Az alábbi eljárás segítségével a hálózatvédelmi hitelesítésszolgáltatókon ellenőrizheti, hogy a kiszolgálók megfelelően vannak-e beállítva az állapotjegyzővel és a hálózatvédelmi IPsec-kényszerítési módszerrel való használathoz. A hálózatvédelmi hitelesítésszolgáltatók olyan kiszolgálók, amelyeken telepítve van és fut az Active Directory® tanúsítványszolgáltatások (AD CS), és amelyek hálózatvédelmi állapottanúsítványok kibocsátására alkalmasak. További információ az AD CS szolgáltatásról: https://go.microsoft.com/fwlink/?LinkId=127816 (előfordulhat, hogy a lap angol nyelven jelenik meg).

A művelet elvégzéséhez legalább a Domain Admins csoporthoz vagy egy ezzel egyenértékű jogokat biztosító csoporthoz kell tartoznia. A megfelelő fiókokkal és csoporttagságokkal kapcsolatos információkat a https://go.microsoft.com/fwlink/?LinkId=83477 hely tartalmazza. (Előfordulhat, hogy a lap angol nyelven jelenik meg.)

Hálózatvédelmi hitelesítésszolgáltató kiválasztása

Annak érdekében, hogy a kompatibilis NAP-ügyfélszámítógépek hálózatvédelmi állapottanúsítványokat szerezhessenek be és bocsáthassanak ki, az állapotjegyzőhöz legalább egy hitelesítésszolgáltatót kell rendelni. A hitelesítésszolgáltatót az állapotjegyző telepítése során választhatja ki a szolgáltató helyi telepítésével vagy egy létező távoli szolgáltató kiválasztásával. Hálózatvédelmi hitelesítésszolgáltatót később is hozzáadhat az Állapotjegyző beépülő modullal és a parancssorból. Ha az állapotjegyzőhöz több hitelesítésszolgáltatót szeretne rendelni, az Állapotjegyző beépülő modult vagy a parancssort kell használnia. Az állapotjegyzőt beállíthatja vállalati vagy önálló hitelesítésszolgáltató használatára. A hálózatvédelmi hitelesítésszolgáltató konfigurációs követelményei a kiválasztott szolgáltató típusától függően eltérőek lehetnek. Függetlenül attól, hogy önálló vagy vállalati hitelesítésszolgáltatót ad-e meg, a hitelesítésszolgáltató biztonsági beállításait és a tanúsítvány kiállítási követelményeit meg kell adnia. Az állapotjegyzőhöz javasolt dedikált, önálló, alsóbb szintű hitelesítésszolgáltatót rendelni. Az állapotjegyző hálózatvédelmi hitelesítésszolgáltató használatára történő beállításával kapcsolatban további információt a következő témakörben talál: Hálózatvédelmi hitelesítésszolgáltató konfigurálása.

Önálló hitelesítésszolgáltató kiválasztása

Az önálló hitelesítésszolgáltató nem használ tanúsítványsablont. Ezért önálló hálózatvédelmi hitelesítésszolgáltató használatakor nem kell beállítania állapottanúsítvány-sablont. Önálló hitelesítésszolgáltató választásakor azonban meg kell adnia a szolgáltató biztonsági beállításait és a tanúsítvány kiállítási követelményeit annak érdekében, hogy az állapotjegyző automatikusan állíthasson ki állapottanúsítványt a kompatibilis ügyfélszámítógépek számára.

Vállalati hitelesítésszolgáltató kiválasztása

A vállalati hitelesítésszolgáltató tanúsítványsablonok alapján állítja ki a tanúsítványokat. A program a házirendmodul segítségével hozza létre a kiállított tanúsítványok (például hálózatvédelmi rendszerállapot-hitelesítés) bővítményeinek listáját. Ha a vállalati hitelesítésszolgáltató Windows Server® 2008 rendszert használ, a rendszerállapot-hitelesítés tanúsítványsablonja alapértelmezés szerint elérhető a tartomány és az állapot hitelesítésére szolgáló alkalmazásházirend-bővítményekkel. Ha a hitelesítésszolgáltató Windows Server® 2003 rendszert használ, létre kell hoznia és közzé kell tennie az alkalmazásházirend-bővítményeket tartalmazó sablont. Az alábbi eljárások segítségével ellenőrizheti, hogy a vállalati hitelesítésszolgáltatók úgy vannak-e beállítva, hogy automatikusan kiállítsák az állapottanúsítványokat a megfelelő alkalmazásházirend-bővítményekkel.

