Pomocí následujících postupů je možné u certifikačních autorit (CA) architektury NAP (Network Access Protection) ověřit, zda jsou tyto servery správně nakonfigurovány pro použití s autoritou pro registraci stavu (HRA) a s metodou vynucení protokolu IPsec (Internet Protocol security) architektury NAP. Certifikační autority architektury NAP jsou servery s nainstalovanou a spuštěnou službou AD CS (Active Directory® Certificate Services), které mohou vystavovat certifikáty stavu NAP. Další informace o službě AD CS naleznete na adrese https://go.microsoft.com/fwlink/?LinkId=127816 (stránka může být v angličtině).

Minimálním požadavkem k provedení tohoto postupu je členství ve skupině Domain Admins nebo ve skupině s ekvivalentními oprávněními. Podrobnosti o používání příslušných účtů a členství ve skupinách naleznete na adrese https://go.microsoft.com/fwlink/?LinkId=83477 (stránka může být v angličtině).

Výběr certifikační autority architektury NAP

Autorita pro registraci stavu (HRA) musí být sdružena alespoň s jednou certifikační autoritou, aby mohla získávat certifikáty stavu NAP a vystavovat je klientským počítačům NAP splňujícím požadavky. Certifikační autoritu můžete vybrat během instalace autority pro registraci stavu (HRA) tím, že zvolíte možnost místní instalace certifikační autority nebo vyberete existující vzdálenou certifikační autoritu. Certifikační autority NAP je možné také přidávat později pomocí modulu snap-in HRA nebo pomocí příkazového řádku. Chcete-li k autoritě pro registraci stavu (HRA) přidružit více než jednu certifikační autoritu, musíte použít modul snap-in HRA nebo příkazový řádek. Autoritu pro registraci stavu je možné nakonfigurovat tak, aby používala buď podnikovou certifikační autoritu, nebo samostatnou certifikační autoritu. Požadavky na konfiguraci certifikační autority NAP se liší podle zvoleného typu certifikační autority. Bez ohledu na to, zda zvolíte samostatnou certifikační autoritu nebo podnikovou certifikační autoritu, je nutné nakonfigurovat nastavení zabezpečení certifikační autority a požadavky na vystavování certifikátů. V doporučené konfiguraci je autorita pro registraci stavu (HRA) sdružena s vyhrazenou samostatnou podřízenou certifikační autoritou. Další informace o konfiguraci autority pro registraci stavu (HRA) pro použití certifikační autority NAP naleznete v tématu Konfigurace certifikační autority NAP.

Výběr samostatné certifikační autority

Samostatná certifikační autorita nepoužívá šablony certifikátů. Pokud tedy budete používat samostatnou certifikační autoritu NAP, nemusíte konfigurovat šablonu certifikátů stavu. Zvolíte-li samostatnou certifikační autoritu, musíte nakonfigurovat nastavení zabezpečení certifikační autority a požadavky na vystavování certifikátů, aby mohla autorita pro registraci stavu (HRA) požadovat certifikáty stavu a automaticky je vystavovat klientským počítačům splňujícím požadavky.

Výběr podnikové certifikační autority

Podniková certifikační autorita vystavuje certifikáty na základě šablon certifikátů. Modul zásad poskytuje vystaveným certifikátům seznam rozšíření certifikátů, například ověřování stavu systému pro architekturu NAP. Pokud podniková certifikační autorita používá systém Windows Server® 2008, je standardně k dispozici šablona certifikátu Ověření stavu systému s rozšířeními zásad použití vhodnými k ověřování domény a stavu. Pokud podniková certifikační autorita používá systém Windows Server® 2003, je nutné vytvořit a publikovat šablonu obsahující tato rozšíření zásad použití. Pomocí následujících postupů můžete ověřit, zda jsou podnikové certifikační autority nakonfigurovány tak, aby automaticky vystavovaly certifikáty stavu se správnými rozšířeními zásad použití.

Ověření dostupnosti šablony

Pokud je na serveru podnikové certifikační autority spuštěn systém Windows Server 2008, bude šablona certifikátů pro klienty NAP ověřované doménou automaticky k dispozici a její zobrazovaný název bude Ověření stavu systému. Používá-li podniková certifikační autorita systém Windows Server 2003, je nutné tuto šablonu vytvořit. Pomocí následujícího postupu ověříte, zda je k dispozici šablona certifikátů stavu NAP se správnými rozšířeními zásad použití, a pokud není, vytvoříte ji. Tento postup neplatí, pokud používáte samostatnou certifikační autoritu.

