Die Integritätsregistrierungsstelle (Health Registration Authority, HRA) muss mit mindestens einer Zertifizierungsstelle (Certification Authority, CA) konfiguriert werden, von der Integritätszertifikate im Namen von Clientcomputern angefordert werden können. Zertifikate werden angefordert, wenn neue Clients eine Verbindung mit dem Netzwerk herstellen oder wenn der Gültigkeitszeitraum für das Integritätszertifikat auf einem kompatiblen Clientcomputer bald abläuft. Zertifikate können auch entfernt und erneut für Clientcomputer ausgestellt werden, wenn der Integritätsstatus der Clientcomputer sich ändert, während sie mit dem Netzwerk verbunden sind. Die Integritätsregistrierungsstelle fordert nur Integritätszertifikate von der in der Reihenfolge zuerst konfigurierten Zertifizierungsstelle an, es sei denn, der Server ist nicht verfügbar oder reagiert nicht mehr.
Konfigurieren von Zertifizierungsstellen
Verwenden Sie dieses Verfahren zum Konfigurieren von Zertifizierungsstellen in der Integritätsregistrierungsstelle. Zertifizierungsstellen können hinzugefügt oder gelöscht werden, und ihre Reihenfolge kann geändert werden. Sie können auch die Anzahl der Minuten angeben, die zwischen Anforderungen vergehen sollen, bevor eine Zertifizierungsstelle als nicht verfügbar identifiziert wird. Bei Verwendung einer Unternehmenszertifizierungsstelle können Sie die authentifizierten und anonymen Zertifikatvorlagen auswählen, die verwendet werden sollen. Wenn Sie eine eigenständige Zertifizierungsstelle mit Netzwerkzugriffssteuerung verwenden, können Sie durch Aktivieren der Richtlinienobjekt-IDs die erweiterten Clientstatusinformationen aktivieren.
Sie müssen mindestens Mitglied der Gruppe Domain Admins oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können. Details zur Verwendung der entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter
Hinzufügen einer neuen Zertifizierungsstelle
Für eine optimale Leistung sollte zum Ausstellen von Integritätszertifikaten eine dedizierte eigenständige untergeordnete Zertifizierungsstelle verwendet werden. Fehlertoleranz wird bereitgestellt, wenn Sie mindestens eine Zertifizierungsstelle im HRA-Snap-In konfigurieren. Der Lastenausgleich kann durch die Konfiguration einer weiteren Integritätsregistrierungsstelle (HRA) mit einer anderen Reihenfolge der Zertifizierungsstellenverarbeitung konfiguriert werden. Sie können das folgende Verfahren verwenden, um Zertifizierungsstellen für die Verwendung in der Integritätsregistrierungsstelle zu konfigurieren.
 | So fügen Sie eine neue Zertifizierungsstelle mithilfe der Windows-Benutzeroberfläche hinzu |
Öffnen Sie die HRA-Konsole.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Zertifizierungsstelle, und klicken Sie dann auf Zertifizierungsstelle hinzufügen. Das Dialogfeld Zertifizierungsstelle hinzufügen wird geöffnet.
Klicken Sie auf Durchsuchen. Das Dialogfeld Zertifizierungsstelle auswählen wird geöffnet.
Klicken Sie unter Zertifizierungsstelle auf den Namen der Zertifizierungsstelle, die zum Ausstellen von NAP-Integritätszertifikaten verwendet wird, und klicken Sie dann zweimal auf OK.
Klicken Sie in der HRA-Konsolenstruktur auf Zertifizierungsstelle, und überprüfen Sie den Namen und die Reihenfolge der konfigurierten Zertifizierungsstellen.
Hinweis Sie können nicht von einer Arbeitsgruppenumgebung zu einer Zertifizierungsstelle wechseln.
Konfigurieren der Wartezeit für Zertifizierungsstellen
Die Integritätsregistrierungsstelle versucht nur, Integritätszertifikate von der in der Verarbeitungsreihenfolge zuerst konfigurierten Zertifizierungsstelle zu erhalten, es sei denn, die Zertifizierungsstelle ist als nicht verfügbar gekennzeichnet. Sie können mithilfe des folgenden Verfahrens die Anzahl der Minuten ändern, die vergehen sollen, bevor eine Zertifizierungsstelle als nicht verfügbar identifiziert wird.
| So konfigurieren Sie die Wartezeit für Zertifizierungsstellen mithilfe der Windows-Benutzeroberfläche |
Öffnen Sie die HRA-Konsole.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Zertifizierungsstelle, und klicken Sie dann auf Eigenschaften. Das Dialogfeld Eigenschaften der Zertifizierungsstellen wird geöffnet.
Geben Sie die Anzahl der Minuten an, die zwischen Anforderungen vergehen sollen, bevor eine Zertifizierungsstelle als nicht verfügbar identifiziert wird, und klicken Sie dann auf OK.
Konfigurieren des Gültigkeitszeitraums für Integritätszertifikate
Der Standardgültigkeitszeitraum für Integritätszertifikate beträgt 4 Stunden. Clients versuchen, ein Integritätszertifikat 15 Minuten vor dessen Ablauf oder bei Auftreten einer Änderung des Clientintegritätsstatus zu erneuern. Sie können das folgende Verfahren verwenden, um einen benutzerdefinierten Gültigkeitszeitraum für Integritätszertifikate zu konfigurieren.
| So konfigurieren Sie mithilfe der Windows-Benutzeroberfläche den Gültigkeitszeitraum für Integritätszertifikate, die von der Integritätsregistrierungsstelle genehmigt werden |
Öffnen Sie die HRA-Konsole.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Zertifizierungsstelle, und klicken Sie dann auf Eigenschaften. Das Dialogfeld Eigenschaften der Zertifizierungsstellen wird geöffnet.
