Az Állapotjegyző (HRA) telepítése során lehetősége van úgy beállítani az állapotjegyzőt, hogy csak akkor adjon ki állapottanúsítványt, ha a felhasználó hitelesítve van a tartományban, illetve esetenként névtelen felhasználóknak. Ha engedélyezi az állapottanúsítványok névtelen kérését, a rendszer az alábbi két webhelyet hozza létre:
-
DomainHRA
Az Internet Information Services (IIS) hitelesítési beállításaira ezen a helyen a Windows-hitelesítés van engedélyezve. Minden más hitelesítési módszer le van tiltva.
-
NonDomainHRA
Az IIS hitelesítési beállításaira a helyen névtelen hitelesítés van engedélyezve. Minden más hitelesítési módszer le van tiltva.
Ha azt állítja be, hogy csak a tartomány hitelesített tagjai szerezhessenek be állapottanúsítványt, a rendszer csak a DomainHRA webhelyet hozza létre.
A webhelyekhez IIS Internet Server Application Programming Interface (ISAPI) bővítmény tartozik, amely feldolgozza a HTTP- és HTTPS-kérelmeket, értékeli az állapotot a Hálózati házirend-kiszolgáló (NPS) segítségével, és egy hitelesítésszolgáltató használatával kibocsátja az állapottanúsítványokat.
Fontos! | |
Ha a névtelen tanúsítványkérelmek engedélyezve vannak, a NAP-ügyfeleken állítson be megbízható kiszolgálócsoportokat annak érdekében, hogy a hitelesített tanúsítványkérelmek magasabb prioritással rendelkezzenek az URL-címek rendezett listájában, mint a névtelen tanúsítványkérelmek. Ennek eredményeként az állapot-ellenőrzésen megfelelt tartományi tagok számára a rendszer nem bocsát ki névtelen állapottanúsítványt. |
Tanúsítványok SSL-titkosításhoz
Az IIS képes a Secure Sockets Layer (SSL) használatával titkosítani a NAP-ügyfélszámítógépekkel folytatott kommunikációt. Az SSL engedélyezése esetén a távoli számítógépeknek https:// kezdetű URL-címen kell elérniük a helyet, és az IIS-kiszolgálónak rendelkeznie kell SSL-tanúsítvánnyal. Az SSL-tanúsítvány követelményei:
-
A tanúsítványnak a helyi számítógép vagy az aktuális felhasználó tanúsítványtárolójában kell lennie.
-
Az aktuális rendszeridőnek későbbinek kell lennie a tanúsítvány Érvényesség kezdete tulajdonságánál és korábbinak az Érvényesség vége tulajdonságnál.
-
A tanúsítványnak alkalmasnak kell lennie kiszolgálóhitelesítésre. Ehhez a tanúsítvány Kibővített kulcshasználat tulajdonságának Kiszolgáló hitelesítése (1.3.6.1.5.5.7.3.1) értékkel kell rendelkeznie.
Ha az állapotjegyző szerepkör-szolgáltatásának telepítése során importál egy létező tanúsítványt az SSL-titkosítással való használatra, a rendszer automatikusan hozzáadja azt a helyi számítógép tanúsítványtárolójához. Önaláírt tanúsítványt is létrehozhat, vagy később is telepíthet tanúsítványt az SSL-titkosításhoz.