启用客户端证书并在 SharePoint Portal Server 2003 的内容搜索中使用客户端证书
Posted on 2006-08-01 12:01 木头's 阅读(959) 评论(0) 编辑 收藏 举报简介
本文提供了一个循序渐进说明,旨在帮助您启用门户站点的的客户端证书并能够在搜索内容时有选择性地使用客户端证书。
如果在外网间部署 Microsoft® SharePoint™ Portal Server 2003,且想从防火墙外访问门户站点时,则可以在您的门户站点中启用客户端证书。
在搜索门户站点或其他站点中的内容时,您可以有选择性地使用客户端证书。使用客户端证书对内容进行搜索是另一种在搜索内容时允许门户站点进行身份验证的方法。设置客户端证书要求同时对门户站点的内部和外部进行配置。如果您已启用了客户端证书并将其作为门户站点验证的唯一办法,则在搜索内容时,必须使用客户端证书。如果您想搜索使用客户端证书保护的站点,也必须使用客户端证书。如果您在门户站点上同时具有“集成 Windows 身份验证”(以前称 NTLM) 和客户端证书访问权限,则不再需要使用客户端证书进行搜索,因为您可以使用“集成 Windows 身份验证”进行搜索。
SharePoint Portal Server 2003 支持在所有语言中使用客户端证书进行搜索。但是当前仅有适用于英文和日文版本的补丁。您可以请求使用其他语言;请联系“Microsoft 产品支持服务”。
请注意: 若要在索引管理服务器和前端 Web 服务器上执行下列过程,您必须是执行过程所使用服务器上的本地 Administrators 组的成员。
开始本文中的过程前,您应当从 SharePoint Portal Server 2003 的 TechNet 站点中获取一份“启用 SharePoint Portal Server 2003 的安全套接字层”副本。
重要本文中介绍的这些步骤假设您已在默认站点上启用了客户端证书。如果您在其他虚拟服务器上启用了客户端证书,请使用其名称替换本说明中默认站点的虚拟服务器名称。
下面介绍了使用客户端证书的过程。执行步骤 1 到步骤 9,启用客户端证书。然后执行步骤 10 到步骤 16,使用客户端证书进行搜索。
请注意:对于要求客户端证书但尚未安装证书的每个内容源,必须为其完成可选步骤 10 到 步骤 13。如果已按步骤 1 到步骤 9 的要求安装了客户端证书,则可跳至步骤 13。
1. |
在服务器场中的所有前端 Web 服务器上启用安全套接字层 (SSL)。 |
2. |
获取客户端证书。 |
3. |
导出不带私钥的客户端证书以用于前端 Web 服务器。 |
4. |
导出带有私钥的客户端证书以用于其他客户端和索引管理服务器。 |
5. |
将客户端证书导入要从中访问门户站点的计算机中。此步骤是可选步骤。 |
6. |
启用前端 Web 服务器上映射的客户端证书。 |
7. |
检查所有证书授权。 |
8. |
创建证书信任列表。 |
9. |
测试客户端证书。 |
10. |
将证书导入到用于索引管理服务器的个人证书存储中。 |
11. |
确保将证书颁发机构列在受信任的根证书颁发机构证书存储中。 |
12. |
为证书指定权限。 |
13. |
配置包含或排除内容的规则。 |
14. |
安装补丁。 |
15. |
启动内容索引的完全更新。 |
16. |
检验更新是否成功。 |
以下部分详细介绍了此过程的每一步操作。此外,本书最后的“疑难解答”部分提供了一些信息,可帮助您诊断出现的任何配置问题。
步骤 1:在服务器场中的所有前端 Web 服务器上启用安全套接字层 (SSL)
要在所有前端 Web 服务器上启用安全套接字层 (SSL),必须获取服务器证书,将其安装在前端 Web 服务器上,然后,如果您想使用客户端证书进行验证,则需要启用安全套接字层 (SSL)。在“为 SharePoint Portal Server 2003 启用安全套接字层”一文中详细介绍了这些步骤。
重要: 本文中的步骤假设您首先具备必需的安全套接字层 (SSL),且已执行了“为 SharePoint Portal Server 2003 启用安全套接字层”一文中的步骤。
如果您想使用“集成 Windows 身份验证”进行验证,或只接受客户端证书,则不需要启用安全套接字层 (SSL)。
步骤 2:获取客户端证书
获取可用于搜索站点的有效客户端证书。证书必须是个人信息交换 (*.pfx) 类型的证书。
