Aan de hand van de volgende procedures kunt u controleren of uw NAP-certificeringsinstanties (Network Access Protection) juist zijn geconfigureerd voor gebruik met de statusregistratieautoriteit (HRA) en de NAP IPsec Enforcement-methode (Internet Protocol security). NAP-certificeringsinstanties zijn servers waarop AD CS (Active Directory® Certificate Services) wordt uitgevoerd en die NAP-statuscertificaten kunnen uitgeven. Zie https://go.microsoft.com/fwlink/?LinkId=127816 voor meer informatie over AD CS (pagina is mogelijk Engelstalig).

Als u deze procedure wilt uitvoeren, moet u minimaal lid zijn van de groep Domain Admins of een vergelijkbare groep. Zie https://go.microsoft.com/fwlink/?LinkId=83477 voor details over het gebruik van de juiste accounts en groepslidmaatschappen.

Een NAP-certificeringsinstantie (CA) kiezen

HRA moet worden gekoppeld aan ten minste één certificeringsinstantie om NAP-statuscertificaten op te halen en uit te geven aan compatibele NAP-clientcomputers. U kunt een certificeringsinstantie selecteren tijdens de installatie van HRA door ervoor te kiezen om de certificeringsinstantie lokaal te installeren of door een bestaande, externe certificeringsinstantie te selecteren. U kunt ook op een later tijdstip NAP-certificeringsinstanties toevoegen via de HRA-module of vanaf een opdrachtregel. U moet de HRA-module of een opdrachtregel gebruiken om meer dan één certificeringsinstantie aan HRA te koppelen. U kunt HRA configureren voor gebruik van een ondernemingscertificeringsinstantie of een zelfstandige certificeringsinstantie. Configuratievereisten voor een NAP-certificeringsinstantie verschillen al naar gelang het type certificeringsinstantie dat u kiest. U moet beveiligingsinstellingen voor certificeringsinstanties en voorwaarden voor de uitgifte van certificaten configureren, ongeacht of u een ondernemingscertificeringsinstantie of een zelfstandige certificeringsinstantie kiest. In de aanbevolen configuratie is HRA gekoppeld aan een toegewezen, zelfstandige, onderliggende certificeringsinstantie. Zie NAP-certificeringsinstanties configureren voor meer informatie over het configureren van HRA voor gebruik van een NAP-certificeringsinstantie.

Een zelfstandige certificeringsinstantie (CA) kiezen

Een zelfstandige certificeringsinstantie maakt geen gebruik van certificaatsjablonen. U hoeft daarom geen statuscertificaatsjabloon te configureren wanneer u een zelfstandige NAP-certificeringsinstantie gebruikt. Als u een zelfstandige certificeringsinstantie kiest, moet u nog altijd beveiligingsinstellingen voor certificeringsinstanties en voorwaarden voor de uitgifte van certificaten configureren, zodat HRA statuscertificaten kan aanvragen en automatisch kan uitgeven aan compatibele clientcomputers.

Een ondernemingscertificeringsinstantie (CA) kiezen

Een ondernemingscertificeringsinstantie verleent certificaten op basis van een certificaatsjabloon. De beleidsmodule wordt gebruikt om de uitgegeven certificaten te voorzien van een lijst met certificaatuitbreidingen, zoals systeemstatusverificatie voor NAP. Als Windows Server® 2008 op uw ondernemingscertificeringsinstantie wordt uitgevoerd, is het certificaatsjabloon voor systeemstatusverificatie standaard beschikbaar bij toepassingenbeleidsuitbreidingen die geschikt zijn voor domein- en statusverificatie. Als Windows Server® 2003 op uw ondernemingscertificeringsinstantie wordt uitgevoerd, moet u een sjabloon met deze toepassingenbeleidsuitbreidingen maken en publiceren. U kunt de volgende procedures gebruiken om te controleren of ondernemingscertificeringsinstanties zijn geconfigureerd om automatisch statuscertificaten met de juiste toepassingenbeleidsuitbreidingen uit te geven.

Beschikbaarheid van sjablonen verifiëren

Als Windows Server 2008 op uw ondernemingscertificeringsinstantie wordt uitgevoerd, is automatisch een certificaatsjabloon voor met domeinreferenties geverifieerde NAP-clients beschikbaar met de weergavenaam Verificatie van systeemstatus. Als Windows Server 2003 op uw ondernemingscertificeringsinstantie wordt uitgevoerd, moet u deze sjabloon maken. Voer de volgende procedure uit om te controleren of een NAP-statuscertificaat met de juiste toepassingenbeleidsuitbreidingen beschikbaar is, of om de sjabloon te maken als deze niet beschikbaar is. Deze procedure is niet van toepassing als u een zelfstandige certificeringsinstantie gebruikt.

