Рабочий процесс проверки подлинности Azure ADAzure AD authentication workflow

Область применения: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Эта статья содержит справочные сведения о процессе установки и регистрации клиента Configuration Manager на устройстве с Windows 10, присоединенном к Azure Active Directory (Azure AD).This article is a technical reference for the Configuration Manager client installation and registration process on a Windows 10 device that is joined to Azure Active Directory (Azure AD). Здесь подробно рассматривается рабочий процесс проверки подлинности устройства.It details the workflow process for the device authentication.

Примечание

Клиенты Windows 10 получают сертификат подключения к рабочему месту (WPJ), когда они присоединяются к клиенту Azure AD.Windows 10 clients get a workplace join (WPJ) certificate when they join an Azure AD tenant. Если сертификат не найден, клиент Configuration Manager не сможет запросить маркеры Azure AD.If the certificate isn't found, the Configuration Manager client can't request Azure AD tokens. Без маркера клиент не сможет использовать канал связи службы маркеров безопасности Configuration Manager (CCM_STS) для аутентификации Azure AD с помощью систем сайта Configuration Manager.Without a token, the client can't use the Configuration Manager security token service (CCM_STS) communication channel for Azure AD authentication with Configuration Manager site systems.

Установка клиентаClient installation

В этом примере рабочего процесса вы установили клиент Configuration Manager на устройстве с Windows 10 через Интернет со следующими свойствами командной строки ccmsetup:In this workflow sample, you installed the Configuration Manager client on a Windows 10 device over the internet with the following ccmsetup command-line properties:

CCMHOSTNAME="CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500" SMSSITECODE="MEM"

Схема рабочего процесса CcmSetup с проверкой подлинности Azure AD

1. Запрос сведений Azure AD из ccmsetup1. Azure AD info request from ccmsetup

Клиентам, установленным из Интернета, требуются определенные свойства командной строки для использования проверки подлинности Azure AD.Clients installed from internet need specific command-line properties to use Azure AD authentication. Эти свойства можно включить в командную строку для internet ccmsetup, но они не обязательны.You can include these properties in the command line for internet ccmsetup, but they aren't required. Если вы не используете свойства Azure AD, ccmsetup запрашивает свойства AADCLIENTAPPID и AADRESOURCEURI из шлюза управления облачными клиентами (CMG).When you don't use Azure AD properties, ccmsetup requests the AADCLIENTAPPID and AADRESOURCEURI properties from the cloud management gateway (CMG). Он использует TenantID Azure AD устройства как справку.It uses the device's Azure AD TenantID as a reference. Если TenantID клиента не был подключен в Configuration Manager, CMG не предоставит ccmsetup необходимые свойства для продолжения установки клиента.If you haven't onboarded the client's TenantID in Configuration Manager, the CMG doesn't give the required properties to ccmsetup to continue client installation.

В ccmsetup.log клиента вносятся приведенные ниже записи.The following entries are logged in ccmsetup.log of the client:

Getting AAD info from CMG 'CMG.CLOUDAPP.NET'
SMS CCM 5.0: Host=CMG.CLOUDAPP.NET, Path=/CCM_Proxy_ServerAuth/AADAuthInfo?TenantID=9aaf466a-3f40-4468-b3cd-f0010f21f05a, Port=443, Protocol=https, CcmTokenAuth=0, Flags=0x1304, Options=0xe0
Created connection on port 443
Enabled SSL revocation check.

Важно!

Во время ccmsetup устройство должно проверять сертификат проверки подлинности сервера CMG.During ccmsetup, the device has to validate the CMG server authentication certificate. Сертификат корневого центра сертификации (ЦС) для сертификата проверки подлинности сервера CMG должен быть доступен на клиенте, чтобы проверить цепочку.The root certificate authority (CA) certificate for the CMG server authentication certificate needs to be available on the client for the chain validation. Если вы используете PKI, а корневой ЦС не опубликован в Интернете, добавьте сертификат корневого ЦС в хранилище корневых ЦС устройства.If you use PKI, when the root CA isn't published on the internet, add the root CA certificate to the device's root CAs store.

