Durante la instalación de la Autoridad de registro de mantenimiento (HRA), tendrá la opción de configurar HRA para ofrecer certificados de mantenimiento solamente a los usuarios que estén autenticados en el dominio o a cualquier usuario anónimo. Si elige permitir las solicitudes anónimas de certificados de mantenimiento, se crearán dos sitios web:
-
DomainHRA
La configuración de autenticación de Internet Information Services (IIS) en este sitio tiene habilitada la autenticación de Windows. El resto de métodos de autenticación está deshabilitado.
-
NonDomainHRA
La configuración de autenticación de IIS en este sitio tiene habilitada la autenticación anónima. El resto de métodos de autenticación está deshabilitado.
Si elige que sólo los miembros del dominio autenticados tengan derecho a recibir certificados de mantenimiento, sólo se creará el sitio web DomainHRA.
Estos sitios web hospedan una extensión de la Interfaz de programación de aplicaciones para servidores de Internet (ISAPI) IIS que procesa solicitudes HTTP/HTTPS, evalúa el estado de mantenimiento mediante el Servidor de directivas de redes (NPS) y emite certificados de mantenimiento mediante una entidad de certificación (CA).
 | Importante |
|
Si se permiten solicitudes de certificado anónimas, deberá configurar grupos de servidores de confianza en clientes NAP para que las solicitudes de certificado autenticadas tengan una prioridad en la lista ordenada de direcciones URL mayor que las solicitudes de certificado anónimas. Esto ayudará a garantizar que los miembros de dominio que pasen las comprobaciones de mantenimiento no obtengan certificados de mantenimiento anónimos. |
Certificados para el cifrado SSL
IIS puede usar Capa de sockets seguros (SSL) para cifrar las comunicaciones con equipos cliente NAP. Si habilita SSL; los clientes remotos deberán tener acceso a su sitio web mediante direcciones URL que comiencen con https:// y el servidor IIS deberá aprovisionarse con un certificado SSL. Los requisitos para este certificado SSL son:
-
El certificado debe estar en el almacén de certificados del equipo local o en el almacén de certificados del usuario actual.
-
La hora actual del sistema debe ser posterior a la propiedad Válido desde y anterior a la propiedad Válido hasta del certificado.
-
El certificado debe servir para la autenticación del servidor. Para esto es necesario que la propiedad del certificado Uso mejorado de clave especifique Autenticación del servidor (1.3.6.1.5.5.7.3.1).
Si importa un certificado existente para usar con el cifrado SSL durante la instalación del servicio de rol HRA, se agregará automáticamente al almacén de certificados del equipo local. También puede crear un certificado autofirmado o instalar un certificado para el cifrado SSL más tarde.