De beschikbaarheid van sjablonen verifiëren

  1. Klik op Start, klik op Uitvoeren, typ certtmpl.msc en druk op Enter.

  2. Geef in het detailvenster onder Weergavenaam van sjabloon de lijst met sjablonen weer. Dubbelklik op de naam van uw NAP-statuscertificaatsjabloon. Als uw NAP-statuscertificaatsjabloon niet wordt weergegeven, voert u de volgende stappen uit:

    1. Klik met de rechtermuisknop op Verificatie van werkstation en klik op Kopie van sjabloon.

    2. Typ Verificatie van systeemstatus onder Weergavenaam van sjabloon en klik op het tabblad Uitbreidingsmodules.

    3. Klik onder Uitbreidingsmodules die in deze sjabloon zijn opgenomen op Toepassingenbeleid en klik op Bewerken.

    4. Klik op Toevoegen en klik op Nieuw.

    5. Typ Verificatie van systeemstatus onder Naam in Nieuw toepassingenbeleid.

    6. Typ 1.3.6.1.4.1.311.47.1.1 onder Object-ID en klik viermaal op OK.

    7. Controleer of uw nieuwe sjabloon is aangemaakt.

    8. U kunt de nieuwe sjabloon controleren door op de naam van de sjabloon te dubbelklikken en de overige stappen in deze procedure uit te voeren.

  3. Klik op het tabblad Uitbreidingsmodules.

  4. Klik onder Uitbreidingsmodules die in deze sjabloon zijn opgenomen op Toepassingenbeleid.

  5. Controleer of Verificatie van systeemstatus en Clientverificatie worden vermeld onder Beschrijving van toepassingenbeleid en klik op Bewerken.

  6. Klik achtereenvolgens op Verificatie van systeemstatus en op Bewerken.

  7. Controleer of de waarde 1.3.6.1.4.1.311.47.1.1 wordt vermeld onder Object-ID in Toepassingenbeleid bewerken. Als de waarde hiervan afwijkt, gebruikt u de voorgaande stappen in deze procedure om een nieuwe sjabloon voor systeemstatusverificatie te maken. U dient ook toepassingenbeleidsnamen te corrigeren, zodat 1.3.6.1.4.1.311.47.1.1 de object-id is die aan Verificatie van systeemstatus is gekoppeld.

  8. Klik driemaal op Annuleren en sluit de console Certificaatsjablonen.
Opmerking

Als deze certificaatsjabloon wordt gebruikt voor het uitgeven van anonieme statuscertificaten, moet het toepassingenbeleid Clientverificatie niet worden opgenomen. Certificaten met het toepassingenbeleid Clientverificatie worden uitgegeven aan clients die worden geverifieerd aan de hand van domeinreferenties.

Beschikbaarheid van certificaten verifiëren

Op een ondernemingscertificeringsinstantie moeten certificaten beschikbaar worden gemaakt voordat ze aan clientcomputers kunnen worden uitgegeven. U voert de volgende procedure om ervoor te zorgen dat uw NAP-statuscertificaat beschikbaar is voor uitgifte. Deze procedure is niet van toepassing als u een zelfstandige certificeringsinstantie gebruikt.

De beschikbaarheid van certificaten verifiëren

  1. Klik op Start, klik op Uitvoeren, typ certsvr.msc en druk op Enter.

  2. Klik in de consolestructuur op Certificaatsjablonen.

  3. Controleer in het detailvenster onder Naam of uw NAP-statuscertificaat wordt vermeld. Als Windows Server 2008 op uw ondernemingscertificeringsinstantie wordt uitgevoerd, heeft de standaardcertificaatsjabloon voor met domeinreferenties geverifieerde NAP-clients de weergavenaam Verificatie van systeemstatus.

  4. Als de statuscertificaatsjabloon is gemaakt maar niet in de lijst wordt weergegeven, voert u de volgende stappen uit om de sjabloon uit te geven:

    1. Klik met de rechtermuisknop op Certificaatsjablonen, wijs Nieuw aan en klik op Te verlenen certificaatsjablonen.

    2. Klik in Certificaatsjablonen inschakelen onder Naam op de naam van uw NAP-statuscertificaat en klik op OK. Als de sjabloon niet wordt vermeld, is deze al ingeschakeld of moet u de sjabloon eerst maken voordat u deze procedure uitvoert.

