Przy instalowaniu urzędu rejestrowania kondycji (HRA) pojawia się opcja służąca do konfigurowania urzędu rejestrowania kondycji w celu zapewnienia certyfikatów kondycji tylko wtedy, gdy użytkownicy zostali uwierzytelnieni w domenie, lub opcjonalnie zapewnienia certyfikatów kondycji użytkownikom anonimowym. Jeśli zostanie wybrana opcja zezwalająca na anonimowe żądania certyfikatów kondycji, zostaną utworzone dwie witryny sieci Web:

  • DomainHRA (urząd rejestrowania kondycji dla użytkowników z domeny)

    W ustawieniach uwierzytelniania usług Internet Information Services (IIS) w tej witrynie włączone jest uwierzytelnianie systemu Windows. Wszystkie inne sposoby uwierzytelniania są wyłączone.

  • NonDomainHRA (urząd rejestrowania kondycji dla użytkowników spoza domeny)

    W ustawieniach uwierzytelniania usług IIS w tej witrynie włączone jest uwierzytelnianie anonimowe. Wszystkie inne sposoby uwierzytelniania są wyłączone.

Po wybraniu opcji, w której jedynie uwierzytelnionym członkom domeny przyznawana jest zdolność do uzyskania certyfikatów kondycji tworzona jest tylko witryna sieci Web DomainHRA.

Te witryny sieci Web obsługują rozszerzenie ISAPI (Internet Server Application Programming Interface) usług IIS, które przetwarza żądania HTTP/HTTPS, ocenia kondycję za pomocą serwera zasad sieciowych (NPS) i wystawia certyfikaty kondycji przy użyciu urzędu certyfikacji.

Ważne

Jeśli są dozwolone anonimowe żądania certyfikatów, należy skonfigurować zaufane grupy serwerów na klientach ochrony dostępu do sieci, aby anonimowe żądania certyfikatów wyższy priorytet na uporządkowanej liście adresów URL niż żądania certyfikatów anonimowych. Pomoże to zagwarantować, że elementom członkowskim domeny, dla których sprawdzanie kondycji zakończyło się pomyślnie, nie zostaną wydane anonimowe certyfikaty kondycji.

Certyfikaty dla szyfrowania SSL

Usługi IIS mogą używać protokołu SSL (Secure Sockets Layer) do szyfrowania połączeń z komputerami klienckim ochrony dostępu do sieci. Jeśli szyfrowanie SSL zostanie włączone, klienci zdalni muszą używać adresów URL (rozpoczynających się od ciągu https://), aby uzyskać dostęp do witryny, a serwer IIS musi mieć certyfikat SSL. Wymagania dla certyfikatu SSL:

  • Certyfikat musi się znajdować albo w magazynie certyfikatów na komputerze lokalnym albo w magazynie certyfikatów bieżącego użytkownika.

  • Bieżąca godzina systemowa musi się mieścić w przedziale między właściwością certyfikatu Ważny od a właściwością certyfikatu Ważny do.

  • Certyfikat musi być przeznaczony do uwierzytelnienia serwera. To wymaga, aby właściwość certyfikatu Rozszerzone użycie klucza określała Uwierzytelnianie serwera (1.3.6.1.5.5.7.3.1).

Jeśli podczas instalowania usługi roli urzędu rejestrowania kondycji zostanie zaimportowany istniejący certyfikat do stosowania szyfrowania SSL, zostanie on automatycznie dodany do magazynu certyfikatów na komputerze lokalnym. Można także utworzyć certyfikat z podpisem własnym lub później zainstalować certyfikat dla szyfrowania SSL.

Dodatkowe informacje