Tijdens de installatie van de statusregistratieautoriteit (HRA) krijgt u de mogelijkheid om HRA te configureren om alleen certificaten te verstrekken wanneer gebruikers bij het domein worden geverifieerd, of om optioneel statuscertificaten te verstrekken aan anonieme gebruikers. Als u anonieme aanvragen voor statuscertificaten toestaat, worden twee websites gemaakt:

  • DomainHRA

    In de instellingen voor IIS-verificatie (Internet Information Services) op deze site is Windows-verificatie ingeschakeld. Alle overige verificatiemethoden zijn uitgeschakeld.

  • NonDomainHRA

    In de instellingen voor IIS-verificatie op deze site is anonieme verificatie ingeschakeld. Alle overige verificatiemethoden zijn uitgeschakeld.

Als u aangeeft dat alleen geverifieerde leden van het domein statuscertificaten kunnen ontvangen, wordt alleen de website DomainHRA gemaakt.

Deze websites fungeren als host voor een IIS ISAPI-uitbreiding (Internet Server Application Programming Interface) die HTTP/HTTPS-aanvragen verwerkt, status evalueert via NPS (Network Policy Server) en statuscertificaten uitgeeft via een certificeringsinstantie (CA).

Belangrijk

Als anonieme aanvragen worden toegestaan, moet u vertrouwde servergroepen configureren zodat geverifieerde certificaataanvragen in de lijst met URL's een hogere prioriteit krijgen dan anonieme aanvragen. Hiermee helpt u ervoor zorgen dat domeinleden die de statuscontrole doorkomen, geen anonieme statuscertificaten toegewezen krijgen.

Certificaten voor SSL-versleuteling

IIS kan SSL (Secure Sockets Layer) gebruiken om communicatie met NAP-clientcomputers te versleutelen. Als u SSL inschakelt, krijgen externe clients toegang tot uw site via URL's die beginnen met https:// en moet uw IIS-server worden uitgerust met een SSL-certificaat. Voor dit SSL-certificaat gelden de volgende vereisten:

  • Het certificaat moet zich bevinden in het certificaatarchief van de lokale computer of het certificaatarchief van de huidige gebruiker.

  • De huidige systeemtijd moet liggen na de eigenschap Geldig van en vóór de eigenschap Geldig tot van het certificaat.

  • Het certificaat moet bedoeld zijn voor serververificatie. De eigenschap Uitgebreid sleutelgebruik van het certificaat moet daarom zijn ingesteld op Serververificatie (1.3.6.1.5.5.7.3.1).

Als u een bestaand certificaat importeert voor gebruik met SSL-versleuteling tijdens installatie van de HRA-rolservice, wordt dit automatisch toegevoegd aan het lokale certificaatarchief van de lokale computer. U kunt ook een zelfondertekend certificaat maken voor SSL-versleuteling of later een certificaat installeren voor SSL-versleuteling.

Aanvullende naslaginformatie