    3. Controleer of uw NAP-statuscertificaat is toegevoegd aan de lijst met sjablonen.

  5. Sluit de console Certificeringsinstantie.

Inschrijvingsmachtigingen voor certificaten verifiëren voor HRA

Om HRA in staat te stellen om certificaten op te halen van een ondernemingscertificeringsinstantie en deze uit te geven aan clients, moet HRA gemachtigd worden om het statuscertificaat in te schrijven. Door automatische inschrijving in te schakelen, kan HRA het certificaat automatisch aan het lokale certificaatarchief toevoegen. Als alleen inschrijvingsmachtigingen zijn verleend, moet u handmatig een statuscertificaat verschaffen op de HRA-server. Voer de volgende procedure uit om te controleren of deze machtigingen aan HRA zijn verleend. Deze procedure is niet van toepassing als u een zelfstandige certificeringsinstantie gebruikt.

Inschrijvingsmachtigingen voor certificaten verifiëren voor HRA

  1. Klik op Start, klik op Uitvoeren, typ certtmpl.msc en druk op Enter.

  2. Dubbelklik in het detailvenster onder Weergavenaam van sjabloon Naam op de naam van uw NAP-statuscertificaat. Als Windows Server 2008 op uw ondernemingscertificeringsinstantie wordt uitgevoerd, heeft de standaardcertificaatsjabloon voor met domeinreferenties geverifieerde NAP-clients de weergavenaam Verificatie van systeemstatus.

  3. Klik op het tabblad Beveiliging.

  4. Controleer of de machtigingen Inschrijven en Automatische inschrijving zijn verleend aan de DNS-naam van uw HRA-server, of aan een groep waarvan de HRA-server lid is. Als deze machtigingen niet zijn verleend, voert u de volgende stappen uit:

    1. Klik op Toevoegen, klik op Objecttypen, schakel het selectievakje Computers in en klik op OK.

    2. Typ de DNS-naam van uw HRA-server onder Geef de objectnamen op en klik op OK. U kunt ook de naam typen van een groep waarvan de HRA-server lid is.

    3. Klik op de naam of groep die u hebt toegevoegd, selecteer de machtiging Toestaan voor Inschrijven en Automatische inschrijving en klik op OK.

  5. Sluit de console Certificaatsjablonen.

Beveiligingsinstellingen voor de CA verifiëren

Beveiligingsinstellingen voor certificeringsinstanties bepalen of HRA machtigingen heeft om statuscertificaten uit te geven. Voer de volgende procedure uit om deze machtigingen te controleren voor uw NAP-certificeringsinstanties. Deze procedure is van toepassing op zowel ondernemingscertificeringsinstanties als zelfstandige certificeringsinstanties.

Beveiligingsinstellingen voor certificaten verifiëren

  1. Klik op Start, klik op Uitvoeren, typ certsrv.msc en druk op Enter.

  2. Klik met de rechtermuisknop op de vermelding voor uw certificeringsinstantie en klik op Eigenschappen.

  3. Klik op het tabblad Beveiliging.

  4. Als uw HRA en NAP-certificeringsinstantie op dezelfde computer worden uitgevoerd, controleert u of Netwerkservice wordt vermeld onder Namen van groepen of gebruikers.

  5. Als uw HRA en NAP-certificeringsinstantie op verschillende computers worden uitgevoerd, controleert u of de computernaam voor uw HRA-server wordt vermeld onder Namen van groepen of gebruikers.

  6. Klik op de naam van uw HRA-server of klik op Netwerkservice en controleer of machtiging is toegestaan voor Certificaten verlenen en beheren, CA beheren en Certificaten aanvragen.

  7. Klik op OK en sluit de console Certificeringsinstantie.

Voorwaarden voor de uitgifte van certificaten verifiëren

Om ervoor te zorgen dat NAP-clientcomputers statuscertificaten direct kunnen ophalen zodra is vastgesteld dat ze voldoen aan de voorwaarden voor de netwerkstatus, moeten NAP-certificeringsinstanties worden geconfigureerd om statuscertificaten automatisch uit te geven. Voer de volgende procedure om te controleren of certificaten automatisch worden uitgegeven. Deze procedure is van toepassing op zowel ondernemingscertificeringsinstanties als zelfstandige certificeringsinstanties.

Voorwaarden voor de uitgifte van certificaten verifiëren

  1. Klik op Start, klik op Uitvoeren, typ certsrv.msc en druk op Enter.

  2. Klik met de rechtermuisknop op de vermelding voor uw certificeringsinstantie en klik op Eigenschappen.

  3. Klik op het tabblad Beleidsmodule en klik vervolgens op Eigenschappen.

  4. Controleer of De instellingen in het certificaatsjabloon volgen is geselecteerd.

  5. Klik tweemaal op OK en sluit de console Certificeringsinstantie.

Aanvullende naslaginformatie

Inhoudsopgave