L’autorité HRA (Health Registration Authority) doit être configurée avec au moins une autorité de certification à partir de laquelle demander des certificats d’intégrité de la part d’ordinateurs clients. Des certificats sont demandés lorsque de nouveaux clients se connectent au réseau ou lorsque la période de validité du certificat d’intégrité est sur le point d’expirer sur un ordinateur client conforme. Des certificats peuvent aussi être supprimés et émis à nouveau pour des ordinateurs clients si leur état d’intégrité change alors qu’ils sont connectés au réseau. L’autorité HRA ne demande des certificats d’intégrité qu’à l’autorité de certification qui est la première dans l’ordre de configuration, sauf si ce serveur est indisponible ou s’il ne répond plus.

Configurer des autorités de certification

Utilisez cette procédure pour configurer des autorités de certification dans une autorité HRA. Des autorités de certification peuvent être ajoutées ou supprimées, tandis que leur ordre peut être modifié. Vous pouvez aussi spécifier le nombre de minutes à patienter entre des demandes avant d’identifier une autorité de certification comme étant indisponible. Si vous utilisez une autorité de certification d’entreprise, vous pouvez sélectionner les modèles de certificat authentifiés et anonymes à utiliser. Si vous utilisez une autorité de certification autonome avec un contrôle d’accès réseau, vous pouvez activer des informations d’état étendues du client en activant les OID des stratégies.

Pour mener à bien cette procédure, il est nécessaire d’appartenir au groupe Domain Admins ou à un groupe équivalent. Examinez les détails concernant l’utilisation de comptes appropriés et d’appartenance à des groupes à l’adresse suivante https://go.microsoft.com/fwlink/?LinkId=83477 (éventuellement en anglais).

Ajouter une nouvelle autorité de certification

Pour bénéficier des meilleures performances, une autorité de certification subordonnée autonome dédiée doit être utilisée pour émettre des certificats d’intégrité. La tolérance de pannes est fournie lorsque vous configurez plus d’une autorité de certification dans le composant logiciel enfichable HRA. L’équilibrage de la charge peut être effectué en configurant une autorité HRA supplémentaire avec un ordre de traitement d’autorité de certification différent. Utilisez la procédure suivante pour configurer des autorités de certification en vue d’une utilisation avec une autorité HRA.

Pour ajouter une nouvelle autorité de certification à l’aide de l’interface Windows
  1. Ouvrez la console HRA.

  2. Dans l’arborescence de la console, cliquez avec le bouton droit sur Autorité de certification, puis cliquez sur Ajouter une autorité de certification. La boîte de dialogue Ajouter une autorité de certification s’ouvre.

  3. Cliquez sur Parcourir. La boîte de dialogue Sélectionner une autorité de certification s’ouvre.

  4. Sous Autorité de certification, cliquez sur le nom de celle qui doit servir à émettre des certificats d’intégrité NAP, puis cliquez deux fois sur OK.

  5. Dans l’arborescence de la console HRA, cliquez sur Autorité de certification, puis vérifiez le nom et l’ordre des autorités de certification configurées.

    Remarques

    Vous ne pouvez pas accéder à une autorité de certification à partir d’un environnement de groupe de travail.

Configurer un délai d’attente d’autorité de certification

L’Autorité d’inscription d’intégrité (HRA) tente uniquement d’obtenir des certificats d’intégrité auprès de l’autorité de certification qui est la première configurée dans l’ordre de traitement, sauf si cette autorité de certification a été indiquée comme étant indisponible. Vous pouvez utiliser la procédure suivante pour modifier le nombre de minutes à patienter avant d’identifier une autorité de certification comme étant indisponible.

Pour configurer un délai d’attente d’autorité de certification à l’aide de l’interface Windows
  1. Ouvrez la console HRA.

  2. Dans l’arborescence de la console, cliquez avec le bouton droit sur Autorité de certification, puis cliquez sur Propriétés. La boîte de dialogue Propriétés de Autorités de certification s’ouvre.

  3. Entrez le nombre de minutes à patienter entre des demandes avant d’identifier une autorité de certification comme étant indisponible, puis cliquez sur OK.

Configurer une période de validité de certificat d’intégrité

La période de validité par défaut pour les certificats d’intégrité est de 4 heures. Les clients tentent de renouveler un certificat d’intégrité 15 minutes avant l’expiration ou lorsqu’une modification de l’état d’intégrité du client se produit. Utilisez la procédure suivante pour configurer une période de validité personnalisée pour des certificats d’intégrité.

