Aby sprawdzić, czy serwery są prawidłowo skonfigurowane i mogą być używane z urzędem rejestrowania kondycji i metodą wymuszania IPsec ochrony dostępu do sieci, można skorzystać z poniższych procedur w urzędach certyfikacji ochrony dostępu do sieci. Urzędy certyfikacji ochrony dostępu do sieci są serwerami z zainstalowanymi i uruchomionymi Usługami certyfikatów w usłudze Active Directory® (AD CS). Mogą one wydawać certyfikaty kondycji ochrony dostępu do sieci. Aby uzyskać więcej informacji na temat Usług certyfikatów w usłudze Active Directory, zobacz https://go.microsoft.com/fwlink/?LinkId=127816 (strona może zostać wyświetlona w języku angielskim).

Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w grupie Domain Admins lub równoważnej. Szczegółowe informacje na temat używania odpowiednich kont i członkostw w grupach można znaleźć na stronie https://go.microsoft.com/fwlink/?LinkId=83477 (strona może zostać wyświetlona w języku angielskim).

Wybieranie urzędu certyfikacji ochrony dostępu do sieci

Urząd rejestrowania kondycji musi być skojarzony z przynajmniej jednym urzędem certyfikacji, aby otrzymywać i wydawać certyfikaty kondycji ochrony dostępu do sieci zgodnym komputerom klienckim ochrony dostępu do sieci. Urząd certyfikacji można wybrać podczas instalowania urzędu rejestrowania kondycji przez wybranie instalacji lokalnego urzędu certyfikacji lub przez wybranie istniejącego zdalnego urzędu certyfikacji. Można też później dodawać urzędy certyfikacji ochrony dostępu do sieci za pomocą przystawki Urząd rejestrowania kondycji lub wiersza polecenia. Aby skojarzyć kilka urzędów certyfikacji z urzędem rejestrowania kondycji, należy skorzystać z przystawki Urząd rejestrowania kondycji lub wiersza polecenia. Urząd rejestrowania kondycji można tak skonfigurować, aby był używany albo urząd certyfikacji przedsiębiorstwa albo autonomiczny urząd certyfikacji. Wymagania dotyczące konfiguracji dla urzędu certyfikacji ochrony dostępu do sieci różnią się w zależności od wybranego typu urzędu. Należy skonfigurować ustawienia zabezpieczeń urzędu certyfikacji i wymagania dotyczące wystawiania certyfikatów w zależności od wyboru urzędu certyfikacji przedsiębiorstwa lub autonomicznego urzędu certyfikacji. W zalecanej konfiguracji urząd rejestrowania kondycji jest skojarzony z dedykowanym autonomicznym podrzędnym urzędem certyfikacji. Aby uzyskać więcej informacji na temat konfiguracji urzędu rejestrowania kondycji do używania urzędu certyfikacji ochrony dostępu do sieci, zobacz temat Konfigurowanie urzędu certyfikacji ochrony dostępu do sieci.

Wybieranie autonomicznego urzędu certyfikacji

Autonomiczny urząd certyfikacji nie korzysta z szablonów certyfikatów. Z tego względu nie trzeba konfigurować szablonu certyfikatu kondycji, jeśli jest używany autonomiczny urząd certyfikacji ochrony dostępu do sieci. W przypadku wyboru autonomicznego urzędu certyfikacji należy jednak skonfigurować ustawienia zabezpieczeń urzędu certyfikacji i wymagania wystawienia certyfikatu, aby urząd rejestrowania kondycji mógł żądać certyfikatów kondycji i automatycznie je wystawiać zgodnym komputerom klienckim.

Wybieranie urzędu certyfikacji przedsiębiorstwa

Urząd certyfikacji przedsiębiorstwa wystawia certyfikaty na podstawie szablonów certyfikatów. Moduł zasad jest używany do dostarczania wydawanym certyfikatom listy rozszerzeń certyfikatów, na przykład uwierzytelnianie kondycji systemu dla ochrony dostępu do sieci. Jeśli urząd certyfikacji przedsiębiorstwa jest uruchomiony na komputerze z systemem Windows Server® 2008, szablon certyfikatu uwierzytelniania kondycji systemu jest domyślnie dostępny z rozszerzeniami zasad aplikacji odpowiednimi dla domeny i uwierzytelniania kondycji. Jeśli urząd certyfikacji przedsiębiorstwa jest uruchomiony na komputerze z systemem Windows Server® 2003, należy utworzyć i opublikować szablon zawierający te rozszerzenia zasad aplikacji. Aby sprawdzić, czy urzędy certyfikacji przedsiębiorstw są tak skonfigurowane, że certyfikaty kondycji są automatycznie wystawiane z odpowiednimi rozszerzeniami zasad aplikacji, można skorzystać z poniższych procedur.