重要: 用于搜索的每个客户端证书必须具有一个唯一的“颁发给”名称。
如果您用“Microsoft 认证服务”,可使用下列步骤向证书服务器添加证书。
请注意: 如果您使用其他证书颁发机构 (CA),则应遵循“证书颁发机构”提供商所提供的步骤。
从任何客户端计算机或前端 Web 服务器执行下列操作。建议您从前端 Web 服务器执行该过程。以下过程基于 Microsoft Windows Server™ 2003 中安装的“Microsoft 证书服务”。如果您使用安装在 Microsoft Windows® 2000 Server 的“Microsoft 证书服务”,用户界面将会有细微差别。
1. |
在 Web 浏览器中,输入 CA 服务器的 URL。 |
||||||||||||
2. |
在“欢迎”页上单击申请证书。 |
||||||||||||
3. |
在“申请证书”页上,单击高级证书申请。 |
||||||||||||
4. |
在“高级证书申请”页上单击向此 CA 创建并提交申请。 请注意:您可能会收到来自证书颁发机构服务器的提示,要求您安装一个或多个 ActiveX® 控件。您必须安装这些控件才能完成剩余的步骤。 |
||||||||||||
5. |
在“高级证书申请”页的识别信息部分中,进行如下操作:
|
||||||||||||
6. |
在所需证书类型部分中,单击客户授权证书。 |
||||||||||||
7. |
在密钥选项部分中,进行如下操作:
|
||||||||||||
8. |
在其他选项部分中,进行如下操作:
|
||||||||||||
9. |
单击提交。 |
||||||||||||
10. |
如果出现潜在脚本冲突警告,单击是。 |
||||||||||||
11. |
在“证书颁发”页上单击安装此证书。 |
||||||||||||
12. |
如果出现潜在脚本冲突警告,单击是。 |
||||||||||||
13. |
如果出现安全警告消息,单击是安装证书。将出现“证书已安装”页,说明您已成功地安装证书。 |
步骤 3:导出不带私钥的客户端证书 (*.cer 文件) 以用于前端 Web 服务器。
您将导出两个版本的客户端证书 - 一个不带私钥,一个带有私钥。在这一步中,您将导出不带私钥 (*.cer 文件) 的客户端证书以用于前端 Web 服务器。在第 4 步中,您将导出带有私钥 (*.pfx 文件) 的客户端证书以用于索引管理服务器。
在执行“获取客户端证书”步骤获取客户端证书的计算机上进行如下操作:
1. |
启动 Microsoft Internet Explorer。 |
||||||||||||
2. |
在工具菜单中,单击 Internet 选项。 |
||||||||||||
3. |
在 Internet 选项对话框中,选择内容选项卡。 |
||||||||||||
4. |
在证书部分,单击证书。 |
||||||||||||
5. |
在证书对话框中的个人选项卡上,单击在“获取客户端证书”步骤中创建的证书,然后单击导出。 请注意: 证书的“颁发给”列显示了“获取客户端证书”步骤中指定的证书描述性名称。 |
||||||||||||
6. |
在证书导出向导页中,进行如下操作:
|
||||||||||||
7. |
在证书对话框中,单击关闭。 |
||||||||||||
8. |
单击确定关闭 Internet 选项对话框。 |
步骤 4:导出带有私钥 (.pfx 文件) 的证书以用于其他客户端计算机和索引管理服务器。
导出带有使用私钥 (*.pfx 文件) 的客户端证书以用于其他客户端计算机和索引管理服务器。
重要: 由于此客户端证书及其密码类似于“集成 Windows 身份验证”帐号和密码,因此,应当保护 .pfx 文件及其密码。
在执行“获取客户端证书”步骤获取客户端证书的计算机上进行如下操作:
1. |
启动 Internet Explorer。 |
||||||||||||||
2. |
在工具菜单中,单击 Internet 选项。 |
||||||||||||||
3. |
在 Internet 选项对话框中,选择内容选项卡。 |
||||||||||||||
4. |
在证书部分,单击证书。 |
||||||||||||||
5. |
在证书对话框中的个人选项卡上,单击在“获取客户端证书”步骤中创建的证书,然后单击导出。 请注意: 证书的“颁发给”列显示了“获取客户端证书”步骤中指定的证书描述性名称。 |