Postup ověření dostupnosti šablony

  1. Klikněte na tlačítko Start, klikněte na příkaz Spustit, zadejte příkaz certtmpl.msc a stiskněte klávesu ENTER.

  2. V podokně podrobností se zaměřte na seznam šablon v oblasti Zobrazovaný název šablony. Dvakrát klikněte na název šablony certifikátů stavu NAP. Není-li šablona certifikátů stavu NAP zobrazena, proveďte následující kroky:

    1. Klikněte pravým tlačítkem myši na položku Ověřování pracovní stanice a poté klikněte na příkaz Vytvořit duplikát šablony.

    2. Do pole Zobrazovaný název šablony zadejte název Ověření stavu systému a klikněte na kartu Rozšíření.

    3. V části Rozšíření obsažená v šabloně klikněte na položku Zásady použití a poté klikněte na tlačítko Upravit.

    4. Klikněte na tlačítko Přidat a potom na tlačítko Nový.

    5. V dialogovém okně Nová zásada použití zadejte do pole Název název Ověření stavu systému.

    6. Do pole Identifikátor objektu zadejte 1.3.6.1.4.1.311.47.1.1 a čtyřikrát klikněte na tlačítko OK.

    7. Ověřte, zda byla nová šablona úspěšně vytvořena.

    8. Novou šablonu ověříte tak, že dvakrát kliknete na její název a provedete zbývající kroky tohoto postupu.

  3. Klikněte na kartu Rozšíření.

  4. V části Rozšíření obsažená v šabloně klikněte na položku Zásady použití.

  5. V části Popis zásad použití ověřte, zda jsou tam uvedeny zásady Ověření stavu systému a Ověření klienta, a klikněte na tlačítko Upravit.

  6. Klikněte na položku Ověření stavu systému a poté na tlačítko Upravit.

  7. V dialogovém okně Upravit zásadu použití ověřte, zda je v poli Identifikátor objektu hodnota 1.3.6.1.4.1.311.47.1.1. Pokud je hodnota identifikátoru objektu zásad použití jiná, vytvořte pomocí předchozích kroků tohoto postupu novou šablonu ověření stavu systému. Také je třeba opravit názvy zásad použití tak, aby identifikátor použití přidružený k zásadě Ověření stavu systému byl 1.3.6.1.4.1.311.47.1.1.

  8. Klikněte třikrát na tlačítko Storno a zavřete konzolu Šablony certifikátů.
Poznámka

Pokud tato šablona certifikátů slouží k vystavování anonymních certifikátů stavu, nezahrnujte zásadu použití Ověření klienta. Certifikáty obsahující zásadu použití Ověření klienta jsou vystavovány klientům ověřovaným pomocí pověření domény.

Ověření dostupnosti certifikátu

U podnikové certifikační autority musí být certifikáty předem dány k dispozici, aby mohly být vystaveny klientským počítačům. Pomocí následujícího postupu ověříte, zda je certifikát stavu NAP k dispozici, aby mohl být vystaven. Tento postup neplatí, pokud používáte samostatnou certifikační autoritu.

Postup ověření dostupnosti certifikátu

  1. Klikněte na tlačítko Start, klikněte na příkaz Spustit, zadejte příkaz certsvr.msc a stiskněte klávesu ENTER.

  2. Ve stromu konzoly klikněte na položku Šablony certifikátů.

  3. V podokně podrobností ověřte, zda je ve sloupci Název zobrazen požadovaný certifikát stavu NAP. Pokud je na serveru podnikové certifikační autority spuštěn systém Windows Server 2008, má výchozí šablona certifikátů pro klienty NAP ověřované doménou zobrazovaný název Ověření stavu systému.

  4. Pokud byla šablona certifikátů stavu vytvořena, ale v seznamu se nezobrazí, použijte následující kroky k vystavení šablony:

    1. Klikněte pravým tlačítkem myši na položku Šablony certifikátů, přejděte na příkaz Nový a poté klikněte na položku Vystavovaná šablona certifikátu.

    2. V dialogovém okně Povolit šablony certifikátů klikněte ve sloupci Název na název certifikátu stavu NAP a pak klikněte na tlačítko OK. Není-li šablona zobrazena, byla již povolena nebo je nutné ji před provedením tohoto postupu vytvořit.

    3. Ověřte, zda je šablona certifikátu stavu NAP přidána do seznamu šablon.

  5. Zavřete konzolu Certifikační autorita.

Ověření oprávnění autority pro registraci stavu (HRA) k zápisu certifikátů

Aby mohla autorita pro registraci stavu (HRA) získávat certifikáty od podnikové certifikační autority a vystavovat je klientům, musí mít oprávnění k zápisu certifikátu stavu. Povolení oprávnění k automatickému zápisu umožní autoritě pro registraci stavu (HRA) automaticky přidat tento certifikát do místního úložiště certifikátů. Pokud je povoleno pouze oprávnění k zápisu, musíte certifikát stavu poskytnout serveru HRA ručně. Pomocí následujícího postupu ověříte, zda jsou tato oprávnění autoritě pro registraci stavu (HRA) udělena. Tento postup neplatí, pokud používáte samostatnou certifikační autoritu.

