w-studio.idv.tw
在建立 ADRMS叢集的過程中會有一些關鍵的設定步驟需要完成, 這些設定會影響到叢集的運作模式, 與 AD整合的方式, 資料庫儲存位置, 以及金鑰的保存方式, 以下整理主要的設定項目:
1. 安裝類型與叢集模式:
。根憑證叢集(Root Certification Cluster)
部署第一台 ADRMS伺服器時必須建立根憑證叢集, 這個叢集會產生伺服器授權憑證(SLC), 用來簽發所有的授權與憑證
。授權叢集(Licensing-only Cluster)
在已經有根叢集的情況下額外的叢集可以只提供授權服務
2. 資料庫設定:
ADRMS需要一個 SQL Server資料庫來儲存設定與憑證資訊或是使用 WID, 可以選擇:
。本機 SQL Express(小型環境測試用)
。遠端 SQL Server(企業環境建議)
需要指定一個網域帳號作為 ADRMS服務帳號, 此帳號會用來與 AD、SQL資料庫、IIS等元件互動, 通常會建議使用一個專用的低權限帳號
4. 加密模式:
。模式1使用 RSA 1045位元金鑰和 SHA-1雜湊
。模式2使用 RSA 2048位元金鑰和 SHA-256雜湊
5. 叢集金鑰:
ADRMS核心的叢集金鑰用來保護及簽署憑證, 叢集金鑰的保存方式有兩種:
。密碼保護(存在本機)
。HSM(Hardware Security Module)或 CSP/KSP(企業環境建議, 提高安全性)
6. 叢集網址:
需設定 ADRMS服務存取的 URL: Cluster Address(URL), 用戶端與伺服器存取 ADRMS的位置, 通常會建議使用 FQDN, 如果未來要多台伺服器做負載平衡, 這個 URL就要設定成可共用的名稱(例如透過 NLB或負載平衡器)
7. 憑證與 SSL設定:
ADRMS與用戶端、伺服器之間的通訊通常需要 SSL憑證(HTTPS), 在安裝時可:
。使用現有的 SSL憑證
。建立新的憑證(例如由企業CA簽發)
8. Active Directory整合:
安裝過程中會將 ADRMS與 AD整合, 在 AD內建立 Service Connection Point(SCP), 讓網域使用者能自動找到 ADRMS叢集, 必須具備 AD中的適當權限(通常是企業系統管理員)
9. 授權與憑證設定:
部署完成後叢集會產生並使用以下憑證:
。伺服器授權憑證(SLC)
。使用者帳戶憑證(UAC)
。權限帳號憑證(RAC)
。用戶端授權憑證(CLC)
這些會自動隨叢集建立不需人工額外設定, 但管理者需要知道它們的角色
沒有留言:
張貼留言