Az Állapotjegyző (HRA) telepítése során lehetősége van úgy beállítani az állapotjegyzőt, hogy csak akkor adjon ki állapottanúsítványt, ha a felhasználó hitelesítve van a tartományban, illetve esetenként névtelen felhasználóknak. Ha engedélyezi az állapottanúsítványok névtelen kérését, a rendszer az alábbi két webhelyet hozza létre:

  • DomainHRA

    Az Internet Information Services (IIS) hitelesítési beállításaira ezen a helyen a Windows-hitelesítés van engedélyezve. Minden más hitelesítési módszer le van tiltva.

  • NonDomainHRA

    Az IIS hitelesítési beállításaira a helyen névtelen hitelesítés van engedélyezve. Minden más hitelesítési módszer le van tiltva.

Ha azt állítja be, hogy csak a tartomány hitelesített tagjai szerezhessenek be állapottanúsítványt, a rendszer csak a DomainHRA webhelyet hozza létre.

A webhelyekhez IIS Internet Server Application Programming Interface (ISAPI) bővítmény tartozik, amely feldolgozza a HTTP- és HTTPS-kérelmeket, értékeli az állapotot a Hálózati házirend-kiszolgáló (NPS) segítségével, és egy hitelesítésszolgáltató használatával kibocsátja az állapottanúsítványokat.

Fontos!

Ha a névtelen tanúsítványkérelmek engedélyezve vannak, a NAP-ügyfeleken állítson be megbízható kiszolgálócsoportokat annak érdekében, hogy a hitelesített tanúsítványkérelmek magasabb prioritással rendelkezzenek az URL-címek rendezett listájában, mint a névtelen tanúsítványkérelmek. Ennek eredményeként az állapot-ellenőrzésen megfelelt tartományi tagok számára a rendszer nem bocsát ki névtelen állapottanúsítványt.

Tanúsítványok SSL-titkosításhoz

Az IIS képes a Secure Sockets Layer (SSL) használatával titkosítani a NAP-ügyfélszámítógépekkel folytatott kommunikációt. Az SSL engedélyezése esetén a távoli számítógépeknek https:// kezdetű URL-címen kell elérniük a helyet, és az IIS-kiszolgálónak rendelkeznie kell SSL-tanúsítvánnyal. Az SSL-tanúsítvány követelményei:

  • A tanúsítványnak a helyi számítógép vagy az aktuális felhasználó tanúsítványtárolójában kell lennie.

  • Az aktuális rendszeridőnek későbbinek kell lennie a tanúsítvány Érvényesség kezdete tulajdonságánál és korábbinak az Érvényesség vége tulajdonságnál.

  • A tanúsítványnak alkalmasnak kell lennie kiszolgálóhitelesítésre. Ehhez a tanúsítvány Kibővített kulcshasználat tulajdonságának Kiszolgáló hitelesítése (1.3.6.1.5.5.7.3.1) értékkel kell rendelkeznie.

Ha az állapotjegyző szerepkör-szolgáltatásának telepítése során importál egy létező tanúsítványt az SSL-titkosítással való használatra, a rendszer automatikusan hozzáadja azt a helyi számítógép tanúsítványtárolójához. Önaláírt tanúsítványt is létrehozhat, vagy később is telepíthet tanúsítványt az SSL-titkosításhoz.

További hivatkozások