||||||||||||||
6. |
在证书导出向导页中,进行如下操作:
|
||||||||||||||
7. |
在证书对话框中,单击关闭。 |
||||||||||||||
8. |
单击确定关闭 Internet 选项对话框。 |
步骤 5:将客户端证书 (.pfx 文件) 导入要从中访问门户站点的计算机中 (可选)
如果您在门户站点上要求客户端证书,则所有访问门户站点的计算机都需要客户端证书。下列过程假定您的企业没有自动分发客户端证书:
1. |
在客户端计算机上,启动 Internet Explorer。 |
||||||||||||||||
2. |
在工具菜单中,单击 Internet 选项。 |
||||||||||||||||
3. |
在 Internet 选项对话框中,选择内容选项卡。 |
||||||||||||||||
4. |
在证书部分,单击证书。 |
||||||||||||||||
5. |
在证书对话框中,单击导入。 |
||||||||||||||||
6. |
在“证书导入向导”中,进行如下操作:
|
||||||||||||||||
7. |
在证书对话框中,单击关闭。 |
||||||||||||||||
8. |
单击确定关闭 Internet 选项对话框。 |
步骤 6:启用前端 Web 服务器上映射的客户端证书
在每个前端 Web 服务器上完成步骤 6 到步骤 9。
1. |
打开 Internet 信息服务 (IIS) 管理器。 |
||||||||||||||||||||||||||
2. |
在“Internet 信息服务”管理控制台中,展开树状视图。 |
||||||||||||||||||||||||||
3. |
展开站点。 |
||||||||||||||||||||||||||
4. |
右击默认站点,然后单击属性。 |
||||||||||||||||||||||||||
5. |
单击目录安全性选项卡。 |
||||||||||||||||||||||||||
6. |
如果希望使用客户端证书作为门户站点唯一的验证方法,在身份验证和访问控制部分进行如下操作:
|
||||||||||||||||||||||||||
7. |
在安全通信部分,单击编辑。 |
||||||||||||||||||||||||||
8. |
在安全通信对话框中,进行如下操作:
|
||||||||||||||||||||||||||
9. |
单击确定关闭默认站点属性页。 |
||||||||||||||||||||||||||
10. |
如果出现一个或多个继承覆盖对话框,单击全选,然后在每个对话框中单击确定。 |
||||||||||||||||||||||||||
11. |
关闭 Internet 信息服务 (IIS) 管理器。 |
步骤 7:检查所有证书授权
在您可以向证书信任列表中添加证书颁发机构 (CA) 前,必须在服务器上安装证书颁发机构。在服务器上安装证书颁发机构的步骤可以在“为 SharePoint Portal Server 2003 启用安全套接字层”一文中的“疑难解答”部分中找到。
按“为 SharePoint Portal Server 2003 启用安全套接字层”中的说明安装服务器证书时,可自动获得证书颁发机构。发行客户端证书的 CA 和发行服务器证书的 CA 必须是受信任的证书颁发机构。要确认所要求的全部证书颁发机构均受信任且已安装,请完成下列步骤。
请注意:如果服务器证书和客户端证书由同一证书颁发机构颁发,则只需执行下列两个步骤中的一步即可。如果您不知道证书是否为同一证书颁发机构颁发,则两步都要执行。
1. |
确认证书路径没有错误。在每台前端 Web 服务器上进行如下操作:
|
||||||||||||||||||||
2. |
在本书的第 3 步中,您已导出了用于前端 Web 服务器的不带私钥 (.cer 文件) 的客户端证书。转至导出 .cer 文件的位置,进行如下操作:
|
步骤 8:创建证书信任列表
必须在每台前端 Web 服务器上创建一个证书信任列表。
重要:创建证书信任列表后,将颁发客户端证书和服务器证书的所有证书颁发机构放到一个列表中。不要为每个添加的证书颁发机构创建新的证书信任列表。
在每台 Web 服务器上进行如下操作:
1. |
打开 Internet 信息服务 (IIS) 管理器。 |
||||||||||||