Pour configurer une période de validité pour des certificats d’intégrité approuvés par une autorité HRA à l’aide de l’interface Windows
  1. Ouvrez la console HRA.

  2. Dans l’arborescence de la console, cliquez avec le bouton droit sur Autorité de certification, puis cliquez sur Propriétés. La boîte de dialogue Propriétés de Autorités de certification s’ouvre.

  3. Sélectionnez l’unité de temps à l’aide de la zone de liste déroulante. Vous pouvez sélectionner Minutes, Heures, Jours ou Semaines.

  4. Après avoir choisi une unité de temps, entrez le nombre d’unité de votre choix, puis cliquez sur OK.

  5. Si vous utilisez une autorité de certification d’entreprise, vous devez suivre les étapes ci-dessous afin de remplacer la période de validité configurée dans vos modèles de certificat.

    1. Cliquez sur Démarrer, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur.

    2. Dans la fenêtre de commande, tapez Certutil.exe -setreg policy\EditFlags +EDITF_ATTRIBUTEENDDATE, puis appuyez sur Entrée.

    3. Dans la fenêtre de commande, tapez net stop certsvc && net start certsvc, puis appuyez sur Entrée.

    4. Vérifiez que les services de certificats Active Directory® (AD CS) s’arrêtent et démarrent correctement.

Important

La période de validité de certificat d’intégrité maximale est déterminée par la période de validité de l’autorité de certification, définie à 52 semaines par défaut. Soyez vigilant lors de la configuration d’une période de validité inférieure à 1 heure en raison d’éventuels problèmes de performances avec le serveur d’autorité de certification. N’utilisez pas une période de validité de 15 minutes ou moins.

Choisissez un type d’autorité de certification

Utilisez la procédure suivante pour configurer le type d’autorité de certification NAP. Il est important de choisir un type d’autorité de certification qui correspond à l’autorité de certification que vous avez configurée lors de la procédure précédente. Si vous utilisez une autorité de certification d’entreprise, vous devez configurer des modèles avant de suivre cette procédure.

Pour choisir le type d’autorité de certification à l’aide de l’interface Windows
  1. Ouvrez la console HRA.

  2. Dans l’arborescence de la console, cliquez avec le bouton droit sur Autorité de certification, puis cliquez sur Propriétés. La boîte de dialogue Propriétés de Autorités de certification s’ouvre.

  3. Si vous utilisez une autorité de certification autonome, choisissez Utiliser l’autorité de certification autonome.

  4. N’activez pas la case à cocher située en regard de Activer les OID des stratégies, sauf si vous utilisez des informations d’état étendues de client pour le contrôle d’accès réseau.

  5. Si vous utilisez une autorité de certification d’entreprise intégrée à Active Directory, ou que vous utilisez des autorités de certification d’entreprise et autonome, choisissez Utiliser une autorité de certification d’entreprise, puis utilisez la liste déroulante pour sélectionner un Modèle de certificat authentifié conforme et un Modèle de certificat de plainte anonyme dans la liste des modèles disponibles. Si vous n’avez pas choisi d’autoriser les demandes anonymes de certificats d’intégrité pendant l’installation de l’autorité HRA, alors la configuration d’un modèle anonyme dans cette procédure n’autorise pas les demandes de certificat anonymes.

Configurer l’ordre des autorités de certification ou les supprimer

Utilisez la procédure suivante pour modifier la priorité des autorités de certification utilisées par l’autorité HRA ou pour supprimer des autorités de certification de la configuration HRA. L’autorité HRA ne demande des certificats qu’à la première autorité de certification configurée de la liste, sauf si cette autorité de certification est indiquée comme étant indisponible.

Pour configurer l’ordre des autorités de certification ou pour en supprimer à l’aide de l’interface Windows
  1. Ouvrez la console HRA.

  2. Dans l’arborescence de la console, cliquez sur Autorités de certification.

  3. Cliquez avec le bouton droit sur un nom d’autorité de certification dans la liste de serveurs. Cliquez sur Monter pour augmenter la préférence pour ce serveur dans l’ordre établi. Une autre solution consiste à cliquer sur Descendre pour diminuer la préférence pour ce serveur dans l’ordre établi.

  4. Pour supprimer une autorité de certification de la liste, cliquez avec le bouton droit sur le nom de l’autorité de certification, puis cliquez sur Supprimer.

Références supplémentaires