Postup ověření oprávnění autority pro registraci stavu (HRA) k zápisu certifikátů

  1. Klikněte na tlačítko Start a na příkaz Spustit, zadejte příkaz certtmpl.msc a potom stiskněte klávesu ENTER.

  2. V podokně podrobností dvakrát klikněte v oblasti Zobrazovaný název šablony na název zásady stavu NAP. Pokud je na serveru podnikové certifikační autority spuštěn systém Windows Server 2008, bude mít výchozí šablona certifikátů stavu pro klienty NAP ověřované doménou zobrazovaný název Ověření stavu systému.

  3. Klikněte na kartu Zabezpečení.

  4. Ověřte, zda jsou oprávnění Zápis a Automatický zápis udělena názvu DNS serveru HRA nebo skupině, jejímž členem daný server HRA je. Nejsou-li tato oprávnění povolena, proveďte následující kroky:

    1. Klikněte na tlačítko Přidat, klikněte na možnost Typy objektů, zaškrtněte políčko Počítače a potom klikněte na tlačítko OK.

    2. V části Zadejte názvy objektů k výběru zadejte název DNS serveru HRA a klikněte na tlačítko OK. Případně můžete zadat název skupiny, jejímž členem server HRA je.

    3. Klikněte na přidaný název serveru nebo skupiny, vyberte pro oprávnění Zápis a Automatický zápis možnost Povolit a klikněte na tlačítko OK.

  5. Zavřete konzolu Šablony certifikátů.

Ověření nastavení zabezpečení certifikační autority

Nastavení zabezpečení certifikační autority určuje, zda má autorita pro registraci stavu (HRA) oprávnění k vystavování certifikátů stavu. Pomocí následujícího postupu ověříte tato oprávnění u certifikačních autorit architektury NAP. Tento postup platí pro servery podnikových certifikačních autorit i samostatných certifikačních autorit.

Postup ověření nastavení zabezpečení certifikační autority

  1. Klikněte na tlačítko Start, klikněte na příkaz Spustit, zadejte příkaz certsrv.msc a stiskněte klávesu ENTER.

  2. Klikněte pravým tlačítkem myši na běžný název certifikační autority a potom klikněte na příkaz Vlastnosti.

  3. Klikněte na kartu Zabezpečení.

  4. Pokud autorita pro registraci stavu (HRA) a certifikační autorita architektury NAP běží ve stejném počítači, ověřte, zda je ve sloupci Název skupiny nebo jméno uživatele zobrazena položka SÍŤOVÁ SLUŽBA.

  5. Pokud autorita pro registraci stavu (HRA) a certifikační autorita architektury NAP běží v různých počítačích, ověřte, zda je ve sloupci Název skupiny nebo jméno uživatele zobrazen název počítače serveru HRA.

  6. Klikněte na název serveru HRA nebo na položku SÍŤOVÁ SLUŽBA a ověřte, zda jsou povolena tato oprávnění: Vydávat a spravovat certifikáty, Spravovat certifikační autoritu a Vyžádat certifikáty.

  7. Klikněte na tlačítko OK a zavřete konzolu Certifikační autorita.

Ověření požadavků na vystavování certifikátů

Mají-li klientské počítače NAP získávat certifikáty stavu ihned, jakmile se zjistí, že splňují požadavky na stav sítě, musí být certifikační autority NAP nakonfigurovány tak, aby vystavovaly certifikáty stavu automaticky. Pomocí následujícího postupu ověříte, zda jsou certifikáty vystavovány automaticky. Tento postup platí pro servery podnikových certifikačních autorit i samostatných certifikačních autorit.

Postup ověření požadavků na vystavování certifikátů

  1. Klikněte na tlačítko Start a na příkaz Spustit, zadejte příkaz certsrv.msc a potom stiskněte klávesu ENTER.

  2. Klikněte pravým tlačítkem myši na běžný název certifikační autority a potom klikněte na příkaz Vlastnosti.

  3. Klikněte na kartu Modul zásad a pak klikněte na tlačítko Vlastnosti.

  4. Ověřte, zda je vybrána možnost Pokud je to možné, postupovat podle nastavení v šabloně certifikátu, jinak automaticky vydat certifikát.

  5. Klikněte dvakrát na tlačítko OK a zavřete konzolu Certifikační autorita.

Další informace

Obsah