Lors de l’installation de l’autorité HRA (Health Registration Authority), vous disposez de l’option de configurer une autorité HRA pour fournir des certificats d’intégrité uniquement lorsque des utilisateurs sont authentifiés sur le domaine, ou pour fournir facultativement des certificats d’intégrité à des utilisateurs anonymes. Si vous choisissez d’autoriser les demandes anonymes pour des certificats d’intégrité, deux sites Web sont alors créés :

  • DomainHRA

    L’authentification Windows est activée dans les paramètres d’authentification des services Internet (IIS) sur ce site. Toutes les autres méthodes d’authentification sont désactivées.

  • NonDomainHRA

    L’authentification anonyme est activée dans les paramètres d’authentification des services Internet (IIS) sur ce site. Toutes les autres méthodes d’authentification sont désactivées.

Si vous choisissez d’exiger que seuls les membres authentifiés du domaine soit autorisés à recevoir des certificats d’intégrité, alors seul le site Web DomainHRA est créé.

Ces sites Web hébergent une extension ISAPI (Internet Server Application Programming Interface) IIS qui traite des demandes HTTP/HTTPS, évalue l’intégrité à l’aide d’un serveur NPS (Network Policy Server) et émet des certificats d’intégrité à l’aide d’une autorité de certification.

Important

Si les demandes de certificat anonymes sont autorisées, vous devez configurer des groupes de serveurs autorisés sur des clients NAP afin que des demandes de certificat authentifiées reçoivent une priorité plus élevée dans la liste ordonnée d’URL par rapport aux demandes de certificat anonymes. Ainsi, vous êtes assuré que les membres d’un domaine qui réussissent les vérifications d’intégrité ne reçoivent pas de certificats d’intégrité anonymes.

Certificats pour le chiffrement SSL

Les services Internet (IIS) peuvent utiliser SSL (Secure Sockets Layer) pour chiffrer des communications avec des ordinateurs clients NAP. Si vous activez SSL, les clients distants doivent accéder à votre site à l’aide des URL qui commencent par https://, tandis que votre serveur IIS doit comporter un certificat SSL. Les conditions requises pour ce certificat SSL sont les suivantes :

  • Le certificat doit se trouver dans le magasin de certificats de l’ordinateur local ou de celui de l’utilisateur en cours.

  • L’heure système actuelle doit être postérieure à la propriété Valide à partir de du certificat et antérieure la propriété Valide jusqu’à du certificat.

  • Le certificat doit être destiné à l’authentification de serveur. Cela nécessite la spécification de l’authentification serveur (1.3.6.1.5.5.7.3.1) par la propriété Utilisation avancée de la clé du certificat.

Si vous importez un certificat existant pour une utilisation avec le chiffrement SSL lors de l’installation du service de rôle HRA, il est automatiquement ajouté au magasin de certificats de l’ordinateur local. Vous pouvez aussi créer un certificat auto-signé ou installer un certificat pour le chiffrement SSL ultérieurement.

Références supplémentaires