在網路存取保護 (NAP) 憑證授權單位 (CA) 上使用下列程序,確認這些伺服器已正確設定,可與健康情況登錄授權 (HRA) 和 NAP 網際網路通訊協定安全性 (IPsec) 強制方法搭配使用。NAP CA 是已安裝並執行 Active Directory(R) 憑證服務 (AD CS) 的伺服器,而且可發出 NAP 健康情況憑證。如需 AD CS 的相關資訊,請參閱
若要完成此程序,至少需要 Domain Admins 的成員資格或同等權限。請至下列網頁檢視關於使用適當帳戶和群組成員資格的詳細資料:
選擇 NAP CA
HRA 至少必須與一個 CA 相關,才能夠取得並發出 NAP 健康情況憑證給相容的 NAP 用戶端電腦。在 HRA 安裝期間選取 CA 的方式有兩種,可以選擇在本機安裝 CA,或選取現有的遠端 CA。也可以使用 HRA 嵌入式管理單元或命令列在稍後新增 NAP CA。您必須使用 HRA 嵌入式管理單元或命令列,才能讓一個以上的 CA 與 HRA 相關。您可以設定 HRA 使用企業 CA 或獨立 CA。NAP CA 的設定需求視您所選擇的 CA 類型而有不同。不論您選擇獨立或企業 CA,都必須設定 CA 安全性設定和憑證發行需求。在建議的設定中,HRA 與專屬的獨立次級 CA 相關。如需設定 HRA 使用 NAP CA 的相關資訊,請參閱設定 NAP 憑證授權單位。
選擇獨立 CA
獨立 CA 不使用憑證範本。因此,當您使用獨立 NAP CA 時,不需設定健康情況憑證範本。如果您選擇獨立 CA,仍然必須設定 CA 安全性設定和憑證發行需求,HRA 才能要求並自動發行健康情況憑證給相容的用戶端電腦。
選擇企業 CA
企業 CA 根據憑證範本發行憑證。原則模組是用來提供憑證延伸清單給發行的憑證,例如 NAP 的系統健康情況驗證。如果您的企業 CA 執行 Windows Server® 2008,則系統健康情況驗證憑證範本預設為可用,並具有適合網域和健康驗證的應用程式原則延伸。如果您的企業 CA 執行 Windows Server(R) 2003,則必須建立並發佈包含這些應用程式原則延伸的範本。您可以使用下列程序,確認已將企業 CA 設定為自動以正確的應用程式原則延伸發行健康情況憑證。
確認範本可用性
如果您的企業 CA 伺服器執行 Windows Server 2008,就自動會有可用的網域驗證 NAP 用戶端的憑證範本,顯示名稱為系統健康情況驗證。如果您的企業 CA 執行 Windows Server 2003,則必須建立此範本。使用下列程序可確認 NAP 健康情況憑證範本可用,且具有正確的應用程式原則延伸,如果此範本無法使用,便建立此範本。如果您使用獨立 CA,不適用此程序。
 | 確認範本可用性 |
依序按一下 [開始]、[執行],輸入 certtmpl.msc,然後按 ENTER 鍵。
在詳細資料窗格的 [範本顯示名稱] 之下,檢視範本的清單。連按兩下 NAP 健康情況憑證範本的名稱。如果沒有列出 NAP 健康情況憑證範本,請執行下列步驟:
-
在 [工作站驗證] 上按一下滑鼠右鍵,然後按一下 [複製範本]。
-
在 [範本顯示名稱] 之下,輸入 [系統健康情況驗證],然後按一下 [延伸] 索引標籤。
-
在 [在這個範本中所包含的延伸] 之下,按一下 [應用程式原則],然後按一下 [編輯]。
-
按一下 [新增],再按一下 [新增]。
-
在 [新的應用程式原則] 的 [名稱] 之下,輸入 [系統健康情況驗證]。
-
在 [物件識別碼] 之下,輸入 1.3.6.1.4.1.311.47.1.1,然後按四次 [確定]。
-
確認新的範本已成功建立。
-
若要確認新的範本,請按兩下其名稱並完成此程序中剩餘的步驟。
-
在 [工作站驗證] 上按一下滑鼠右鍵,然後按一下 [複製範本]。
按一下 [延伸] 索引標籤。
在 [在這個範本中所包含的延伸] 之下,按一下 [應用程式原則]。
在 [應用程式原則的描述] 之下,確認已列出 [系統健康情況驗證] 和 [用戶端驗證],然後按一下 [編輯]。
按一下 [系統健康情況驗證],然後按一下 [編輯]。
在 [編輯應用程式原則] 的 [物件識別碼] 之下,確認值為 1.3.6.1.4.1.311.47.1.1。如果應用程式原則物件識別碼的值不同,則使用此程序的前述步驟建立新的系統健康情況驗證範本。同時也要修正應用程式原則名稱,讓與 [系統健康情況驗證] 相關的物件識別碼為 1.3.6.1.4.1.311.47.1.1。
按三次 [取消],然後關閉憑證範本主控台。
 | 附註 |
|