Sablon elérhetőségének ellenőrzése

Ha a vállalati hitelesítésszolgáltató kiszolgálón Windows Server 2008 rendszer fut, a tartományban hitelesített NAP-ügyfelek számára automatikusan rendelkezésre áll egy Rendszerállapot hitelesítése nevű tanúsítványsablon. Ha a hitelesítésszolgáltató Windows Server 2003 rendszert használ, a sablont létre kell hozni. Az alábbi eljárással ellenőrizheti, hogy a hálózatvédelmi állapottanúsítvány-sablon rendelkezésre áll-e a megfelelő alkalmazásházirend-bővítményekkel, illetve ha nem, létrehozhatja a sablont. Az eljárás önálló hitelesítésszolgáltató esetében nem használható.

A sablon rendelkezésre állásának ellenőrzése
  1. Kattintson a Start menü Futtatás parancsára, írja be a certtmpl.msc parancsot, majd nyomja le az ENTER billentyűt.

  2. A jobb oldali ablaktábla Sablon megjelenítendő neve listájában tekintse át a sablonok listáját. Kattintson duplán a megfelelő hálózatvédelmi állapottanúsítvány-sablon nevére. Ha a sablon nincs a listában, hajtsa végre az alábbi lépéseket:

    1. Kattintson a jobb gombbal a Munkaállomás hitelesítése elemre, majd a Sablon duplikálása parancsra.

    2. A Sablon megjelenítendő neve mezőbe írja be a Rendszerállapot hitelesítése nevet, majd kattintson a Kiegészítő mezők fülre.

    3. A sablonban található kiegészítő mezők csoportban kattintson az Alkalmazás-házirendek elemre, majd a Szerkesztés gombra.

    4. Kattintson a Hozzáadás, majd az Új gombra.

    5. Az Új használati szabályzat párbeszédpanel name csoportjában írja be a Rendszerállapot hitelesítése nevet.

    6. Az Objektumazonosító csoportban írja be az 1.3.6.1.4.1.311.47.1.1 értéket, majd kattintson négyszer az OK gombra.

    7. Ellenőrizze, hogy az új sablon sikeresen létrejött-e.

    8. Az új sablon ellenőrzéséhez kattintson duplán a nevére, majd hajtsa végre az eljárás további lépéseit.

  3. Kattintson a Kiegészítő mezők fülre.

  4. A sablonban található kiegészítő mezők listában kattintson az Alkalmazás-házirendek elemre.

  5. A(z) Alkalmazás-házirendek leírása listában ellenőrizze, hogy a Rendszerállapot hitelesítése és az Ügyfél hitelesítése szerepel-e, majd kattintson a Szerkesztés gombra.

  6. Kattintson a Rendszerállapot hitelesítése elemre, majd kattintson a Szerkesztés gombra.

  7. A Használati szabályzat szerkesztése párbeszédpanel Objektumazonosító mezőjében ellenőrizze, hogy az érték a következő-e: 1.3.6.1.4.1.311.47.1.1. Ha az alkalmazás-házirend objektumazonosítójának értéke ettől eltér, az eljárás korábbi lépéseinek végrehajtásával hozzon létre új rendszerállapot-hitelesítési sablont. Ezenkívül javítania kell az alkalmazás-házirendek nevét annak érdekében, hogy a Rendszerállapot hitelesítése objektumazonosítója 1.3.6.1.4.1.311.47.1.1 legyen.

  8. Kattintson háromszor a Mégse gombra, és zárja be a Tanúsítványsablonok konzolja ablakot.

Megjegyzés

Ha a névtelen állapottanúsítványokat ezzel a tanúsítványsablonnal állítja ki, az Ügyfél hitelesítése alkalmazás-házirendet ne használja. Az Ügyfél hitelesítése alkalmazás-házirendet tartalmazó tanúsítványokat tartományi hitelesítő adatokkal rendelkező ügyfeleknek adhatja ki.