2. |
在“Internet 信息服务”管理控制台中,展开树状视图。 |
||||||||||||
3. |
展开站点。 |
||||||||||||
4. |
右击默认站点,然后单击属性。 |
||||||||||||
5. |
单击目录安全性选项卡。 |
||||||||||||
6. |
在安全通信部分,单击编辑。 |
||||||||||||
7. |
在安全通信对话框中,选择启用证书信任列表复选框,然后单击新建。 |
||||||||||||
8. |
在证书信任列表向导中,进行如下操作:
|
||||||||||||
9. |
在出现的消息框中,单击确定。 |
||||||||||||
10. |
单击确定关闭安全通信对话框。 |
||||||||||||
11. |
单击确定关闭默认站点属性对话框。 |
||||||||||||
12. |
关闭 Internet 信息服务 (IIS) 管理器。 |
步骤 9:测试客户端证书
完成先前的步骤后,您应当使用 NETBIOS 名称为每台前端 Web 服务器测试客户端证书。
选择任意一台已安装了 .pfx 文件的客户端计算机,尝试通过使用 https 和计算机的 NETBIOS 名称访问门户站点。
• |
您可能会收到提示,要求您选择一个要使用的证书。 |
• |
使用 https 访问门户站点时,您收到一个关于吊销信息的安全性警告,单击是继续。 |
• |
当您使用 https 访问门户站点时,如果收到一个安全性警告,警告您证书名称无效或与站点名称不匹配,请单击是继续。 |
应当出现门户站点的主页。如果没有出现,请检查是否已正确完成了本书中的所有先前步骤。
如果只安装了一个客户端证书,您可能不会收到选择证书的提示。因此,建议您测试一个映射到其他帐户 (而非登录计算机的帐户),然后转至“我的站点”。
例如,使用一个具有多个客户端证书的用户名 (即具有多个与该用户配置文件相关的客户端证书) 登录。当您试图访问门户站点时,系统会提示您选择要使用的客户端证书。但是如果您只安装了一个证书,则尝试访问门户站点时,可能不会收到选择证书的提示。在这种情况下,没有办法知道是否已经过了门户站点客户端证书或“集成 Windows 身份验证”的验证。要确保是使用步骤 2 中获得的客户端证书访问的门户站点,请进行如下操作:
1. |
在“步骤 6 中:启用映射到前端 Web 服务器上的客户端证书,这会将客户端证书映射到用户帐户。假设客户端证书映射到了 DOMAIN\user_account_1。 |
2. |
以 DOMAIN\user_account_2 登录计算机。 |
3. |
假定 user_account_2 的 Windows 配置文件中没有安装映射到 user_account_1 的证书,因而在以 user_account_2 登录时,请使用“步骤 5:将客户端证书 (.pfx 文件) 导入要从中访问门户站点的计算机中”中的说明,安装映射到 user_account_1 的证书。 |
4. |
访问门户站点。如果收到错误,请参见本文最后的“疑难解答”。 |
5. |
在门户站点的主页上,单击“我的站点”。 |
6. |
如果您已使用安装的客户端证书通过了验证,则出现的“我的站点”就应当是 user_account_1 的站点。 |
如果当前要求一个客户端证书,但尚未安装此证书,则必须为每个内容源完成可选步骤 10 到 步骤 13。如果客户端证书已经安装,则转至步骤 13。
如果您要求将客户端证书作为门户站点唯一的验证方法,则必须完成步骤 10 到步骤 13。
步骤 10:书导入到用于索引管理服务器的个人证书存储中
当索引中包含要求定位证书的内容源时,请在其所在的索引管理服务器上执行下列操作:
1. |
在任务栏上,单击开始,然后单击运行。 |
||||||
2. |
键入 mmc,然后单击确定。 |
||||||
3. |
在控制台的文件菜单上,单击添加/删除管理单元。 |
||||||
4. |
在添加/删除管理单元对话框中的独立选项卡上,单击添加。 |
||||||
5. |
在添加独立管理单元对话框的可用的独立管理单元列表中,单击证书,然后单击添加。 |
||||||
6. |
在证书管理单元对话框中,单击计算机帐户,然后单击下一步。 |
||||||
7. |
在选择计算机对话框中,单击本地计算机:(运行此控制台的计算机),然后单击完成。 |
||||||
8. |
单击关闭关闭添加独立管理单元对话框。 |
