在您的网络访问保护 (NAP) 证书颁发机构 (CA) 上使用以下步骤,验证这些服务器是否已正确配置为用于健康注册机构 (HRA) 和 NAP Internet 协议安全性 (IPSec) 强制方法。NAP CA 是已经安装并运行 Active Directory(R) 证书服务 (AD CS) 的服务器,能够颁发 NAP 健康证书。有关 AD CS 的详细信息,请参阅
若要完成此过程,至少要具有 Domain Admins 成员身份或同等身份。有关使用适合的帐户和组成员身份的详细信息,请参阅
选择 NAP CA
HRA 必须与至少一个 CA 相关联,才能获取并向符合条件的 NAP 客户端计算机颁发 NAP 健康证书。在 HRA 的安装过程中,您可以通过选择本地安装 CA 或选择现有的远程 CA 来选择 CA。还可以稍后使用 HRA 管理单元或命令行添加 NAP CA。您必须使用 HRA 管理单元或命令行才能将多个 CA 与 HRA 相关联。可以将 HRA 配置为使用企业 CA 或独立 CA。根据您所选择的 CA 的类型,NAP CA 的配置要求有所不同。无论选择独立 CA 还是企业 CA,都必须配置 CA 安全设置和证书颁发要求。在其推荐的配置中,HRA 与专用独立从属 CA 相关联。有关配置 HRA 以使用 NAP CA 的详细信息,请参阅配置 NAP 证书颁发机构。
选择独立 CA
独立 CA 不使用证书模板。因此,使用独立 NAP CA 时,不需要配置健康证书模板。如果选择独立 CA,还必须配置 CA 安全设置和证书颁发要求,以便 HRA 可以请求和向符合条件的客户端计算机自动颁发健康证书。
选择企业 CA
企业 CA 基于证书模板颁发证书。策略模块用于向颁发的证书提供证书扩展列表,如 NAP 的系统健康身份验证。如果您的企业 CA 运行的是 Windows Server(R) 2008,则默认情况下,可以使用系统健康身份验证证书模板进行适合于域和健康身份验证的应用程序策略扩展。如果您的企业 CA 运行的是 Windows Server® 2003,则必须创建和发布包含这些应用程序策略扩展的模板。可以使用以下步骤验证是否已将企业 CA 配置为自动颁发具有正确应用程序策略扩展的健康证书。
验证模板可用性
如果您的企业 CA 服务器运行的是 Windows Server 2008,则经过域身份验证的 NAP 客户端的证书模板将自动用于系统健康身份验证的显示名称。如果您的企业 CA 运行的是 Windows Server 2003,则必须创建此模板。使用以下步骤可验证 NAP 健康证书模板是否可用于正确的应用程序策略扩展,或者创建此模板(如果不可用)。如果使用的是独立 CA,则此过程不适用。
 | 验证模板可用性的步骤 |
依次单击「开始」、“运行”,键入 certtmpl.msc,然后按 Enter。
在详细信息窗格的“模板显示名称”下,查看模板列表。双击 NAP 健康证书模板的名称。如果未列出 NAP 健康证书模板,请执行以下步骤:
-
右键单击“工作站身份验证”,然后单击“复制模板”。
-
在“模板显示名称”下,键入“系统健康身份验证”,然后单击“扩展”选项卡。
-
在“这个模板中包括的扩展”下,单击“应用程序策略”,然后单击“编辑”。
-
单击“添加”,然后单击“新建”。
-
在“新应用程序策略”的“名称”下,键入“系统健康身份验证”。
-
在“对象标识符”下,键入 1.3.6.1.4.1.311.47.1.1,然后单击“确定”四次。
-
确认已成功新建模板。
-
若要验证您的新模板,请双击其名称,然后完成此过程中的其余步骤。
-
右键单击“工作站身份验证”,然后单击“复制模板”。
单击“扩展”选项卡。
在“这个模板中包括的扩展”下,单击“应用程序策略”。
在“应用程序策略描述”下,验证是否已列出“系统健康身份验证”和“客户端身份验证”,然后单击“编辑”。
单击“系统健康身份验证”,然后单击“编辑”。
在“编辑应用程序策略”的“对象标识符”下,验证此值是否为 1.3.6.1.4.1.311.47.1.1。如果应用程序策略对象标识符的值与此不同,请使用此过程中前面的步骤创建新的系统健康身份验证模板。您还应该更正应用程序策略名称,以便与“系统健康身份验证”相关联的对象标识符变为 1.3.6.1.4.1.311.47.1.1。
单击“取消”三次,然后关闭证书模板控制台。