A tanúsítvány rendelkezésre állásának megtekintése

Vállalati hitelesítésszolgáltató esetében a tanúsítványokat az ügyfélszámítógépeknek való kibocsátás előtt elérhetővé kell tenni. Az alábbi eljárás segítségével ellenőrizheti, hogy a hálózatvédelmi állapottanúsítvány elérhető-e a kiállításhoz. Az eljárás önálló hitelesítésszolgáltató esetében nem használható.

A tanúsítvány rendelkezésre állásának ellenőrzése
  1. Kattintson a Start menü Futtatás parancsára, írja be a certsrv.msc parancsot, majd nyomja le az ENTER billentyűt.

  2. Kattintson a konzolfán a Tanúsítványsablonok elemre.

  3. A jobb oldali ablaktábla name oszlopában ellenőrizze, hogy a hálózatvédelmi állapottanúsítvány szerepel-e a listában. Ha a hitelesítésszolgáltató kiszolgáló Windows Server 2008 rendszert használ, a tartományban hitelesített NAP-ügyfelek alapértelmezett állapottanúsítvány-sablonjának megjelenítendő neve Rendszerállapot hitelesítése.

  4. Ha az állapottanúsítvány-sablont létrehozták, de a listában nem szerepel, a sablon kiadásához hajtsa végre az alábbi lépéseket:

    1. Kattintson a jobb gombbal a Tanúsítványsablonok tárolóra, mutasson az Új menüpontra, majd kattintson a Kiállítandó tanúsítványsablon parancsra.

    2. A Tanúsítványsablonok engedélyezése párbeszédpanel name oszlopában kattintson a hálózatvédelmi állapottanúsítvány nevére, majd az OK gombra. Ha a sablon nem szerepel a listában, akkor már engedélyezték, vagy az eljárás végrehajtása előtt létre kell hoznia.

    3. Ellenőrizze, hogy a hálózatvédelmi állapottanúsítvány-sablon hozzá van-e adva a sablonok listájához.

  5. Zárja be a Hitelesítésszolgáltató konzolt.

Az állapotjegyző tanúsítványigénylési engedélyeinek ellenőrzése

Annak érdekében, hogy az állapotjegyző tanúsítványokat szerezhessen be egy vállalati hitelesítésszolgáltatótól, majd azokat kiadhassa az ügyfeleknek, rendelkeznie kell az állapottanúsítványok igénylési engedélyével. Az automatikus igénylési engedélyekkel az állapotjegyző a tanúsítványt automatikusan hozzáadja a helyi tanúsítványtárolóhoz. Ha csak az igénylési jogosultságok vannak engedélyezve, manuálisan kell létrehoznia az állapottanúsítványt az állapotjegyző kiszolgálójához. Az alábbi eljárással megállapíthatja, hogy az állapotjegyző rendelkezik-e az engedélyekkel. Az eljárás önálló hitelesítésszolgáltató esetében nem használható.

Az állapotjegyző tanúsítványigénylési engedélyeinek ellenőrzése
  1. Kattintson a Start menü Futtatás parancsára, írja be a certtmpl.msc parancsot, majd nyomja le az ENTER billentyűt.

  2. A jobb oldali ablaktábla Sablon megjelenítendő neve oszlopában kattintson duplán a hálózatvédelmi állapottanúsítvány nevére. Ha a hitelesítésszolgáltató kiszolgálón Windows Server 2008 rendszer fut, a tartományban hitelesített NAP-ügyfelek alapértelmezett állapottanúsítvány-sablonjának megjelenítendő neve Rendszerállapot hitelesítése.

  3. Kattintson a Biztonság fülre.

  4. Ellenőrizze, hogy az Igénylés és az Automatikus igénylés engedélyezve van-e az állapotjegyző kiszolgálójának DNS-nevéhez vagy egy olyan csoporthoz, amelynek az állapotjegyző tagja. Ha az engedélyek nincsenek megadva, hajtsa végre az alábbi lépéseket:

    1. Kattintson a Hozzáadás, majd az Objektumtípusok gombra, jelölje be a Számítógépek jelölőnégyzetet, majd kattintson az OK gombra.