||||||
9. |
单击确定关闭添加/删除独立管理单元对话框。 |
||||||
10. |
展开证书 (本地计算机) 节点。 |
||||||
11. |
右击个人,指向所有任务,然后单击导入。 |
||||||
12. |
在“欢迎使用证书导入向导”页上,单击下一步。 |
||||||
13. |
在“要导入的文件”页上,进行如下操作:
|
||||||
14. |
在“密码”页上的密码框中键入密码,然后单击下一步。 |
||||||
15. |
在“证书存储”页上,进行如下操作:
|
||||||
16. |
在“正在完成证书导入向导”页上,单击完成。 |
||||||
17. |
单击确定关闭消息框。 |
步骤 11:确保将证书颁发机构列在受信任的根证书颁发机构证书存储中
为避免对证书的合法性提出质疑,必须将证书颁发机构 (CA) 列在受信任的根证书颁发机构证书存储中。
通过在索引管理服务器上执行下列操作,可检查证书颁发机构是否列出:
1. |
打开步骤 10 中创建的“证书管理单元”。 |
2. |
展开证书 (本地计算机) 节点。 |
3. |
展开个人节点,然后单击证书。 |
4. |
在详细信息窗格中,双击导入的客户端证书。 将显示证书对话框。 |
5. |
在常规选项卡中,如果在证书信息旁边显示带有 X 形的红色圆圈,则说明该“证书颁发机构”未列在“受信任的根证书颁发机构”证书存储中。 |
如果证书颁发机构没有在“受信任的根证书颁发机构”证书存储中列出,请参见“为 SharePoint Portal Server 2003 启用安全套接字层”。
步骤 12:为证书指定权限
可以使用名为“Windows HTTP 服务证书配置工具”(WinHttpCertCfg.exe) 的工具为证书指定权限。此工具允许指定的帐户使用私钥访问要搜索的 Web 站点。
您可以从 Microsoft 下载中心下载此工具。
您可以从MSDN 上查看此工具的相关文档。
下列过程中,使用 DOMAIN\account 作为默认内容访问帐户:
1. |
对于包含需要证书的内容源的索引,请将 WinHTTPCertCfg.exe 下载到其所在的索引管理服务器上。 |
2. |
打开命令行提示窗口。 |
3. |
导航到 WinHttpCertCfg.exe 的位置。 |
4. |
键入 WinHttpCertCfg.exe -g -c LOCAL_MACHINE\MY -s "Issued_To_name" -a DOMAIN\account 然后按 ENTER。域帐户应当是默认的内容访问帐户。 |
步骤 13:配置包含或排除内容的规则
要使用客户端证书,您必须配置包含或排除内容的规则。要完成此操作:
1. |
在“站点设置”页的搜索设置和索引内容部分中单击配置搜索和索引编制。 |
||||||
2. |
在“配置搜索和索引编制”页的其他内容源部分中,单击管理内容源。 |
||||||
3. |
在“管理内容源”页上,将指针放到门户站点上,单击出现的箭头,在出现的菜单上单击查看 Gatherer 日志。 |
||||||
4. |
在“Gatherer 日志详细信息”页的操作列表中,单击排除和包含内容。 |
||||||
5. |
在门户内容的“排除和包含内容”页上,对包含在包含或排除列中的任意组进行如下操作:
|
||||||
6. |
在门户内容的“排除和包含内容”页顶部,单击配置搜索和索引编制。 |
||||||
7. |
在“配置搜索和索引编制”页的其他内容源部分中,单击管理内容源。 |
||||||
8. |
在“管理内容源”页上,将指针放到站点目录上,单击出现的箭头,然后在出现的菜单上单击查看 Gatherer 日志。 |
||||||
9. |
在“Gatherer 日志详细信息”页的操作列表中,单击排除和包含内容。 |
||||||
10. |
在非门户内容的“排除和包含内容”页上,对包括在包含或排除列中的任何组进行如下操作:
|
步骤 15:启动内容索引的完全更新
根据您是否启动了高级搜索管理,有两种方式可用于在服务器场中启动内容索引的完全更新。
如果您没有启动高级搜索管理,请进行下列操作:
1. |
在“站点设置”页的搜索设置和索引内容部分中单击配置搜索和索引编制。 |
||||
2. |
在“配置搜索和索引”页上,常规内容设置和索引编制状态部分,进行如下操作:
|
如果您已启动了高级搜索管理,请进行下列操作:
1. |
