Autorita pro registraci stavu (Health Registration Authority - HRA) musí být nakonfigurována alespoň s jednou certifikační autoritou (CA), od které bude moci jménem klientských počítačů požadovat certifikáty stavu. Certifikát je vyžádán při připojení nového klienta k síti a také tehdy, když má v klientském počítači splňujícím požadavky vypršet doba platnosti certifikátu stavu. Certifikáty mohou být klientským počítačům také odebírány a znovu vystavovány v situacích, kdy se stav počítačů připojených k síti změní. Autorita pro registraci stavu (HRA) žádá o certifikáty stavu pouze certifikační autoritu, která je nakonfigurována jako první v pořadí, s výjimkou případů, kdy je daný server nedostupný nebo pokud bylo zjištěno, že neodpovídá.

Konfigurace certifikačních autorit

Tento postup slouží ke konfiguraci certifikačních autorit (CA) v autoritě pro registraci stavu (HRA). Certifikační autority je možné přidávat a odstraňovat a také lze měnit jejich pořadí. Rovněž je možné zadat dobu v minutách, po kterou se má mezi požadavky čekat, než bude certifikační autorita označena za nedostupnou. Používáte-li certifikační autoritu rozlehlé sítě, můžete vybrat ověřené a anonymní šablony certifikátů, které se mají použít. Používáte-li samostatnou certifikační autoritu s řízením přístupu k síti, můžete povolit rozšířené informace o stavu klientů tím, že povolíte identifikátory objektů zásad.

Minimálním požadavkem k provedení tohoto postupu je členství ve skupině Domain Admins nebo ve skupině s ekvivalentními oprávněními. Podrobnosti o používání příslušných účtů a členství ve skupinách naleznete na adrese https://go.microsoft.com/fwlink/?LinkId=83477 (stránka může být v angličtině).

Přidání nové certifikační autority

Nejlepších výsledků lze dosáhnout, pokud se k vystavování certifikátů stavu používá vyhrazená samostatná podřízená certifikační autorita. Nakonfigurováním více než jedné certifikační autority v modulu snap-in autority HRA lze dosáhnout odolnosti proti chybám. Vyrovnávání zatížení je možné zajistit nakonfigurováním další autority pro registraci stavu (HRA) s jiným pořadím zpracování certifikačních autorit. Chcete-li konfigurovat certifikační autority pro použití s autoritou pro registraci stavu (HRA), můžete použít následující postup.

Postup přidání nové certifikační autority pomocí rozhraní systému Windows
  1. Spusťte konzolu autority pro registraci stavu (HRA).

  2. Ve stromu konzoly klikněte pravým tlačítkem myši na položku Certifikační autorita a poté klikněte na příkaz Přidat certifikační autoritu. Otevře se dialogové okno Přidat certifikační autoritu.

  3. Klikněte na tlačítko Procházet. Otevře se dialogové okno Vybrat certifikační autoritu.

  4. Klikněte na název certifikační autority, která se má používat k vydávání certifikátů stavu NAP, a pak klikněte dvakrát na tlačítko OK.

  5. Ve stromu konzoly HRA klikněte na položku Certifikační autorita a ověřte název a pořadí nakonfigurovaných certifikačních autorit.

    Poznámka

    K certifikační autoritě není možné přejít z prostředí pracovních skupin.

Konfigurace čekací doby certifikační autority

Autorita pro registraci stavu (HRA) žádá o certifikáty stavu pouze certifikační autoritu, která je nakonfigurována jako první v pořadí zpracování, s výjimkou případů, kdy je daná certifikační autorita označena jako nedostupná. Následujícím postupem je možné změnit dobu v minutách, po kterou se má čekat, než bude certifikační autorita označena za nedostupnou.

Postup konfigurace čekací doby certifikační autority pomocí rozhraní systému Windows
  1. Spusťte konzolu autority pro registraci stavu (HRA).

  2. Ve stromu konzoly klikněte pravým tlačítkem myši na položku Certifikační autorita a poté klikněte na příkaz Vlastnosti. Otevře se dialogové okno Certifikační autority - vlastnosti.

  3. Zadejte dobu v minutách, po kterou se má mezi požadavky čekat, než bude certifikační autorita označena za nedostupnou, a klikněte na tlačítko OK.

Konfigurace doby platnosti certifikátů stavu

Výchozí dobou platnosti certifikátů stavu jsou 4 hodiny. Klienti žádají o vydání nového certifikátu stavu 15 minut před vypršením doby platnosti nebo při změně stavu klienta. Chcete-li konfigurovat vlastní dobu platnosti certifikátů stavu, můžete použít následující postup.

