Durante a instalação da Autoridade de Registo de Estado de Funcionamento (HRA), é-lhe dada a opção para configurar a HRA para fornecer certificados de estado de funcionamento apenas quando os utilizadores são autenticados no domínio, ou para fornecer opcionalmente os certificados de estado de funcionamento a utilizadores anónimos. Se optar por permitir pedidos anónimos de certificados de estado de funcionamento, serão criados dois Web sites:
-
DomainHRA
As definições de autenticação dos Serviços de Informação Internet (IIS) neste site possuem a autenticação do Windows activada. Todos os outros métodos de autenticação estão desactivados.
-
NonDomainHRA
As definições de autenticação IIS neste site possuem a autenticação Anónima activada. Todos os outros métodos de autenticação estão desactivados.
Se optar por definir que apenas aos membros autenticados do domínio é permitido receber certificados de estado de funcionamento, então apenas é criado o Web site DomainHRA.
Estes Web sites hospedam uma extensão ISAPI (Internet Server Application Programming Interface) do IIS que processa os pedidos HTTP/HTTPS, avalia o estado de funcionamento através do Servidor de Políticas de Rede (NPS) e emite certificados de estado de funcionamento utilizando uma autoridade de certificação (AC).
Importante | |
Se forem permitidos pedidos de certificados anónimos, deverá configurar os grupos de servidores fidedignos nos cliente NAP por forma a que seja dada uma prioridade mais elevada aos pedidos de certificados autenticados na lista ordenada de URLs que aos pedidos de certificados anónimos. Isto irá ajudar a garantir que não são emitidos certificados de estado de funcionamento anónimos a membros de domínio que passem nas verificações de estado de funcionamento. |
Certificados para encriptação SSL
O IIS pode utilizar o SSL (Secure Sockets Layer) para encriptar as comunicações com os computadores cliente NAP. Se activar o SSL, os clientes remotos podem aceder ao site utilizando URLs que começam por https:// e tem de ser fornecido um certificado SSL ao servidor IIS. Os requisitos deste certificado SSL consistem em:
-
O certificado tem de estar no arquivo de certificados do computador local ou no arquivo de certificados do utilizador actual.
-
A hora do sistema actual tem de ser posterior à propriedade Válido de do certificado e anterior à propriedade Válido até do certificado.
-
O certificado tem de ter como propósito a autenticação de servidor. É necessário que a propriedade Utilização de Chave Avançada do certificado especifique Autenticação de Servidor (1.3.6.1.5.5.7.3.1).
Se importar um certificado existente para ser utilizado na encriptação SSL durante a instalação do serviço de funções HRA, é adicionado automaticamente ao arquivo de certificados do computador local. Pode criar um certificado auto-assinado ou instalar um certificado para encriptação SSL posterior.