Weryfikowanie dostępności szablonu

Jeśli urząd certyfikacji przedsiębiorstwa jest uruchomiony na komputerze z systemem Windows Server 2008, szablon certyfikatu dla klientów ochrony dostępu do sieci uwierzytelnianych w domenie jest dostępny automatycznie wraz z wyświetlaną nazwą uwierzytelniania kondycji systemu. Jeśli urząd certyfikacji przedsiębiorstwa jest uruchomiony na komputerze z systemem Windows Server 2003, należy utworzyć ten szablon. Aby sprawdzić, czy szablon certyfikatu kondycji ochrony dostępu do sieci jest dostępny z prawidłowymi rozszerzeniami zasad aplikacji, czy też jest on niedostępny i należy go utworzyć, można skorzystać z poniższej procedury. Ta procedura nie ma zastosowania w przypadku używania autonomicznego urzędu certyfikacji.

Aby zweryfikować dostępność szablonu

  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie certtmpl.msc, a następnie naciśnij klawisz ENTER.

  2. W okienku szczegółów w obszarze Wyświetlana nazwa szablonu przejrzyj listę szablonów. Kliknij dwukrotnie nazwę szablonu certyfikatu kondycji ochrony dostępu do sieci. Jeśli szablon certyfikatu kondycji ochrony dostępu do sieci nie znajduje się na liście, wykonaj poniższe kroki:

    1. Kliknij prawym przyciskiem myszy pozycję Uwierzytelnianie stacji roboczej, a następnie kliknij polecenie Duplikowanie szablonu.

    2. W obszarze Wyświetlana nazwa szablonu wpisz Uwierzytelnianie kondycji systemu, a następnie kliknij kartę Rozszerzenia.

    3. W obszarze Rozszerzenia zawarte w tym szablonie kliknij pozycję Zasady aplikacji, a następnie kliknij przycisk Edytuj.

    4. Kliknij przycisk Dodaj, a następnie kliknij polecenie Nowa.

    5. W oknie Nowa zasada aplikacji w obszarze Nazwa wpisz Uwierzytelnianie kondycji systemu.

    6. W obszarze Identyfikator obiektu wpisz 1.3.6.1.4.1.311.47.1.1, a następnie cztery razy kliknij przycisk OK.

    7. Potwierdź, że nowy szablon został pomyślnie utworzony.

    8. Aby sprawdzić nowy szablon, kliknij dwukrotnie jego nazwę i wykonaj pozostałe kroki w tej procedurze.

  3. Kliknij kartę Rozszerzenia.

  4. W obszarze Rozszerzenia zawarte w tym szablonie kliknij pozycję Zasady aplikacji.

  5. Sprawdź, czy w obszarze Opis zasad aplikacji na liście znajdują się pozycje Uwierzytelnianie kondycji systemu oraz Uwierzytelnienie klienta, a następnie kliknij przycisk Edytuj.

  6. Kliknij pozycję Uwierzytelnianie kondycji systemu, a następnie przycisk Edytuj.

  7. W oknie dialogowym Edytuj zasadę aplikacji w obszarze Identyfikator obiektu sprawdź, czy wartość wynosi 1.3.6.1.4.1.311.47.1.1. Jeśli wartość identyfikatora obiektu zasady aplikacji jest inna, skorzystaj z poprzednich kroków w tej procedurze, aby utworzyć nowy szablon uwierzytelniania kondycji systemu. Należy także skorygować nazwy zasad aplikacji, aby wartość identyfikatora obiektu skojarzonego z Uwierzytelnianiem kondycji systemu wynosiła 1.3.6.1.4.1.311.47.1.1.

