Med följande procedurer kan du kontrollera att NAP-certifikatutfärdarna (Network Access Protection) är korrekt certifierade för användning med HRA (Health Registration Authority) och tvingande NAP för IPsec (Internet Protocol security). NAP-certifikatutfärdare är servrar som kör Active Directory®-certifikattjänster (AD CS) och kan utfärda NAP-hälsocertifikat. Mer information om Active Directory-certifikattjänster finns på https://go.microsoft.com/fwlink/?LinkId=127816 (sidan kan vara på engelska).

Om proceduren ska kunna slutföras krävs minst medlemskap i Domain Admins eller motsvarande. Du kan läsa mer om kontomedlemskap och gruppmedlemskap på https://go.microsoft.com/fwlink/?LinkId=83477 (sidan kan vara på engelska).

Välja en NAP-certifikatutfärdare

HRA måste associeras med åtminstone en certifikatutfärdare för att kunna erhålla och utfärda NAP-hälsocertifikat till NAP-klientdatorer som uppfyller kraven. Du kan välja en certifikatutfärdare under installationen av HRA genom att installera den lokalt eller välja en befintlig fjärrcertifikatutfärdare. Du kan också lägga till NAP-certifikatutfärdare senare med hjälp av snapin-modulen HRA eller en kommandorad. Du måste använda snapin-modulen HRA eller en kommandorad om du vill associera mer än en certifikatutfärdare med HRA. Du kan konfigurera HRA så att den använder antingen en företagscertifikatutfärdare eller en fristående certifikatutfärdare. Konfigurationskraven för en NAP-certifikatutfärdare beror på vilken typ av certifikatutfärdare du väljer. Du måste konfigurera säkerhetsinställningarna för certifikatutfärdare och krav för certifikatutfärdande oavsett om du väljer en fristående certifikatutfärdare eller en företagscertifikatutfärdare. I dess rekommenderade konfiguration associeras HRA med en dedicerad fristående underordnad certifikatutfärdare. Mer information om att konfigurera HRA så att en NAP-certifikatutfärdare används finns i Konfigurera NAP-certifikatutfärdare.

Välja en fristående certifikatutfärdare

En fristående certifikatutfärdare använder inte certifikatmallar. Det innebär att du inte behöver konfigurera en mall för hälsocertifikat när du använder en fristående NAP-certifikatutfärdare. Om du väljer en fristående certifikatutfärdare måste du ändå konfigurera certifikatutfärdarens säkerhetsinställningar och krav för utfärdande av certifikat så att HRA kan begära och automatiskt utfärda hälsocertifikat till klientdatorer som uppfyller kraven.

Välja en företagscertifikatutfärdare

En företagscertifikatutfärdare utfärdar certifikat som baseras på certifikatmallar. Principmodulen används till att ta fram en lista på certifikattillägg till de utfärdade certifikaten, t.ex. systemhälsoautentisering för NAP. Om Windows Server® 2008 körs på företagscertifikatutfärdaren är certifikatmallen för systemhälsa tillgänglig som standard med tillägg till användningsprinciper som är lämpade för domän- och hälsoautentisering. Om företagscertifikatutfärdaren kör Windows Server® 2003 måste du skapa och publicera en certifikatmall som innehåller de här tilläggen till användningsprinciper. Med följande procedurer kan du kontrollera att företagscertifikatutfärdare konfigureras så att de automatiskt utfärdar hälsocertifikat med korrekta tillägg till användningsprinciper.

Kontrollera tillgänglighet för mallar

Om Windows Server 2008 körs på företagscertifikatutfärdarservern finns det automatiskt en certifikatmall med visningsnamnet Autentisering av systemhälsan för domänautentiserade NAP-klienter. Om Windows Server 2003 körs på företagscertifikatutfärdarservern måste mallen skapas. Med följande procedur kan du kontrollera att det finns en NAP-hälsocertifikatmall med korrekta tillägg till användningsprinciper, eller skapa mallen om den inte finns. Proceduren gäller inte om du använder en fristående certifikatutfärdare.