Если список отзыва сертификатов (CRL) корневого центра сертификации не опубликован в Интернете, добавьте параметр /nocrlcheck в командной строке ccmsetup.If the root CA certificate revocation list (CRL) isn't published on internet, add the /nocrlcheck parameter in the ccmsetup command line.

2. Запрос маркера безопасности Azure AD2. Azure AD token request

На устройстве, присоединенном к домену Windows 10 Azure AD, ccmsetup использует свойства Azure AD для запроса маркера Azure AD, вызывающего поставщик ADALOperation.On a Windows 10 Azure AD domain-joined device, ccmsetup uses the Azure AD properties to request an Azure AD token calling the ADALOperation provider. В ccmsetup.log клиента вносятся приведенные ниже записи.The following entries are logged in ccmsetup.log on the client:

Getting AAD (device) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8b, ResourceUrl = https://ConfigMgrService, AccountId = https://login.microsoftonline.com/common/oauth2/token

Если запрос маркера устройства завершается неудачей, ccmsetup перейдет к попытке запросить маркер пользователя Azure AD.If the device token request fails, ccmsetup falls back to try requesting an Azure AD user token. Если устройство не может получить маркер устройства или пользователя Azure AD, ccmsetup завершит свою работу.If the device can't get either an Azure AD device or user token, ccmsetup doesn't continue.

Примечание

Если у устройства есть действительный PKI-сертификат проверки подлинности клиента, ccmsetup всегда будет предпочитать этот сертификат.If the device has a valid PKI client authentication certificate, ccmsetup always prefers the certificate. В этом случае клиент устанавливается как PKI-клиент и не использует проверку подлинности Azure AD.In this case, the client installs as a PKI client and doesn't use Azure AD authentication.

WAM token request failed. Status 5, Details 'AAD WAM extension error'
Failed to get AAD token..
Unknown error (Error: D0090016; Source: Unknown)
Failed to get AAD token for 'S-1-5-18' from WAM API. Error 0xd0090016
Falling back to get user 'S-1-5-21-1527250992-855612568-2252598708-1604' token for system...
Getting AAD (user) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8, ResourceUrl = https://ConfigMgrService, AccountId = 149FC29A-ECE3-123-A3C1-123456F035A6E
Retrieved AAD token for AAD user 'e8838041-db7a-42d5-b9ae-78813910e4cc'

3. Запрос маркера безопасности клиента Configuration Manager3. Configuration Manager client token request

Клиент использует маркер Azure AD, чтобы запросить маркер клиента Configuration Manager (CCM).The client uses the Azure AD token to request the Configuration Manager client (CCM) token. Операционная связь между ccmsetup и сайтом использует маркер CCM в качестве маркера авторизации (CcmTokenAuth=1).Operational communication between ccmsetup and the site uses the CCM token as authorization token (CcmTokenAuth=1).

3.1. Клиент отправляет запрос маркера CCM в CMG3.1 Client sends CCM token request to CMG

В ccmsetup.log клиента вносятся приведенные ниже записи.The following entries are logged in ccmsetup.log on the client:

Getting CCM Token from STS server 'cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500'
Getting CCM Token from https://cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500/CCM_STS

3.2 Шлюз управления облачными клиентами перенаправляет его в точку подключения шлюза3.2 CMG forwards to CMG connection point

В CMGService.log на экземпляре виртуальной машины CMG вносятся следующие записи.The following entries are logged in CMGService.log on the CMG VM instance.

RequestUri: /CCM_PROXY_SERVERAUTH/72057594037937981/CCM_STS  RequestCount: 1  RequestSize: 1974 Bytes  ResponseCount: 1  ResponseSize: 1566 Bytes  AverageElapsedTime: 218 ms~~  $$<CMGService><06-24-2020 15:31:46.376+00><thread=4992 (0x1380)>

Совет

Configuration Manager синхронизирует CMGService.log с папкой журналов сервера сайта каждые пять минут как CMG-<CMGname>-ProxyService_IN_<%>-CMGService.log.Configuration Manager synchronizes the CMGService.log to the site server logs folder every five minutes as CMG-<CMGname>-ProxyService_IN_<%>-CMGService.log.

