Sie haben während der Installation der Integritätsregistrierungsstelle (Health Registration Authority, HRA) die Möglichkeit, die Integritätsregistrierungsstelle so zu konfigurieren, dass Integritätszertifikate nur dann bereitgestellt werden, wenn Benutzer in der Domäne authentifiziert sind, oder dass Integritätszertifikate nur für anonyme Benutzer bereitgestellt werden. Wenn Sie anonyme Anforderungen für Integritätszertifikate zulassen, werden zwei Websites erstellt:

  • DomainHRA

    In den IIS-Authentifizierungseinstellungen (Internet Information Services, Internetinformationsdienste) dieser Website ist die Windows-Authentifizierung aktiviert. Alle anderen Authentifizierungsmethoden sind deaktiviert.

  • NonDomainHRA

    In den IIS-Authentifizierungseinstellungen (Internet Information Services, Internetinformationsdienste) dieser Website ist die anonyme Authentifizierung aktiviert. Alle anderen Authentifizierungsmethoden sind deaktiviert.

Wenn Sie festlegen, dass nur authentifizierte Mitglieder der Domäne Integritätszertifikate empfangen können sollen, wird nur die DomainHRA-Website erstellt.

Diese Websites hosten eine IIS-ISAPI-Erweiterung (Internet Server Application Programming Interface), mit der HTTP/HTTPS-Anforderungen verarbeitet werden, die Integrität mithilfe des Netzwerkrichtlinienservers (Network Policy Server, NPS) evaluiert wird und Integritätszertifikate mithilfe einer Zertifizierungsstelle (Certification Authority, CA) ausgestellt werden.

Wichtig

Wenn anonyme Zertifikatanforderungen zugelassen sind, sollten Sie die vertrauenswürdigen Servergruppen auf NAP-Clients konfigurieren, sodass authentifizierte Zertifikatanforderungen in der sortierten Liste der URLs eine höhere Priorität erhalten als anonyme Zertifikatanforderungen. Auf diese Weise kann sichergestellt werden, dass für Domänenmitglieder, die die Integritätsprüfungen bestehen, keine anonymen Integritätszertifikate ausgestellt werden.

Zertifikate für die SSL-Verschlüsselung

SSL (Secure Sockets Layer) kann in IIS verwendet werden, um die Kommunikation mit NAP-Clientcomputern zu verschlüsseln. Wenn Sie SSL aktivieren, müssen Remoteclients mithilfe von URLs auf Ihre Website zugreifen, die mit "https://" beginnen, und für den IIS-Server muss ein SSL-Zertifikat bereitgestellt werden. Dieses SSL-Zertifikat muss folgende Anforderungen erfüllen:

  • Das Zertifikat muss sich entweder im Zertifikatspeicher des lokalen Computers oder im Zertifikatspeicher des aktuellen Benutzers befinden.

  • Die aktuelle Systemzeit muss hinter der Eigenschaft Gültig ab des Zertifikats und vor der Eigenschaft Gültig bis des Zertifikats liegen.

  • Das Zertifikat muss für die Serverauthentifizierung vorgesehen sein. Dies erfordert, dass mit der Eigenschaft Erweiterte Schlüsselverwendung des Zertifikats Serverauthentifizierung (1.3.6.1.5.5.7.3.1) angegeben wird.

Wenn Sie während der Installation des HRA-Rollendiensts ein vorhandenes Zertifikat für die Verwendung mit der SSL-Verschlüsselung importieren, so wird es automatisch dem Zertifikatspeicher des lokalen Computers hinzugefügt. Sie können auch ein selbstsigniertes Zertifikat erstellen oder zu einem späteren Zeitpunkt ein Zertifikat für die SSL-Verschlüsselung installieren.

Weitere Verweise