在“站点设置”页的搜索设置和索引内容部分中单击配置搜索和索引编制。 |
||||
2. |
在“配置搜索和索引编制”页的内容索引部分中,单击管理内容索引。 |
||||
3. |
在“管理内容索引”页上,进行如下操作:
|
有关高级搜索管理的更多信息,请参见《Microsoft Office SharePoint Portal Server 2003 管理员指南》。
步骤 16:检验更新是否成功
查看错误 (如拒绝访问) 和证书警告的 gatherer 日志。根据您是否启动了高级搜索管理,有两种方式可用于查看内容索引的 gatherer 日志。
如果您没有启动高级搜索管理,请进行下列操作:
1. |
在“站点设置”页的搜索设置和索引内容部分中单击配置搜索和索引编制。 |
||||
2. |
在“配置搜索和索引”页上的常规内容设置和索引编制状态部分中,进行如下操作:
|
如果您已启动了高级搜索管理,请进行下列操作:
1. |
在“站点设置”页的搜索设置和索引内容部分中单击配置搜索和索引编制。 |
||||
2. |
在“配置搜索和索引编制”页的内容索引部分中,单击管理内容索引。 |
||||
3. |
在“管理内容索引”页上,进行如下操作:
|
有关高级搜索管理的更多信息,请参见《Microsoft Office SharePoint Portal Server 2003 管理员指南》。
疑难解答
错误 403.13 (禁止:Web 服务器上的客户端证书已经作废)
如果您无法连接颁发客户端证书的证书颁发机构,可以使用一个名为 Adsutil 的工具跳过检查。但是,如果跳过检查,您将不会收到任何来自证书颁发机构的证书吊销列表。这意味着您将一直信任此证书颁发机构颁发的所有证书。
由于域之间可能彼此互不信任或不能相互访问,因此,您必须使用“证书吊销列表”。
在每台 Web 服务器上进行如下操作:
1. |
打开命令行提示窗口。 |
2. |
在操作系统目录上导航到 \Inetpub\AdminScripts。 |
3. |
键入 "cscript adsutil.vbs set w3svc/virtual_server_identifier/CertCheckMode 1" |
要查找 virtual_server_identifier,进行如下操作:
1. |
打开 Internet 信息服务 (IIS) 管理器。 |
2. |
在“Internet 信息服务”管理控制台上,展开树状视图。 |
3. |
单击站点。 |
4. |
在详细信息窗格中,virtual_server_identifier 就列出在虚拟服务器的标识符列中。例如,默认站点的标识符是 1。 |
错误 403.7 (禁止:需要 SSL 客户端证书)
如果您在不具备有效客户端证书的情况下访问门户站点,就会收到这个错误消息。要修正该错误,请参见“步骤 5:将客户端证书 (.pfx 文件) 导入要从中访问门户站点的计算机中”。
错误 403.16 (禁止:客户端证书不合法或不为 Web 服务器所信任)
如果您试图使用具有多层证书颁发机构级别的证书,则可能需要在服务器的中间证书颁发机构中安装一个或多个证书颁发机构。要进行该操作,使用 IIS 的“SSL 诊断实用程序下载” (下一部分对其进行了描述) 诊断链表中丢失的证书颁发机构。安装丢失的证书颁发机构应该可以更正此问题。有关如何为企业配置证书的更多信息,请联系证书管理员。
诊断客户端和服务器中的 SSL 问题
从TechNet 中下载 IIS 的“SSL 诊断实用程序下载”。有关工具的使用信息,请参见下载的文档。
SharePoint Portal Server 管理中心页为空白页
如果 SharePoint Portal Server 管理中心页为空白页,则请确保 Internet Explorer 的代理服务器设置为对于本地地址不使用代理服务器。要完成此操作:
1. |
启动 Internet Explorer。 |
||||||
2. |
在工具菜单中,单击 Internet 选项。 |
||||||
3. |
在 Internet 选项对话框中,单击连接选项卡。 |
||||||
4. |
单击局域网设置 |
||||||
5. |
在局域网 (LAN) 设置对话框的代理服务器部分进行如下操作:
|
||||||
6. |
单击确定关闭局域网 (LAN) 设置对话框。 |
||||||
7. |
单击确定关闭 Internet 选项对话框。 |