Så här kontrollerar du tillgänglighet för mallar
  1. Klicka på Start, klicka på Kör, skriv certtmpl.msc och tryck sedan på RETUR.

  2. Granska listan med mallar under Mallens visningsnamn i informationsfönstret. Dubbelklicka på namnet på din NAP-hälsocertifikatmall. Om en NAP-hälsocertifikatmall inte finns med i listan utför du följande steg:

    1. Högerklicka på Autentisering av arbetsstation och klicka sedan på Kopiera mallen.

    2. Skriv Verifiering av systemhälsan under Mallens visningsnamn och klicka sedan på fliken Tillägg.

    3. Klicka på Användningsprinciper under Tillägg som ingår i den här mallen och klicka sedan på Redigera.

    4. Klicka på Lägg till och sedan på Ny.

    5. Skriv Verifiering av systemhälsan under Namn i Ny användningsprincip.

    6. Skriv 1.3.6.1.4.1.311.47.1.1 under Objektidentifierare och klicka sedan på OK fyra gånger.

    7. Bekräfta att den nya mallen har skapats.

    8. Kontrollera den nya mallen genom att dubbelklicka på dess namn och genomför de kvarvarande stegen i den här proceduren.

  3. Klicka på fliken Tillägg.

  4. Klicka på Användningsprinciper under Tillägg som ingår i den här mallen.

  5. Under Beskrivning av användningsprinciper kontrollerar du att Verifiering av systemhälsan och Autentisera klient finns på listan, och sedan klickar du på Redigera.

  6. Klicka på Verifiering av systemhälsan och klicka sedan på Redigera.

  7. Kontrollera att värdet är 1.3.6.1.4.1.311.47.1.1 under Objektidentifierare i Redigera användningsprincip. Om värdet på användningsprincipens objektidentifierare är något annat skapar du en ny mall för systemhälsoverifiering med hjälp av de föregående stegen i den här proceduren. Korrigera också namn på användningsprinciper så att objektidentifieraren som associeras med Verifiering av systemhälsan är 1.3.6.1.4.1.311.47.1.1.

  8. Klicka tre gånger på Avbryt och stäng sedan konsolen för certifikatmallar.

OBS

Inkludera inte användningsprincipen Autentisera klient om certifikatmallen används till att utfärda anonyma certifikat. Certifikat med användningsprincipen för klientautentisering utfärdas till klienter som autentiserar med domänautentiseringsuppgifter.

Kontrollera tillgänglighet för certifikat

På en företagscertifikatutfärdare måste certifikat göras tillgängliga innan de kan utfärdas till klientdatorer. Med följande procedur kan du försäkra dig om att NAP-hälsocertifikaten finns tillgängliga för utfärdande. Proceduren gäller inte om du använder en fristående certifikatutfärdare.

Så här kontrollerar du tillgänglighet för certifikat
  1. Klicka på Start, Kör och skriv certsvr.msc. Tryck sedan på RETUR.

  2. Klicka på Certifikatmallar i konsolträdet.

  3. Kontrollera att NAP-hälsocertifikatet finns i listan under Namn i informationsfönstret. Om Windows Server 2008 körs på företagscertifikatutfärdarservern har standardcertifikatmallen för domänautentiserade NAP-klienter visningsnamnet Verifiering av systemhälsan.

  4. Om mallen för hälsocertifikatet har skapats men inte visas i listan utfärdar du mallen med följande steg:

    1. Högerklicka på Certifikatmallar, peka på Ny och klicka sedan på Certifikatmall som ska utfärdas.

    2. Klicka på ditt NAP-hälsocertifikats namn under Namn i Aktivera certifikatmallar och klicka sedan på OK. Om mallen inte finns med i listan har det redan aktiverats, eller så måste du skapa den innan du utför den här proceduren.

