IssuerName realsts –NewThumbprint <thumbprint>

# Смена сертификата в настройках отношений доверия на Сервисе Обработки Документов
Set-DssDocumentStoreClaimsProviderTrust -IssuerName realsts –NewThumbprint <thumbprint>

# (!) Примечание
# Значение параметра IssuerName можно посмотреть в выводе командлетов:
# Get-DSSClaimsProviderTrust
# Get-DSSFeClaimsProviderTrust
# Get-DSSAnalyticsClaimsProviderTrust
# Get-DSSDocumentStoreClaimsProviderTrust
# Имя издателя маркеров безопасности будет выведено в столбце «Имя»

# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-Dss(...,Fe,Analytics,DocumentStore)Instance

Пример назначения и смены сертификата Сервиса Подписи

Назначение и/или смена сервисного сертификата Сервиса Подписи происходит в два этапа:

  • Назначение и/или смена сервисного сертификата Сервиса Подписи.
  • Назначение и/или смена сертификата доверенной стороны на Центре Идентификации.

Ниже приводится пример Powershell-сценария, демонстрирующий смену сертификата Сервиса Подписи.

Пример:

# Назначение и/или смена сервисного сертификата Сервиса Подписи
Set-DssProperties –ServiceCertificateThumbprint <thumbprint>

# (!) Примечание
# Пулу приложений Сервиса Подписи необходимо выдать права на доступ к закрытому
# ключу нового сервисного сертификата

# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-DssSignServerInstance

# Смена сервисного сертификата доверенной стороны на Центре Идентификации
Set-DssRelyingPartyTrust -Id <signserver_ID> –MetadataUri http://<hostname>/<AppName>/FederationMetadata/2007-06/FederationMetadata.xml

# в примере выше:
# <hostname> – имя хоста, на котором развёрнут экземпляр Сервиса Подписи
# <AppName> – имя веб-приложения Сервиса Подписи. По умолчанию – SignServer
# <signserver_ID> – идентификатор доверенной стороны. Значение параметра можно
#                   посмотреть в выводе командлета Get-DssRelyingPartyTrust
# Доступность метаданных Сервиса Подписи можно проверить через браузер
# обратившись по адресу:
# http://<hostname>/<AppName>/FederationMetadata/2007-06/FederationMetadata.xml

# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-DssStsInstance.

Пример назначения и смены сертификата Веб-интерфейса Пользователя

Назначение и/или смена сервисного сертификата Веб-интерфейса Пользователя происходит в два этапа:

  • Назначение и/или смена сервисного сертификата Веб-интерфейса Пользователя.
  • Назначение и/или смена сертификата доверенной стороны на Центре Идентификации.

Ниже приводится пример Powershell-сценария, демонстрирующий смену сертификата Веб-интерфейса Пользователя.

Пример:

# Назначение и/или смена сервисного сертификата Веб-интерфейса Пользователя
Set-DSSFEProperties -ServiceCertificate <thumbprint>

# (!) Примечание
# Пулу приложений Веб-интерфейса Пользователя необходимо выдать 
# права на доступ к закрытому ключу нового сервисного сертификата

# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-DssFeInstance.

# Смена сервисного сертификата доверенной стороны на Центре Идентификации
Set-DssRelyingPartyTrust -Id <frontend_ID> –MetadataUri https://<hostname>/<AppName>/FederationMetadata/2007-06/FederationMetadata.xml

# ИЛИ
# если необходимо сменить только сертификат аутентификации Веб-интерфейса Пользователя

Set-DssRelyingPartyTrust -Id <frontend_ID> -AuthenticationCertificate <thumbprint>

# в примере выше:
# <hostname> – имя хоста, на котором развёрнут экземпляр 
#              Веб-интерфейса Пользователя.
# <AppName> – имя веб-приложения веб-интерфейса Пользователя. По умолчанию – SignServer
# <frontend_ID> – идентификатор доверенной стороны. Значение параметра можно
#                   посмотреть в выводе командлета Get-DssRelyingPartyTrust
# Доступность метаданных Веб-интерфейса Пользователя можно проверить через браузер
# обратившись по адресу:
# https://<hostname>/<AppName>/FederationMetadata/2007-06/FederationMetadata.xml

# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-DssStsInstance.

Пример назначения и смены сертификата Сервиса Аудита

Назначение и/или смена сервисного сертификата Сервиса Аудита происходит в два этапа:

  • Назначение и/или смена сервисного сертификата Сервиса Аудита.
  • Назначение и/или смена сертификата доверенной стороны на Центре Идентификации.

Ниже приводится пример Powershell-сценария, демонстрирующий смену сертификата Сервиса Аудита.

Пример:

# Назначение и/или смена сервисного сертификата Сервиса Аудита
Set-DSSAnalyticsServiceProperties -ServiceCertificateThumbprint <thumbprint>

# (!) Примечание
# Пулу приложений Сервиса Аудита необходимо выдать 
# права на доступ к закрытому нового сервисного сертификата

# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-DssAnalyticsInstance.

# Смена сервисного сертификата доверенной стороны на Центре Идентификации
Set-DssRelyingPartyTrust -Id <AnalyticsService> –MetadataUri http://<hostname>/<AppName>/FederationMetadata/2007-06/FederationMetadata.xml

# в примере выше:
# <hostname> – имя хоста, на котором развёрнут экземпляр Сервиса Аудита.
# <AppName> – имя веб-приложения Сервиса Аудита. По умолчанию – AnalyticsService
# <AnalyticsService> – идентификатор доверенной стороны. Значение параметра можно
#             посмотреть в выводе командлета Get-DssRelyingPartyTrust
# Доступность метаданных Сервиса Аудита можно проверить через браузер
# обратившись по адресу:
# http://<hostname>/<AppName>/FederationMetadata/2007-06/FederationMetadata.xml

# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-DssStsInstance.

Пример назначения и смены сертификата Сервиса Обработки Документов

Назначение и/или смена сервисного сертификата Сервиса Обработки Документов происходит в два этапа:

  • Назначение и/или смена сервисного сертификата Сервиса Обработки Документов.
  • Назначение и/или смена сертификата доверенной стороны на Центре Идентификации.

Ниже приводится пример Powershell-сценария, демонстрирующий смену сертификата Сервиса Обработки Документов.

Пример:

# Назначение и/или смена сервисного сертификата Сервиса Обработки Документов
Set-DSSDocumentStoreProperties -ServiceCertificate <thumbprint>

# (!) Примечание
# Пулу приложений Сервиса Обработки Документов необходимо выдать 
# права на доступ к закрытому ключу нового сервисного сертификата

# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-DssDocumentStoreInstance.

# Смена сервисного сертификата доверенной стороны на Центре Идентификации
Set-DssRelyingPartyTrust -Id <documentstore_ID> -AuthenticationCertificate <thumbprint>

# (!) Примечание
# После изменения настроек сертификатов необходимо перезапустить пул приложения при
# помощи команды Restart-DssStsInstance.