    2. Az Írja be a kijelölendő objektumok nevét mezőbe írja be az állapotjegyző kiszolgálójának DNS-nevét, majd kattintson az OK gombra. Olyan csoport nevét is beírhatja, amelynek az állapotjegyző kiszolgálója tagja.

    3. Kattintson a hozzáadott névre vagy csoportra, jelölje be az Igénylés és az Automatikus igénylés jelölőnégyzetet az Engedélyezés oszlopban, majd kattintson az OK gombra.

  5. Zárja be a Tanúsítványszolgáltatások konzolja ablakot.

A hitelesítésszolgáltató biztonsági beállításainak ellenőrzése

A hitelesítésszolgáltató biztonsági beállításai határozzák meg, hogy az állapotjegyző rendelkezik-e az állapottanúsítványok kiállításához szükséges engedélyekkel. Az alábbi eljárással ellenőrizheti az engedélyeket a hálózatvédelmi hitelesítésszolgáltatókon. Ez az eljárás a vállalati és az önálló hitelesítésszolgáltató kiszolgálókra egyaránt alkalmazható.

A tanúsítvány biztonsági beállításainak ellenőrzése
  1. Kattintson a Start menü Futtatás parancsára, írja be a certsrv.msc parancsot, majd nyomja le az ENTER billentyűt.

  2. Kattintson a jobb gombbal a hitelesítésszolgáltató köznapi nevére, majd kattintson a Tulajdonságok parancsra.

  3. Kattintson a Biztonság fülre.

  4. Ha az állapotjegyző és a hálózatvédelmi hitelesítésszolgáltató ugyanazon a számítógépen fut, ellenőrizze, hogy a HÁLÓZATI SZOLGÁLTATÁS megtalálható-e a Csoport vagy felhasználó neve területen.

  5. Ha az állapotjegyző és a hálózatvédelmi hitelesítésszolgáltató különböző számítógépen fut, ellenőrizze, hogy az állapotjegyző kiszolgálójának neve megtalálható-e a Csoport vagy felhasználó neve területen.

  6. Kattintson az állapotjegyző kiszolgálójának nevére vagy a HÁLÓZATI SZOLGÁLTATÁS elemre, és ellenőrizze, hogy a Tanúsítványok kiállítása és kezelése, a Hitelesítésszolgáltató kezelése és a Tanúsítványok kérése engedélyezve van-e.

  7. Kattintson az OK gombra, majd zárja be a Hitelesítésszolgáltató konzolt.

A tanúsítvány kiállítási követelményeinek ellenőrzése

Annak érdekében, hogy a NAP-ügyfélszámítógépek az állapottanúsítványokat a hálózati állapotkövetelményeknek való megfelelés megállapítását követően azonnal beszerezhessék, a hálózatvédelmi hitelesítésszolgáltatóknak az állapottanúsítványok automatikus kiállítására kell beállítva lenniük. Az alábbi eljárással ellenőrizheti, hogy a tanúsítványok automatikus kiállítása be van-e állítva. Ez az eljárás a vállalati és az önálló hitelesítésszolgáltató kiszolgálókra egyaránt alkalmazható.

A tanúsítvány kiállítási követelményeinek ellenőrzése
  1. Kattintson a Start menü Futtatás parancsára, írja be a certsrv.msc parancsot, majd nyomja le az ENTER billentyűt.

  2. Kattintson a jobb gombbal a hitelesítésszolgáltató köznapi nevére, majd kattintson a Tulajdonságok parancsra.

  3. Az Irányelvmodul lapon kattintson a Tulajdonságok gombra.

  4. Ellenőrizze, hogy A tanúsítványsablon beállításainak követése, értelemszerűen. Egyébként a tanúsítvány automatikus kiállítása. választógomb be van-e jelölve.

  5. Kattintson kétszer az OK gombra, majd zárja be a Hitelesítésszolgáltató konzolt.

További hivatkozások