在健康注册机构 (HRA) 的安装过程中,仅当用户已通过对域的身份验证时,您才可以配置 HRA 以提供健康证书,或者可以选择对匿名用户提供健康证书。如果选择允许匿名请求健康证书,将创建以下两个网站:
-
DomainHRA
此站点上的 Internet 信息服务 (IIS) 身份验证设置已启用 Windows 身份验证。所有其他身份验证方法已被禁用。
-
NonDomainHRA
此站点上的 IIS 身份验证设置已启用匿名身份验证。所有其他身份验证方法已被禁用。
如果选择要求仅经过身份验证的域成员才能接收健康证书,将仅创建 DomainHRA 网站。
这些网站将主持用于处理 HTTP/HTTPS 请求、使用网络策略服务器 (NPS) 评估健康状况,并使用证书颁发机构 (CA) 颁发健康证书的 IIS Internet 服务器应用程序编程接口 (ISAPI) 扩展。
 | 重要 |
|
如果允许匿名证书申请,则应该在 NAP 客户端上配置受信任的服务器组,以便经过身份验证的证书申请能够在 URL 的顺序列表中具有比匿名证书申请更高的优先级。这将有助于确保不会对通过健康检查的域成员颁发匿名健康证书。 |
用于 SSL 加密的证书
IIS 可以使用安全套接字层 (SSL) 加密与 NAP 客户端计算机的通信。如果启用了 SSL,则远程客户端必须通过使用以 https:// 开头的 URL 访问您的站点,并且必须为您的 IIS 服务器配置 SSL 证书。对此 SSL 证书的要求如下:
-
此证书必须在本地计算机证书存储中或当前的用户证书存储中。
-
当前的系统时间必须在此证书的“有效起始日期”属性之后和“有效终止日期”属性之前。
-
此证书必须适用于服务器身份验证。这要求证书的“增强型密钥用法”属性指定“服务器身份验证”(1.3.6.1.5.5.7.3.1)。
如果在 HRA 角色服务的安装过程中导入了现有证书用于 SSL 加密,则会将其自动添加到本地计算机证书存储。稍后,还可以创建自签名证书或安装用于 SSL 加密的证书。