  8. Trzy razy kliknij przycisk Anuluj, a następnie zamknij konsolę Szablony certyfikatów.
Uwaga

Jeśli ten szablon certyfikatu jest używany do wydawania anonimowych certyfikatów kondycji, nie dołączaj zasady aplikacji Uwierzytelnienie klienta. Certyfikaty zawierające zasadę aplikacji uwierzytelniania klienta są wydawane klientom uwierzytelnionym przez poświadczenia domeny.

Weryfikowanie dostępności certyfikatu

W urzędzie certyfikacji przedsiębiorstwa certyfikaty muszą zostać udostępnione przed wydaniem ich komputerom klienckim. Skorzystaj z poniższej procedury, aby upewnić się, że certyfikat kondycji ochrony dostępu do sieci będzie udostępniony do wystawienia. Ta procedura nie ma zastosowania w przypadku używania autonomicznego urzędu certyfikacji.

Aby zweryfikować dostępność certyfikatu

  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie certsvr.msc, a następnie naciśnij klawisz ENTER.

  2. W drzewie konsoli kliknij węzeł Szablony certyfikatów.

  3. W okienku szczegółów w obszarze Nazwa sprawdź, czy na liście znajduje się certyfikat kondycji ochrony dostępu do sieci. Jeśli urząd certyfikacji przedsiębiorstwa jest uruchomiony na komputerze z systemem Windows Server 2008, domyślny szablon certyfikatu kondycji dla klientów ochrony dostępu do sieci uwierzytelnianych w domenie ma wyświetlaną nazwę Uwierzytelnianie kondycji systemu.

  4. Jeśli został utworzony szablon certyfikatu kondycji, ale nie ma go na liście, skorzystaj z poniższych kroków, aby wystawić szablon:

    1. Kliknij prawym przyciskiem myszy kontener Szablony certyfikatów, wskaż polecenie Nowy, a następnie kliknij pozycję Szablon certyfikatu do wystawienia.

    2. W oknie Włączanie szablonu certyfikatu w obszarze Nazwa kliknij nazwę certyfikatu kondycji ochrony dostępu do sieci, a następnie kliknij przycisk OK. Jeśli szablon nie jest umieszczony na liście, oznacza to, że został już włączony lub trzeba go utworzyć przed przystąpieniem do tej procedury.

    3. Sprawdź, czy szablon certyfikatu kondycji ochrony dostępu do sieci został dodany do listy szablonów.

  5. Zamknij konsolę Urząd certyfikacji.

Weryfikowanie uprawnień rejestrowania certyfikatu dla urzędu rejestrowania kondycji

Aby urząd rejestrowania kondycji otrzymywał certyfikaty z urzędu certyfikacji przedsiębiorstwa i wystawiał je klientom, musi mieć przyznane uprawnienia do rejestrowania certyfikatu kondycji. Włączenie uprawnień autorejestrowania pozwala urzędowi rejestrowania kondycji automatycznie dodać dany certyfikat do jego lokalnego magazynu certyfikatów. Jeśli są przyznane tylko uprawnienia do rejestrowania, użytkownik musi ręcznie przekazać certyfikat kondycji do serwera urzędu rejestrowania kondycji. Aby sprawdzić, czy urząd rejestrowania kondycji ma przyznane te uprawnienia, skorzystaj z poniższej procedury. Ta procedura nie ma zastosowania w przypadku używania autonomicznego urzędu certyfikacji.

Aby zweryfikować uprawnienia rejestrowania certyfikatu dla urzędu rejestrowania kondycji

  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie certtmpl.msc, a następnie naciśnij klawisz ENTER.

  2. W okienku szczegółów w obszarze Nazwa wyświetlana szablonu kliknij dwukrotnie nazwę certyfikatu kondycji ochrony dostępu do sieci. Jeśli urząd certyfikacji przedsiębiorstwa jest uruchomiony na komputerze z systemem Windows Server 2008, domyślny szablon certyfikatu kondycji dla klientów ochrony dostępu do sieci uwierzytelnianych w domenie ma wyświetlaną nazwę Uwierzytelnianie kondycji systemu.