    3. Kontrollera att din mall för hälsocertifikat har lagts till på listan över mallar.

  5. Stäng certifikatutfärdarkonsolen.

Kontrollera behörigheter för certifikatregistrering för HRA

HRA måste få behörighet att registrera hälsocertifikatet för att kunna erhålla certifikat från en företagscertifikatutfärdare och utfärda dem till klienter. Genom att aktivera behörighet för automatisk registrering tillåts HRA att automatiskt lägga till det här certifikatet i sitt lokala certifikatarkiv. Om det bara finns behörighet för registrering måste du upprätta ett hälsocertifikat på HRA-servern manuellt. Med följande procedur kan du kontrollera att HRA har fått behörigheterna. Proceduren gäller inte om du använder en fristående certifikatutfärdare.

Så här kontrollerar du behörigheter för certifikatregistrering för HRA
  1. Klicka på Start, klicka på Kör, skriv certtmpl.msc och tryck sedan på RETUR.

  2. Dubbelklicka på ditt NAP-hälsocertifikats namn under Mallens visningsnamn i visningsfönstret. Om Windows Server 2008 körs på företagscertifikatutfärdarservern har standardcertifikatmallen för domänautentiserade NAP-klienter visningsnamnet Verifiering av systemhälsan.

  3. Klicka på fliken Säkerhet.

  4. Kontrollera att behörigheterna Registrera och Registrera automatiskt har beviljats för HRA-serverns DNS-namn, eller för en grupp som HRA-servern är medlem i. Om behörigheterna inte har beviljats utför du följande steg:

    1. Klicka på Lägg till, klicka på Objekttyper, markera kryssrutan Datorer och klicka sedan på OK.

    2. Ange HRA-serverns DNS-namn under Ange de objektnamn som ska väljas och klicka sedan på OK. Du kan också ange namnet på en grupp som HRA-servern är medlem i.

    3. Klicka på namnet eller gruppen du lade till, markera behörigheten Tillåt för Registrera och Registrera automatiskt och klicka sedan på OK.

  5. Stäng konsolen för certifikatmallar.

Verifiera säkerhetsinställningarna för certifikatutfärdaren

Säkerhetsinställningarna för certifikatutfärdaren avgör om HRA har behörighet att utfärda hälsocertifikat. Med följande procedur kan du kontrollera behörigheten hos NAP-certifikatutfärdarna. Proceduren gäller både företagscertifikatutfärdare och fristående certifikatutfärdare.

Så här kontrollerar du säkerhetsinställningar för certifikatutfärdare
  1. Klicka på Start, Kör och skriv certsrv.msc. Tryck sedan på RETUR.

  2. Högerklicka på certifikatutfärdarens egna namn och klicka på Egenskaper.

  3. Klicka på fliken Säkerhet.

  4. Om HRA- och NAP-certifikatutfärdaren körs på samma dator kontrollerar du att Nätverkstjänst finns under Grupp- eller användarnamn.

  5. Om HRA- och NAP-certifikatutfärdaren körs på olika datorer kontrollerar du att HRA-serverns datornamn finns under Grupp- eller användarnamn.

  6. Klicka HRA-serverns namn, eller klicka på Nätverkstjänst, och kontrollera att det finns behörigheter för att Utfärda och hantera certifikat, Hantera certifikatutfärdare och Begära certifikat.

  7. Klicka på OK och stäng sedan certifikatutfärdarkonsolen.

Kontrollera krav för certifikatutfärdande

Om NAP-klienter ska kunna erhålla hälsocertifikat direkt när det avgörs att de uppfyller nätverkshälsokraven måste NAP-certifikatutfärdare vara konfigurerade så att de utfärdar hälsocertifikat automatiskt. Med följande procedur kan du kontrollera att certifikat utfärdas automatiskt. Proceduren gäller både företagscertifikatutfärdare och fristående certifikatutfärdare.

Så här kontrollerar du krav för certifikatutfärdande
  1. Klicka på Start, Kör och skriv certsrv.msc. Tryck sedan på RETUR.

  2. Högerklicka på certifikatutfärdarens egna namn och klicka på Egenskaper.

  3. Klicka på fliken Principmodul och klicka sedan på Egenskaper.

  4. Kontrollera att Använd inställningarna i certifikatmallen är markerat.

  5. Klicka på OK två gånger och stäng sedan certifikatutfärdarkonsolen.

Ytterligare referenser