 | 注意 |
|
如果此证书模板用于颁发匿名健康证书,请不要包括“客户端身份验证”应用程序策略。会将包含客户端身份验证应用程序策略的证书颁发给使用域凭据进行身份验证的客户端。 |
验证证书可用性
在企业 CA 上,证书必须在可以颁发给客户端计算机之前是可用的。请使用以下步骤确保可以颁发您的 NAP 健康证书。如果使用的是独立 CA,则此过程不适用。
| 验证证书可用性的步骤 |
依次单击「开始」、“运行”,键入 certsvr.msc,然后按 Enter。
在控制台树中,单击“证书模板”。
在详细信息窗格的“名称”下,验证是否已列出您的 NAP 健康证书。如果您的企业 CA 服务器运行的是 Windows Server 2008,则经过域身份验证的 NAP 客户端的默认健康证书模板具有“系统健康身份验证”的显示名称。
如果已创建健康证书模板,但它未显示在此列表中,请使用以下步骤颁发此模板:
-
右键单击“证书模板”,指向“新建”,然后单击“要颁发的证书模板”。
-
在“启用证书模板”的“名称”下,单击您的 NAP 健康证书的名称,然后单击“确定”。如果未列出模板,则说明已启用模板,否则必须在执行此步骤之前创建模板。
-
验证您的 NAP 健康证书模板已添加到模板列表中。
-
右键单击“证书模板”,指向“新建”,然后单击“要颁发的证书模板”。
关闭证书颁发机构控制台。
验证 HRA 的证书注册权限
为了使 HRA 获得来自企业 CA 的证书并将其颁发给客户端,必须授予 HRA 注册健康证书的权限。启用自动注册权限将使 HRA 能够将此证书自动添加到其本地证书存储中。如果仅允许注册权限,则必须在 HRA 服务器上手动配置健康证书。请使用以下步骤验证已对 HRA 授予这些权限。如果使用的是独立 CA,则此过程不适用。
| 验证 HRA 的证书注册权限的步骤 |
依次单击「开始」、“运行”,键入 certtmpl.msc,然后按 Enter。
在详细信息窗格的“模板显示名称”下,双击您的 NAP 健康证书的名称。如果您的企业 CA 服务器运行的是 Windows Server 2008,则经过域身份验证的 NAP 客户端的默认健康证书模板具有“系统健康身份验证”的显示名称。
单击“安全”选项卡。
验证已将“注册”和“自动注册”权限授予您的 HRA 服务器的 DNS 名称,或授予 HRA 服务器所属的某个组。如果未允许这些权限,请执行以下步骤:
-
依次单击“添加”、“对象类型”,选中“计算机”复选框,然后单击“确定”。
-
在“输入要选择的对象名称”,键入您的 HRA 服务器的 DNS 名称,然后单击“确定”。也可以键入 HRA 服务器所属组的名称。
-
单击已添加的组的名称,为“注册”和“自动注册”选择“允许”权限,然后单击“确定”。
-
依次单击“添加”、“对象类型”,选中“计算机”复选框,然后单击“确定”。
关闭证书模板控制台。
验证 CA 安全设置
CA 安全设置可以确定 HRA 是否具有权限颁发健康证书。使用以下步骤可在您的 NAP CA 上验证这些权限。此步骤同时适用于企业和独立 CA 服务器。
| 验证证书安全设置的步骤 |
依次单击「开始」、“运行”,键入 certsrv.msc,然后按 Enter。
右键单击您的 CA 的公用名,然后单击“属性”。
单击“安全”选项卡。
如果您的 HRA 和 NAP CA 运行在同一台计算机上,请验证“网络服务”是否位于“组或用户名”下。
如果您的 HRA 和 NAP CA 运行在不同的计算机上,请验证您的 HRA 服务器的计算机名称是否位于“组或用户名”下。
单击您的 HRA 服务器名称,或单击“网络服务”,然后验证是否对“颁发和管理证书”、“管理 CA”和“请求证书”允许了相应权限。
单击“确定”,然后关闭证书颁发机构控制台。
验证证书颁发要求
为了使 NAP 客户端计算机能够在已确定符合网络健康要求时立即获取健康证书,NAP CA 必须配置为自动颁发健康证书。请使用以下步骤验证是否自动颁发这些证书。此步骤同时适用于企业和独立 CA 服务器。
| 验证证书颁发要求的步骤 |
依次单击「开始」、“运行”,键入 certsrv.msc,然后按 Enter。
右键单击您的 CA 的公用名,然后单击“属性”。
单击“策略模块”选项卡,然后单击“属性”。
验证是否选中了“遵循证书模板中的设置”。
单击“确定”两次,然后关闭证书颁发机构控制台。