3.3 Точка подключения шлюза управления облачными клиентами преобразует запрос клиента в запрос точки управления клиентом3.3 CMG connection point transforms CMG client request to management point client request

В SMS_CLOUD_PROXYCONNECTOR.log (подробный режим) системы сайта, на котором размещается роль точки подключения CMG заносятся следующие записи:The following entries are logged in SMS_CLOUD_PROXYCONNECTOR.log (verbose mode) of the site system that hosts the CMG connection point role:

SMS_CLOUD_PROXYCONNECTOR    Switched to internal URL. Replaced 'https://CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/CCM_STS' in   'https://CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/CCM_STS' with 'https://MP.MYCORP.COM/CCM_STS' and got 'https:///MP.MYCORP.COM/CCM_STS~~

3.4 Точка управления проверяет маркер пользователя в базе данных сайта3.4 Management point verifies user token in site database

В CCM_STS. log системы сайта, на котором размещается точка управления, обрабатывающая запрос клиента заносятся следующие записи:The following entries are logged in CCM_STS.log of the site system that hosts the management point that handles the client request:

ProcessRequest - Start
Incoming request URL: https://MP.MYCORP.COM/CCM_STS
Validated AAD token. TokenType: UDA TenantId: 2ca9a796-a1a6-43ec-88f1-5935b32155c5 UserId: e8838041-db7a-42d5-b9ae-78813910e4cc DeviceId: 8d2b4ff9-0172-4998-9851-b5324303385f OnPrem_UserSid: S-1-5-21-1527250992-855612568-2252598708-1604 OnPrem_DeviceSid:  
TokenType is UDA
Created SCCM token, token type: UDA, hierarchyId: 8ed3174b-e814-41b5-b51c-fb368f0d4003, userId: 23bbbba2-702e-4db4-8fd9-3b4fe3a5175d, deviceId: GUID:13E80CEF-5698-4C63-9ED6-E58FBFF78C38
Issued token
Return token to client

4. Запрос о расположении содержимого4. Content location request

Когда клиент получает маркер CCM, он кэширует его и использует для запроса сведений о сайте и расположении содержимого ccmsetup.cab.Once the client gets the CCM token, it caches and uses it to request site information and content location of ccmsetup.cab. Содержимое клиента скачивается на устройство, после чего начинается установка.Once the device downloads the client content, it starts the installation. В ccmsetup.log клиента вносятся приведенные ниже записи.The following entries are logged in ccmsetup.log on the client:

Cached encrypted token for 'S-1-5-18'. Will expire at '06/25/2020 08:29:35'
ccmsetup: Host=CMG.cloudapp.net, Path=/CCM_Proxy_ServerAuth7981/ccm_system_tokenauth/request, Port=443, Protocol=https, CcmTokenAuth=1, Flags=0x4100, Options=0xe0
Created connection on port 443
Sending location request to 'cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500' with payload '< Request >
Appending CCM Token to the header.
Received message '<SiteInfoReply SchemaVersion="1.00">  < reply > </SiteInfoReply>'
     ...
Checking the URL 'https://CMG.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500/CCM_Client/ccmsetup.cab
ccmsetup: Host=CMG.cloudapp.net, Path=/CCM_Proxy_ServerAuth/72057594037937995/CCM_Client
Appending CCM Token to the header.
Found a valid online MP 'https://CMG.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500
Searching for DP locations from MP(s)...
CCMSETUP bootstrap from Internet: 1
Sending message body '<ContentLocationRequest SchemaVersion="1.00"  BGRVersion="1"> ...
The location 'https://CMG.cloudapp.net/downloadrestservice.svc/getcontentxmlsecure?pid=CS100001&cid=CS100001
     ...
Installing version 5.00.8968.1000 of the client with product code {66653948-0717-4D50-B0B9-ED66FDED2DDB}
Running installation package
Package:     C:\WINDOWS\ccmsetup\{E6F27809-FF66-4BAA-B0FB-E4A154A6A388}\client.msi

Примечание

Если клиент находит содержимое из CMG с поддержкой содержимого или облачной точки распространения, ccmsetup загружает содержимое из облачного хранилища.If the client finds the content from a content-enabled CMG or cloud-based distribution point, ccmsetup downloads the content from the cloud storage. Если последняя версия клиента недоступна в облаке, она скачивает содержимое из точки управления, используя запрос CMG.If the latest client version isn't available on the cloud, it downloads the content from the management point via a CMG request.

