Vid installationen av HRA (Health Registration Authority) kan du välja att konfigurera HRA så att hälsocertifikat bara utfärdas när användare är autentiserade i domänen, eller så att hälsocertifikat utfärdas till anonyma användare. Om du väljer att tillåta anonyma begäranden om hälsocertifikat skapas två webbplatser:
-
DomainHRA
Autentiseringsinställningarna för IIS (Internet Information Services) på den här sidan har Windows-autentisering aktiverad. Alla andra autentiseringsmetoder är inaktiverade.
-
NonDomainHRA
Autentiseringsinställningarna för IIS (Internet Information Services) på den här sidan har Anonym autentisering aktiverad. Alla andra autentiseringsmetoder är inaktiverade.
Om du väljer att kräva att bara autentiserade medlemmar i domänen ges förmågan att motta hälsocertifikat skapas bara webbplatsen DomainHRA.
Webbplatserna är värdar för IIS-tillägget ISAPI (Internet Server Application Programming Interface) som bearbetar HTTP/HTTPS-begäranden, utvärderar hälsa med NPS (Network Policy Server) och utfärdar hälsocertifikat med hjälp av en certifikatutfärdare.
Viktigt! | |
Om anonyma certifikatbegäranden tillåts bör du konfigurera betrodda servergrupper på NAP-klienter så att autentiserade begäranden om certifikat ges högre prioritet i den ordnade listan över URL:er än anonyma begäranden om certifikat. Därmed ser du till att domänmedlemmar som klarar hälsokontrollerna inte får anonyma hälsocertifikat. |
Certifikat för SSL-kryptering
IIS kan kryptera kommunikationen med NAP-klientdatorer genom att använda SSL (Secure Sockets Layer). Om du aktiverar SSL kan fjärrklienter bara få åtkomst till din webbplats med URL:er som börjar med https:// och din IIS-server måste ha ett SSL-certifikat. Kraven för SSL-certifikatet är:
-
Certifikatet måste finnas i antingen den lokala datorns eller den aktuella användarens certifikatarkiv.
-
Aktuell tid för systemet måste vara efter certifikategenskapen Giltigt från och före Giltigt till.
-
Certifikatet måste vara avsett för serverautentisering. Det innebär att certifikatets egenskap för avancerad nyckelanvändning måste ha värdet Serverautentisering (1.3.6.1.5.5.7.3.1).
Om du importerar ett befintligt certifikat som ska användas med SSL-kryptering vid installationen av HRA-rolltjänsten läggs det automatiskt till i den lokala datorns certifikatarkiv. Du kan också skapa ett självsignerat certifikat eller installera ett certifikat för SSL-kryptering senare.