  3. Kliknij kartę Zabezpieczenia.

  4. Sprawdź, czy uprawnienia Rejestrowanie i Autorejestrowanie zostały przyznane nazwie DNS serwera urzędu rejestrowania kondycji, czy grupie, w której urząd ten jest elementem członkowskim. Jeśli te uprawnienia nie zostały przyznane, wykonaj poniższe kroki:

    1. Kliknij przycisk Dodaj, kliknij opcję Typy obiektów, zaznacz pole wyboru Komputery, a następnie kliknij przycisk OK.

    2. W obszarze Wprowadź nazwy obiektów do wybrania wpisz nazwę DNS serwera urzędu rejestrowania kondycji, a następnie kliknij przycisk OK. Możesz też wpisać nazwę grupy, w której serwer urzędu rejestrowania kondycji jest elementem członkowskim.

    3. Kliknij dodaną nazwę lub grupę, wybierz uprawnienia Zezwalaj dla pozycji Rejestrowanie i Autorejestrowanie, a następnie kliknij przycisk OK.

  5. Zamknij konsolę Szablony certyfikatów.

Sprawdzanie ustawień zabezpieczeń urzędu certyfikacji

Ustawienia zabezpieczeń urzędu certyfikacji określają, czy urząd rejestrowania kondycji ma uprawnienia do wystawiania certyfikatów kondycji. Aby zweryfikować te uprawnienia w urzędzie certyfikacji ochrony dostępu do sieci, należy skorzystać z poniższej procedury. Ta procedura ma zastosowanie zarówno dla urzędu certyfikacji przedsiębiorstwa jak i dla autonomicznego urzędu certyfikacji.

Aby zweryfikować ustawienia zabezpieczeń certyfikatów

  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie certsrv.msc, a następnie naciśnij klawisz ENTER.

  2. Kliknij prawym przyciskiem myszy nazwę pospolitą urzędu certyfikacji, a następnie kliknij polecenie Właściwości.

  3. Kliknij kartę Zabezpieczenia.

  4. Jeśli urząd rejestrowania kondycji i urząd certyfikacji ochrony dostępu do sieci są uruchomione na tym samym komputerze, sprawdź, czy USŁUGA SIECIOWA znajduje się w obszarze Nazwy grupy lub użytkownika.

  5. Jeśli urząd rejestrowania kondycji i urząd certyfikacji ochrony dostępu do sieci są uruchomione na różnych komputerach, sprawdź, czy nazwa serwera urzędu rejestrowania kondycji znajduje się w obszarze Nazwy grupy lub użytkownika.

  6. Kliknij nazwę serwera urzędu rejestrowania kondycji lub kliknij pozycję USŁUGA SIECIOWA, a następnie sprawdź, czy przyznane są uprawnienia: Wystawianie certyfikatów i zarządzanie nimi, Zarządzanie urzędem certyfikacji oraz Żądanie certyfikatów.

  7. Kliknij przycisk OK, a następnie zamknij konsolę Urząd certyfikacji.

Weryfikowanie wymagań wystawiania certyfikatów

Aby komputery klienckie ochrony dostępu do sieci mogły otrzymywać certyfikaty kondycji natychmiast po ustaleniu ich zgodności z wymaganiami dotyczącymi kondycji sieci, urzędy certyfikacji ochrony dostępu do sieci muszą być tak skonfigurowane, że certyfikaty kondycji będą wystawiane automatycznie. Aby sprawdzić, czy certyfikaty są wystawiane automatycznie, skorzystaj z poniższej procedury. Ta procedura ma zastosowanie zarówno dla urzędu certyfikacji przedsiębiorstwa jak i dla autonomicznego urzędu certyfikacji.

Aby zweryfikować wymagania wystawiania certyfikatów

  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie certsrv.msc, a następnie naciśnij klawisz ENTER.

  2. Kliknij prawym przyciskiem myszy nazwę pospolitą urzędu certyfikacji, a następnie kliknij polecenie Właściwości.

  3. Kliknij kartę Moduł zasad, a następnie kliknij polecenie Właściwości.

  4. Sprawdź, czy opcja Użyj ustawień z szablonu certyfikatu jest zaznaczona.

  5. Kliknij przycisk OK dwa razy, a następnie zamknij konsolę Urząd certyfikacji.

Dodatkowe informacje

Spis treści