Регистрация клиентаClient registration

Схема рабочего процесса CcmSetup с проверкой подлинности Azure AD

1. Регистрация запроса к клиентам Configuration Manager1. Configuration Manager client request registration

После того как ccmsetup успешно установил клиент Configuration Manager, выполняется инициализация регистрации.Once ccmsetup successfully installs the Configuration Manager client, registration initializes. В ClientIDManagerStartup.log клиента вносятся следующие записи.The following entries are logged in ClientIDManagerStartup.log of the client:

AADJoinStatusTask: Client hasn't been registered yet.
RegEndPoint: Event notification: CCM_RemoteClient_Reassigned
RegEndPoint: Received notification for site assignment change from '<none>' to 'MEM'.
     ...
[RegTask] - Starting registration, attempt 1.
[RegTask] - Client is not registered. Sending registration request for GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139 ...
Registering client using AAD auth.

2. Configuration Manager запрашивает маркер Azure AD для регистрации клиента2. Configuration Manager requests Azure AD token to register client

Клиент запрашивает новый маркер Azure AD для регистрации с использованием проверки подлинности Azure AD.The client requests a new Azure AD token to register using Azure AD authentication. Он предпочитает маркер устройства, но если он недоступен, клиент переходит к запросу маркера пользователя Azure AD.It prefers a device token, but if it's not available, the client falls back to request an Azure AD user token. В ADALOperationProvider.log клиента вносятся приведенные ниже записи.The following entries are logged in ADALOperationProvider.log of the client:

Getting AAD (user) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8, ResourceUrl = https://ConfigMgrService, AccountId = 9756a359-f76a-47d5-8662-9a837012fc35
Retrieved AAD token for AAD user 'e8838041-db7a-42d5-b9ae-78813910e4cc'

3. Запрос на регистрацию3. Registration request

Компонент регистрации в точке управления обрабатывает процесс регистрации клиента.The registration component on the management point handles the client registration process. Клиент отправляет сообщение регистрации в конечную точку MP_ClientRegistration.The client sends a registration message to the MP_ClientRegistration endpoint.

3.1 CMG перенаправляет запрос на регистрацию клиента в точку управления3.1 CMG forwards the client registration request to the management point

В MP_RegistrationManager.log системы сайта, на котором размещается точка управления, обрабатывающая запрос клиента заносятся следующие записи:The following entries are logged in the MP_RegistrationManager.log of the site system that hosts the management point that handles the client request:

Registering device using AAD auth: DeviceId='8d2b4ff9-0172-4998-9851-b5324303385f ', TenantId='c8c82542-203c-4df9-9d86-cdd4dae67e0a'
Processing Registration request from Client 'GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139'

3.2 Клиент Configuration Manager зарегистрирован3.2 Configuration Manager client is registered

Если регистрация успешна, клиент получает сообщение с подтверждением регистрации, содержащее Утверждение 3 для регистрации на основе Azure AD.If registration succeeds, the client gets a confirmation message of registration with Approval 3 for Azure AD-based registration. В ClientIDManagerStartup.log клиента вносятся следующие записи.The following entries are logged in ClientIDManagerStartup.log of the client:

[RegTask] - Client is registered. Server assigned ClientID is GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139. Approval status 3

4. Запрос маркера безопасности клиента Configuration Manager4. Configuration Manager client token request

После того как сервер подтверждает регистрацию клиента, клиент обрабатывает ответное сообщение.Once the server confirms the client registration, the client processes the reply message. Затем клиент запрашивает и кэширует новый маркер CCM.The client then requests and caches a new CCM token. В ClientIDManagerStartup.log клиента вносятся следующие записи.The following entries are logged in ClientIDManagerStartup.log of the client:

