健康注册机构 (HRA) 必须使用至少一个证书颁发机构 (CA) 进行配置,以便从该机构中请求代表客户端计算机的健康证书。当新客户端连接到网络或健康证书有效期在兼容客户端计算机上即将过期,则需要证书。如果客户端计算机连接到网络时健康状态发生更改,则还可以删除证书,并对其重新颁发证书。HRA 将仅请求来自按顺序配置的第一个 CA 的健康证书,除非服务器不可用,或已被识别为无法响应。

配置 CA

使用此步骤在 HRA 中配置 CA。可以添加或删除 CA,并可以修改其顺序。您还可以在将 CA 识别为不可用之前,指定请求之间要等待的分钟数。如果您使用的是企业 CA,则可以选择要使用的已经过身份验证且匿名的证书模板。如果您使用的是具有网络访问控制的独立 CA,则可以通过启用策略 OID 来启用客户端扩展状态信息。

若要完成此过程,至少要具有 Domain Admins 成员身份或同等身份。有关使用适合的帐户和组成员身份的详细信息,请参阅 https://go.microsoft.com/fwlink/?LinkId=83477(可能为英文网页)。

添加新 CA

要获得最佳性能,应使用专用的独立从属 CA 来颁发健康证书。在 HRA 管理单元配置多个 CA 时,将提供容错。通过配置具有不同 CA 处理顺序的其他 HRA,可以达到负载平衡。您可以使用以下步骤配置用于 HRA 的 CA。

使用 Windows 界面添加新的证书颁发机构的步骤
  1. 打开 HRA 控制台。

  2. 在控制台树中,右键单击“证书颁发机构”,然后单击“添加证书颁发机构”。此时将打开“添加证书颁发机构”对话框。

  3. 单击“浏览”。此时将打开“选择证书颁发机构”对话框。

  4. CA 下,单击将用于颁发 NAP 健康证书的 CA 的名称,然后单击“确定”两次。

  5. 在 HRA 控制台树中,单击“证书颁发机构”,然后验证已配置 CA 的名称和顺序。

    注意

    您无法从工作组环境浏览到 CA。

配置 CA 等待时间

HRA 将仅尝试获取来自处理顺序中第一个配置的 CA 的健康证书,除非 CA 已标记为不可用。您可以使用以下步骤更改将 CA 标识为不可用之前要等待的分钟数。

使用 Windows 界面配置证书颁发机构等待时间的步骤
  1. 打开 HRA 控制台。

  2. 在控制台树中,右键单击“证书颁发机构”,然后单击“属性”。此时将打开“证书颁发机构属性”对话框。

  3. 输入将 CA 标识为不可用之前在请求之间要等待的分钟数,然后单击“确定”

配置健康证书有效期

健康证书的默认有效期为 4 小时。客户端将在过期之前的 15 分钟或客户端健康状态发生更改时,尝试续订健康证书。您可以使用以下步骤配置健康证书的自定义有效期。

使用 Windows 界面配置 HRA 所批准健康证书的有效期的步骤
  1. 打开 HRA 控制台。

  2. 在控制台树中,右键单击“证书颁发机构”,然后单击“属性”。此时将打开“证书颁发机构属性”对话框。

  3. 使用下拉列表选择时间单位。您可以选择“分钟”“小时”“天”“周”

  4. 在选择时间单位后,输入所需的单位数,然后单击“确定”

  5. 如果您使用的是企业 CA,则必须执行以下步骤以覆盖证书模板中配置的有效期。

    1. 单击「开始」,右键单击“命令提示符”,然后单击“以管理员身份运行”

    2. 在命令窗口中,键入 Certutil.exe -setreg policy\EditFlags +EDITF_ATTRIBUTEENDDATE,然后按 Enter。

    3. 在命令窗口中,键入 net stop certsvc && net start certsvc,然后按 Enter。

    4. 验证 Active Directory® Certificate Services (AD CS) 是否成功停止和开始。

重要

最大健康证书有效期由 CA 有效期确定,默认情况下,设置为 52 个星期。由于 CA 服务器的潜在性能问题而将有效期配置为少于 1 小时时要谨慎。请勿使用 15 分钟以下的有效期。

选择 CA 类型

使用以下步骤配置 NAP 证书颁发机构类型。选择与以前步骤中配置的 CA 相对应的 CA 类型很重要。如果您使用的是企业 CA,则必须在执行此步骤之前配置模板。

使用 Windows 界面选择证书颁发机构类型的步骤
  1. 打开 HRA 控制台。

  2. 在控制台树中,右键单击“证书颁发机构”,然后单击“属性”。此时将打开“证书颁发机构属性”对话框。

  3. 如果您使用的是独立 CA,请选择“使用独立证书颁发机构”

  4. 请勿选择“启用 PolicyOID”旁的复选框,除非您使用的是用于网络访问控制的客户端扩展状态信息。

  5. 如果您使用的是 Active Directory 集成的企业 CA,或同时使用企业 CA 和独立 CA,请选择“使用企业证书颁发机构”,然后使用下拉列表选择可用模板列表中的“已经过身份验证的兼容证书模板”“匿名兼容证书模板”。如果您在 HRA 的安装过程中不选择允许健康证书的匿名请求,则在此步骤中配置匿名模板将不会启用匿名证书申请。

配置顺序或删除 CA

使用以下步骤修改 HRA 所使用 CA 的优先级,或从 HRA 配置中删除 CA。HRA 将仅请求来自列表中配置的第一个 CA 中的证书,除非此 CA 已标记为不可用。

使用 Windows 界面配置顺序或删除证书颁发机构的步骤
  1. 打开 HRA 控制台。

  2. 在控制台树中,单击“证书颁发机构”

  3. 在服务器列表中,右键单击一个 CA 名称。单击“上移”以按顺序增加此服务器的优先级。单击“下移”以按顺序减小此服务器的优先级。

  4. 若要从此列表中删除 CA,请右键单击此 CA 名称,然后单击“删除”

其他参考