如果使用此憑證範本發行匿名健康情況憑證,請勿包括 [用戶端驗證] 應用程式原則。包含用戶端驗證應用程式原則的憑證會發給以網域認證驗證的用戶端。 |
確認憑證可用性
在企業 CA 上,憑證必須可用,才能發給用戶端電腦。使用下列程序可確保您的 NAP 健康情況憑證已經可以發行。如果您使用獨立 CA,不適用此程序。
| 確認憑證可用性 |
按一下 [開始]、[執行],輸入 certsvr.msc,然後按 ENTER 鍵。
在主控台樹狀目錄中,按一下 [憑證範本]。
在詳細資料窗格的 [名稱] 之下,確認已列出您的 NAP 健康情況憑證。如果您的企業 CA 伺服器執行 Windows Server 2008,網域驗證 NAP 用戶端的預設健康情況憑證範本的顯示名稱為 [系統健康情況驗證]。
如果已經建立健康情況憑證範本,但是未顯示在清單中,請執行下列步驟發行範本:
-
在 [憑證範本] 上按一下滑鼠右鍵,指向 [新增],然後按一下 [要發出的憑證範本]。
-
在 [啟用憑證範本] 的 [名稱] 之下,按一下 NAP 健康情況憑證的名稱,然後按一下 [確定]。如果範本未列出,表示該範本已經啟用,或者必須在執行此程序之前建立該範本。
-
確認您的 NAP 健康情況憑證範本已新增到範本清單。
-
在 [憑證範本] 上按一下滑鼠右鍵,指向 [新增],然後按一下 [要發出的憑證範本]。
關閉憑證授權單位主控台。
確認 HRA 的憑證註冊權限
為了讓 HRA 從企業 CA 取得憑證並將憑證發給用戶端,必須授與它註冊健康情況憑證的權限。啟用自動註冊權限可讓 HRA 自動將此憑證新增至其本機憑證存放區。如果僅允許註冊權限,您必須在 HRA 伺服器上手動提供健康情況憑證。使用下列程序可確認已經將這些權限授與 HRA。如果您使用獨立 CA,不適用此程序。
| 確認 HRA 的憑證註冊權限 |
依序按一下 [開始]、[執行],輸入 certtmpl.msc,然後按 ENTER 鍵。
在詳細資料窗格的 [範本顯示名稱] 之下,連按兩下您的 NAP 健康情況憑證名稱。如果您的企業 CA 伺服器執行 Windows Server 2008,網域驗證 NAP 用戶端的預設健康情況憑證範本的顯示名稱為 [系統健康情況驗證]。
按一下 [安全性] 索引標籤。
確認已經將 [註冊] 和 [自動註冊] 權限授與 HRA 伺服器的 DNS 名稱,或者授與 HRA 為其成員的群組。如果不允許這些權限,請執行下列步驟:
-
按一下 [新增]、[物件類型],再選取 [電腦] 核取方塊,然後按一下 [確定]。
-
在 [輸入物件名稱來選取] 之下,輸入您 HRA 伺服器的 DNS 名稱,然後按一下 [確定]。或者,輸入 HRA 伺服器為其成員的群組名稱。
-
按一下您新增的名稱或群組,在 [註冊] 和 [自動註冊] 選取 [允許] 權限,然後按一下 [確定]。
-
按一下 [新增]、[物件類型],再選取 [電腦] 核取方塊,然後按一下 [確定]。
關閉憑證範本主控台。
確認 CA 安全性設定
CA 安全性設定會判斷 HRA 是否具有可發出健康情況憑證的權限。使用下列程序以確認 NAP CA 上的這些權限。此程序同時適用於企業與獨立 CA 伺服器。
| 確認憑證安全性設定 |
依序按一下 [開始]、[執行],輸入 certsrv.msc,然後按 ENTER 鍵。
在 CA 的一般名稱按一下滑鼠右鍵,然後按一下 [內容]。
按一下 [安全性] 索引標籤。
如果 HRA 和 NAP CA 在同一部電腦上執行,請確認可在 [群組或使用者名稱] 之下找到 [NETWORK SERVICE]。
如果 HRA 和 NAP CA 在不同電腦上執行,請確認可在 [群組或使用者名稱] 之下找到 HRA 伺服器的電腦名稱。
按一下 HRA 伺服器的名稱,或按一下 [NETWORK SERVICE],並確認已允許 [發行及管理憑證]、[管理 CA] 以及 [要求憑證] 的權限。
按一下 [確定],然後關閉憑證授權單位主控台。
確認憑證發行需求
為了讓 NAP 用戶端電腦可在被判定與網路健康需求相容時立即取得健康情況憑證,必須將 NAP CA 設定為自動發行健康情況憑證。使用下列程序可確認會自動發出憑證。此程序同時適用於企業與獨立 CA 伺服器。
| 確認憑證發行需求 |
依序按一下 [開始]、[執行],輸入 certsrv.msc,然後按 ENTER 鍵。
在 CA 的一般名稱按一下滑鼠右鍵,然後按一下 [內容]。
按一下 [原則模組] 索引標籤,然後按一下 [內容]。
確認已選取 [遵循憑證範本中的設定值]。
按兩下 [確定],然後關閉憑證授權單位主控台。