Getting CCM Token from STS server 'MP.MYCORP.COM'
Getting CCM Token from https://MP.MYCORP.COM/CCM_STS
     ...
Cached encrypted token for 'S-1-5-18'. Will expire at '08/12/2020 18:55:40'

4.1 CMG получает и пересылает CCM_Token запрос к точке подключения CMG4.1 CMG gets and forwards CCM_Token request to CMG connection point

В CMGService.log виртуальной машины CMG и системы сайта, на котором размещается роль точки подключения CMG заносятся следующие записи:The following entries are logged in CMGService.log of the CMG VM and the site system that hosts the CMG connection point role:

RequestUri: /CCM_PROXY_SERVERAUTH/72057594037937981/CCM_STS  RequestCount: 769  RequestSize: 1081595 Bytes  ResponseCount: 769     ResponseSize: 36143 Bytes  AverageElapsedTime: 3945 ms

4.2 Точка подключения шлюза управления облачными клиентами преобразует запрос клиента в запрос точки управления клиентом4.2 CMG connection point transforms CMG client request to management point client request

В SMS_CLOUD_PROXYCONNECTOR.log системы сайта, на котором размещается роль точки подключения CMG заносятся следующие записи:The following entries are logged in SMS_CLOUD_PROXYCONNECTOR.log of the site system that hosts the CMG connection point role:

MessageID: 3087bd34-b82c-4950-b972-e82bb0fb8385 RequestURI: https://MP.MYCORP.COM/CCM_STS EndpointName: CCM_STS ResponseHeader: HTTP/1.1 200 OK ~~ ResponseBodySize: 0 ElapsedTime: 2 ms

4.3 Точка управления проверяет маркер пользователя в базе данных сайта4.3 Management point verifies user token in site database

В CCM_STS. log системы сайта, на котором размещается точка управления, обрабатывающая запрос клиента заносятся следующие записи:The following entries are logged in CCM_STS.log of the site system that hosts the management point that handles the client request:

ProcessRequest - Start
Incoming request URL: https://MP.MYCORP.COM/CCM_STS
Validated AAD token. TokenType: UDA TenantId: 2ca9a796-a1a6-43ec-88f1-5935b32155c5 UserId: e8838041-db7a-42d5-b9ae-78813910e4cc DeviceId: 8d2b4ff9-0172-4998-9851-b5324303385f OnPrem_UserSid: S-1-5-21-1527250992-855612568-2252598708-1604 OnPrem_DeviceSid:  
TokenType is UDA
Created SCCM token, token type: UDA, hierarchyId: 8ed3174b-e814-41b5-b51c-fb368f0d4003, userId: 23bbbba2-702e-4db4-8fd9-3b4fe3a5175d, deviceId: GUID:13E80CEF-5698-4C63-9ED6-E58FBFF78C38
Issued token
Return token to client

Сервер возвращает клиенту маркер CCM для прочего обмена данными между клиентом и сайтом.The server returns the CCM token to the client for the rest of client-to-site communication.

Примечание

Во время регистрации клиента всегда выполняется проверка сертификата.During client registration, certificate validation always runs. Этот процесс происходит, даже если вы используете для регистрации клиента метод аутентификации Azure AD.This process happens even if you're using the Azure AD authentication method to register the client. Это действие является резервным, на случай, если проверка подлинности Azure AD неудачна.This behavior is a fallback option, in case Azure AD authentication doesn't succeed.

Продление срока действия маркера CCMCCM token renewal

Время существования маркера CCM составляет восемь часов.The CCM token has a lifetime of eight hours. Когда клиент обнаруживает, что срок действия маркера CCM истек или близок к истечению, он отправляет новый запрос маркера CCM.When the client detects the CCM token is expired or close to expiration, it sends a new CCM token request. Компонент CcmMessaging обрабатывает этот процесс продления.The CcmMessaging component handles this renewal process. В CcmMessaging.log клиента заносятся приведенные ниже записи.The following entries are logged in CcmMessaging.log of the client:

Sending remote sync message '{BD03DEED-D09A-4E63-ADAD-596376FFB0DA}' to host 'CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500' endpoint 'MP_PolicyManager'. Flags 0x280, sender account S-1-5-21-1721254763-462695806-1538882281-3289177
    ...
CCM Token for 'S-1-5-8-1721254763-462695806-1538882281-3289177' (12/23/2019 21:47:24) is already expired or close to expire
Getting CCM Token from https://CMG.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72186325152220500/CCM_STS
Cached encrypted token for 'S-1-5-21-1721254763-462695806-1538882281-3289177'. Will expire at '01/10/2020 17:14:54'
    ...
ccmhttp: Host=CMG.CLOUDAPP.NET, Path=/CCM_Proxy_ServerAuth/72186325152220500/ccm_system_tokenauth/request, Port=443, Protocol=https, CcmTokenAuth=1, Flags=0x4200, Options=0x1e0
Target URL scheme is HTTPS: https://CMG.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72186325152220500/ccm_system_tokenauth/request
Appending CCM Token to the header.
     ...
Message '{BD03DEED-D09A-4E63-ADAD-596376FFB0DA}' got reply message '{36EE3A78-8F6E-425F-BF5C-8460E8E56C33}' to endpoint 'dummy'

Распространенные проблемыCommon issues

  • Отсутствует корневой ЦС: Клиентам требуется сертификат корневого ЦС, чтобы подтвердить подлинность сертификата проверки подлинности сервера CMG.Root CA not present: Clients need the root CA certificate to validate the CMG server authentication certificate.

  • Проверка списка отзыва сертификатов включена: Опубликуйте список отзыва сертификатов в Интернете.CRL check is enabled: Publish the CRL on the internet. Как вариант, используйте параметр /NoCRLCheck для ccmsetup.As an alternative, use the /NoCRLCheck parameter for ccmsetup. Можно также отключить следующий параметр: Клиенты проверяют список отзыва сертификатов для систем сайта.You can also disable the following option: Clients check the certificate revocation list (CRL) for site systems. Найдите этот параметр на вкладке Взаимодействие с клиентскими компьютерами связи в свойствах сайта.Find this setting on the Communication Security tab of the site properties.

  • Сертификат WPJ не найден: Убедитесь, что устройство присоединено к Azure AD.The WPJ certificate isn't found: Make sure the device is Azure AD-joined. Используйте dsregcmd.exe.Use dsregcmd.exe. Например, dsergcmd /status и взгляните на раздел Состояние устройства.For example, dsergcmd /status and look at the Device State section.

Совет

Связь с клиентом через CMG, точка подключения CMG и точка управления работают по протоколу HTTPS.Client communication via CMG, CMG connection point, and management point runs over HTTPS. Если настроить на сайте использование улучшенного протокола HTTP, для точки управления все же можно настроить обычный протокол HTTP.If you configure the site for enhanced HTTP, you can still configure the management point for HTTP.

  • Клиент проверяет сертификат проверки подлинности сервера CMG:Client verifies the CMG server authentication certificate:

    • PKI-сертификат: Клиенту необходим корневой ЦС сертификата CMG в локальном хранилище.PKI certificate: Client requires the root CA of the CMG certificate in its local store.
    • Сторонний сертификат: Клиенты автоматически проверяют сертификат с помощью корневого ЦС, опубликованного в Интернете.Third-party certificate: Clients automatically validate a certificate with its root CA published on the internet.
  • CMG, точка подключения CMG и точка управления проверяют маркеры Azure AD и CCM.CMG, CMG connection point, and management point validate Azure AD and CCM tokens.

  • Безопасность обмена данными между точкой подключения CMG и точкой управления обеспечивается в обоих конечных точках:Communication between CMG connection point and management point is also secured in both ends:

    • Точка подключения CMG использует сертификат проверки подлинности клиента.CMG connection point uses client auth certificate.
    • MP использует PKI-сертификат для настройки HTTPS или самозаверяющий сертификат для улучшенного протокола HTTP.MP uses a PKI certificate for HTTPS configuration, or a self-signed certificate for enhanced HTTP.