Postup konfigurace doby platnosti certifikátů stavu schválených autoritou pro registraci stavu (HRA) pomocí rozhraní systému Windows
  1. Spusťte konzolu autority pro registraci stavu (HRA).

  2. Ve stromu konzoly klikněte pravým tlačítkem myši na položku Certifikační autorita a poté klikněte na příkaz Vlastnosti. Otevře se dialogové okno Certifikační autority - vlastnosti.

  3. V příslušném rozevíracím seznamu vyberte časovou jednotku. Můžete vybrat Minuty, Hodiny, Dny nebo Týdny.

  4. Po zvolení časové jednotky zadejte požadovaný počet jednotek a klikněte na tlačítko OK.

  5. Používáte-li certifikační autoritu rozlehlé sítě, použijte následující postup k přepsání doby platnosti, která je nastavena v šablonách certifikátů.

    1. Klikněte na tlačítko Start, pravým tlačítkem myši klikněte na položku Příkazový řádek a pak klikněte na příkaz Spustit jako správce.

    2. V okně příkazového řádku zadejte příkaz Certutil.exe -setreg policy\EditFlags +EDITF_ATTRIBUTEENDDATE a stiskněte klávesu ENTER.

    3. V okně příkazového řádku zadejte příkaz net stop certsvc && net start certsvc a stiskněte klávesu ENTER.

    4. Ověřte úspěšnost ukončení a spuštění služby AD CS (Active Directory® Certificate Services).

Důležité informace

Maximální doba platnosti certifikátů stavu je určena dobou platnosti certifikační autority, která je standardně nastavena na 52 týdnů. Nastavením doby platnosti kratší než 1 hodina mohou vzniknout problémy s výkonností serveru certifikační autority. Nepoužívejte dobu platnosti 15 minut a kratší.

Volba typu certifikační autority

Následující postup slouží ke konfiguraci typu certifikační autority NAP. Důležité je zvolit typ certifikační autority, který odpovídá certifikační autoritě nakonfigurované v předchozím postupu. Používáte-li podnikovou certifikační autoritu, musíte před provedením tohoto postupu nakonfigurovat šablony.

Volba typu certifikační autority pomocí rozhraní systému Windows
  1. Spusťte konzolu autority pro registraci stavu (HRA).

  2. Ve stromu konzoly klikněte pravým tlačítkem myši na položku Certifikační autorita a poté klikněte na příkaz Vlastnosti. Otevře se dialogové okno Certifikační autority - vlastnosti.

  3. Používáte-li samostatnou certifikační autoritu, vyberte možnost Použít samostatnou certifikační autoritu.

  4. Pokud nepoužíváte rozšířené informace o stavu klientů k řízení přístupu k síti, nezaškrtávejte políčko Povolit identifikátory OID zásad.

  5. Pokud používáte certifikační autoritu rozlehlé sítě integrovanou se službou Active Directory nebo používáte certifikační autority rozlehlé sítě i samostatné certifikační autority, vyberte možnost Použít certifikační autoritu rozlehlé sítě a pak vyberte v rozevíracím seznamu dostupných šablon šablony Šablona ověřeného certifikátu a Šablona anonymního certifikátu. Pokud jste při instalaci autority pro registraci stavu (HRA) nepovolili anonymní žádosti o certifikáty stavu, nelze nastavením anonymní šablony v tomto postupu povolit anonymní žádosti o certifikáty.

Konfigurace pořadí a odstraňování certifikačních autorit

Následující postup slouží ke změně priorit certifikačních autorit používaných autoritou pro registraci stavu (HRA) a k odebírání certifikačních autorit z konfigurace autority HRA. Autorita pro registraci stavu (HRA) žádá o certifikáty stavu pouze certifikační autoritu, která je nakonfigurována jako první v seznamu, s výjimkou případů, kdy je daná certifikační autorita označena jako nedostupná.

Postup konfigurace pořadí a odstraňování certifikačních autorit pomocí rozhraní systému Windows
  1. Spusťte konzolu autority pro registraci stavu (HRA).

  2. Ve stromu konzoly klikněte na položku Certifikační autority.

  3. V seznamu serverů klikněte pravým tlačítkem myši na název certifikační autority. Chcete-li zvýšit prioritu tohoto serveru v pořadí, klikněte na tlačítko Nahoru. Chcete-li snížit prioritu tohoto serveru v pořadí, klikněte na tlačítko Dolů.

  4. Chcete-li odstranit některou certifikační autoritu ze seznamu, klikněte na její název pravým tlačítkem myši a pak klikněte na příkaz Odstranit.

Další informace