Durante a instalação da HRA (Autoridade de Registro de Integridade), você tem a opção de configurá-la para oferecer certificados de integridade somente quando os usuários forem autenticados para o domínio ou, opcionalmente, oferecer certificados de integridade para usuários anônimos. Se você optar por permitir solicitações anônimas de certificados de integridade, dois sites serão criados:
-
DomainHRA
As configurações de autenticação do IIS (Serviços de Informações da Internet) neste site possuem a autenticação do Windows habilitada. Todos os outros métodos de autenticação estão desabilitados.
-
NonDomainHRA
As configurações de autenticação do IIS neste site possuem a autenticação anônima habilitada. Todos os outros métodos de autenticação estão desabilitados.
Se você optar por exigir que somente os membros autenticados do domínio tenham a capacidade de receber certificados de integridade, então somente o site DomainHRA será criado.
Esses sites hospedam uma extensão da interface ISAPI do IIS que processa solicitações HTTP/HTTPS, avalia a integridade usando o NPS (Servidor de Diretivas de Rede) e emite certificados de integridade usando uma autoridade de certificação.
 | Importante |
|
Se as solicitações de certificado anônimas forem permitidas, você deve configurar grupos de servidores confiáveis em clientes NAP para que as solicitações de certificado autenticadas recebam uma prioridade maior do que as solicitações de certificado anônimas na lista ordenada de URLs. Isso ajudará a garantir que clientes associados ao domínio que passem em verificações de integridade não recebam certificados de integridade anônimos. |
Certificados para criptografia SSL
O IIS pode usar SSL (Secure Sockets Layer) para criptografar comunicações com computadores cliente NAP. Se você habilitar o SSL, os clientes remotos deverão acessar o seu site usando URLs que comecem com https:// e o seu servidor IIS terá de provisionar um certificado SSL. São requisitos para esse certificado SSL:
-
O certificado deve ficar no armazenamento de certificados do computador local ou do usuário atual.
-
A hora atual do sistema deve vir depois da propriedade Válido de do certificado e antes da propriedade Válido até do certificado.
-
O certificado deve ter sido criado para autenticação de servidor. Isso requer que a propriedade Uso Avançado de Chave do certificado especifique a Autenticação de Servidor como (1.3.6.1.5.5.7.3.1).
Se você importar um certificado existente para uso com a criptografia SSL durante a instalação do serviço de função HRA, ele será automaticamente adicionado ao armazenamento de certificados do computador local. Você também pode criar um certificado auto-assinado ou instalar um certificado para a criptografia SSL mais tarde.