Tijdens de installatie van de statusregistratieautoriteit (HRA) krijgt u de mogelijkheid om HRA te configureren om alleen certificaten te verstrekken wanneer gebruikers bij het domein worden geverifieerd, of om optioneel statuscertificaten te verstrekken aan anonieme gebruikers. Als u anonieme aanvragen voor statuscertificaten toestaat, worden twee websites gemaakt:
-
DomainHRA
In de instellingen voor IIS-verificatie (Internet Information Services) op deze site is Windows-verificatie ingeschakeld. Alle overige verificatiemethoden zijn uitgeschakeld.
-
NonDomainHRA
In de instellingen voor IIS-verificatie op deze site is anonieme verificatie ingeschakeld. Alle overige verificatiemethoden zijn uitgeschakeld.
Als u aangeeft dat alleen geverifieerde leden van het domein statuscertificaten kunnen ontvangen, wordt alleen de website DomainHRA gemaakt.
Deze websites fungeren als host voor een IIS ISAPI-uitbreiding (Internet Server Application Programming Interface) die HTTP/HTTPS-aanvragen verwerkt, status evalueert via NPS (Network Policy Server) en statuscertificaten uitgeeft via een certificeringsinstantie (CA).
Belangrijk | |
Als anonieme aanvragen worden toegestaan, moet u vertrouwde servergroepen configureren zodat geverifieerde certificaataanvragen in de lijst met URL's een hogere prioriteit krijgen dan anonieme aanvragen. Hiermee helpt u ervoor zorgen dat domeinleden die de statuscontrole doorkomen, geen anonieme statuscertificaten toegewezen krijgen. |
Certificaten voor SSL-versleuteling
IIS kan SSL (Secure Sockets Layer) gebruiken om communicatie met NAP-clientcomputers te versleutelen. Als u SSL inschakelt, krijgen externe clients toegang tot uw site via URL's die beginnen met https:// en moet uw IIS-server worden uitgerust met een SSL-certificaat. Voor dit SSL-certificaat gelden de volgende vereisten:
-
Het certificaat moet zich bevinden in het certificaatarchief van de lokale computer of het certificaatarchief van de huidige gebruiker.
-
De huidige systeemtijd moet liggen na de eigenschap Geldig van en vóór de eigenschap Geldig tot van het certificaat.
-
Het certificaat moet bedoeld zijn voor serververificatie. De eigenschap Uitgebreid sleutelgebruik van het certificaat moet daarom zijn ingesteld op Serververificatie (1.3.6.1.5.5.7.3.1).
Als u een bestaand certificaat importeert voor gebruik met SSL-versleuteling tijdens installatie van de HRA-rolservice, wordt dit automatisch toegevoegd aan het lokale certificaatarchief van de lokale computer. U kunt ook een zelfondertekend certificaat maken voor SSL-versleuteling of later een certificaat installeren voor SSL-versleuteling.