Během instalace autority pro registraci stavu (Health Registration Authority - HRA) je nabídnuta možnost konfigurovat autoritu HRA tak, aby poskytovala certifikáty pouze uživatelům ověřeným v doméně nebo aby případně poskytovala tyto certifikáty anonymním uživatelům. Vyberete-li možnost povolit anonymní žádosti o certifikáty stavu, budou vytvořeny dva webové servery:
-
DomainHRA
Nastavením Internetové informační služby (IIS) na tomto webovém serveru je povoleno ověřování systému Windows. Všechny další metody ověřování jsou zakázány.
-
NonDomainHRA
Nastavením služby IIS na tomto webovém serveru je povoleno anonymní ověřování. Všechny další metody ověřování jsou zakázány.
Pokud zvolíte možnost, aby certifikáty stavu mohli získávat pouze ověření členové domény, vytvoří se pouze webový server DomainHRA.
Tyto webové servery jsou hostiteli rozšíření ISAPI (Internet Server Application Programming Interface) služby IIS. Toto rozšíření zpracovává požadavky HTTP/HTTPS, vyhodnocuje stav pomocí serveru NPS (Network Policy Server) a vystavuje certifikáty stavu pomocí certifikační autority (CA).
Důležité informace | |
Pokud jsou povoleny anonymní žádosti o certifikáty, je třeba na klientech NAP nakonfigurovat skupiny důvěryhodných serverů tak, aby ověřené žádosti o certifikáty měly v uspořádaném seznamu adres URL vyšší prioritu než anonymní žádosti o certifikáty. Je tak možné zajistit, aby nebyly členům domény, kteří projdou kontrolami stavu, vystaveny anonymní certifikáty stavu. |
Certifikáty pro šifrování SSL
Služba IIS může komunikaci s klientskými počítači NAP šifrovat pomocí protokolu SSL (Secure Sockets Layer). Povolíte-li protokol SSL, musí vzdálení klienti přistupovat k vašemu webu pomocí adres URL, které mají na začátku řetězec znaků https://, a serveru IIS musí být poskytnut certifikát SSL. Požadavky na tento certifikát SSL jsou následující:
-
Certifikát musí být v úložišti certifikátů místního počítače nebo v úložišti certifikátů aktuálního uživatele.
-
Aktuální systémový čas musí být uvnitř intervalu definovaného vlastnostmi certifikátu Platnost od a Platnost do.
-
Certifikát musí být určen k ověřování serverů. K tomu je nutné, aby vlastnost certifikátu Rozšířené použití klíče byla nastavena na Ověření serveru (1.3.6.1.5.5.7.3.1).
Pokud během instalace služby role HRA importujete existující certifikát určený pro šifrování SSL, bude automaticky přidán do úložiště certifikátů místního počítače. Můžete také vytvořit certifikát podepsaný svým držitelem (self-signed certificate) nebo instalovat certifikát pro šifrování SSL později.