Wählen Sie mithilfe der Dropdownliste die Zeiteinheit aus. Sie können Minuten, Stunden, Tage oder Wochen auswählen.
Geben Sie nach dem Auswählen einer Zeiteinheit die Anzahl der gewünschten Einheiten ein, und klicken Sie dann auf OK.
Bei Verwendung einer Unternehmenszertifizierungsstelle müssen Sie die folgenden Schritte ausführen, um den in den Zertifikatvorlagen konfigurierten Gültigkeitszeitraum außer Kraft zu setzen.
-
Klicken Sie auf Start, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen.
-
Geben Sie im Befehlsfenster Certutil.exe -setreg policy\EditFlags +EDITF_ATTRIBUTEENDDATE ein, und drücken Sie dann die EINGABETASTE.
-
Geben Sie im Befehlsfenster net stop certsvc && net start certsvc ein, und drücken Sie dann die EINGABETASTE.
-
Überprüfen Sie, ob die Active Directory®-Zertifikatsdienste (Active Directory® Certificate Services, AD CS) erfolgreich beendet und gestartet werden.
-
Klicken Sie auf Start, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen.
 | Wichtig |
|
Der maximale Gültigkeitszeitraum für Integritätszertifikate wird durch den Gültigkeitszeitraum für die Zertifizierungsstelle bestimmt, der standardmäßig auf 52 Wochen festgelegt ist. Gehen Sie beim Konfigurieren eines Gültigkeitszeitraums von weniger als 1 Stunde aufgrund möglicher Leistungsprobleme mit dem Zertifizierungsstellenserver mit Vorsicht vor. Verwenden Sie keinen Gültigkeitszeitraum von 15 Minuten oder weniger. |
Auswählen eines Zertifizierungsstellentyps
Verwenden Sie das folgende Verfahren, um den NAP-Zertifizierungsstellentyp zu konfigurieren. Es ist wichtig, einen Zertifizierungsstellentyp auszuwählen, der der von Ihnen im vorherigen Verfahren konfigurierten Zertifizierungsstelle entspricht. Bei Verwendung einer Unternehmenszertifizierungsstelle müssen Sie die Vorlagen konfigurieren, bevor Sie dieses Verfahren ausführen.
| So wählen Sie den Zertifizierungsstellentyp mithilfe der Windows-Benutzeroberfläche aus |
Öffnen Sie die HRA-Konsole.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Zertifizierungsstelle, und klicken Sie dann auf Eigenschaften. Das Dialogfeld Eigenschaften der Zertifizierungsstellen wird geöffnet.
Wählen Sie bei Verwendung einer eigenständigen Zertifizierungsstelle die Option Eigenständige Zertifizierungsstelle verwenden aus.
Aktivieren Sie das Kontrollkästchen neben Richtlinien-OIDs aktivieren nur bei Verwendung erweiterter Clientstatusinformationen für Netzwerkzugriffssteuerung.
Wählen Sie bei Verwendung einer in Active Directory integrierten Unternehmenszertifizierungsstelle oder bei Verwendung von sowohl Unternehmenszertifizierungsstellen als auch eigenständigen Zertifizierungsstellen die Option Unternehmenszertifizierungsstelle verwenden aus, und wählen Sie dann mithilfe der Dropdownliste eine Option für Authentifizierte kompatible Zertifikatvorlage und Anonyme kompatible Zertifikatvorlage aus der Liste verfügbarer Zertikatvorlagen aus. Wenn Sie anonyme Anforderungen für Integritätszertifikate während der Installation der Integritätsregistrierungsstelle nicht zugelassen haben, werden durch das Konfigurieren einer anonymen Vorlage in diesem Verfahren keine anonymen Zertifikatanforderungen aktiviert.
Konfigurieren der Reihenfolge von Zertifizierungsstellen oder Löschen von Zertifizierungsstellen
Verwenden Sie das folgende Verfahren, um die Priorität der von der Integritätsregistrierungsstelle verwendeten Zertifizierungsstellen zu ändern oder um Zertifizierungsstellen aus der Konfiguration der Integritätsregistrierungsstelle zu entfernen. Die Integritätsregistrierungsstelle fordert nur Integritätszertifikate von der zuerst in der Liste konfigurierten Zertifizierungsstelle an, es sei denn, die Zertifizierungsstelle ist als nicht verfügbar gekennzeichnet.
| So konfigurieren Sie die Reihenfolge von Zertifizierungsstellen bzw. löschen Sie Zertifizierungsstellen mithilfe der Windows-Benutzeroberfläche |
Öffnen Sie die HRA-Konsole.
Klicken Sie in der Konsolenstruktur auf Zertifizierungsstellen.
Klicken Sie mit der rechten Maustaste in der Liste der Server auf den Namen der Zertifizierungsstelle. Klicken Sie auf Nach oben, um die Priorität für diesen Server in der Reihenfolge zu erhöhen. Klicken Sie dementsprechend auf Nach unten, um die Priorität für diesen Server in der Reihenfolge zu verringern.
Klicken Sie zum Löschen einer Zertifizierungsstelle aus der Liste mit der rechten Maustaste auf den Namen der Zertifizierungsstelle, und klicken Sie dann auf Löschen.