Durante l'installazione dell'Autorità registrazione integrità è possibile configurare l'Autorità in modo che fornisca certificati di integrità solo quando gli utenti vengono autenticati nel dominio o che fornisca certificati di integrità a utenti anonimi. Se si sceglie di consentire richieste anonime di certificati di integrità, verranno creati due siti Web:
-
DomainHRA
Per le impostazioni di autenticazione IIS (Internet Information Services) in questo sito è attivata l'autenticazione di Windows. Tutti gli altri metodi di autenticazione sono disattivati.
-
NonDomainHRA
Per le impostazioni di autenticazione IIS in questo sito è attivata l'autenticazione anonima. Tutti gli altri metodi di autenticazione sono disattivati.
Se si sceglie di consentire la trasmissione di certificati di integrità solo agli utenti autenticati del dominio, verrà creato solo il sito Web DomainHRA.
Questi siti Web ospitano un'estensione ISAPI (Internet Server Application Programming Interface) IIS che elabora le richieste HTTP/HTTPS, valuta l'integrità mediante Server dei criteri di rete e rilascia certificati di integrità tramite un'Autorità di certificazione.
Importante | |
Se sono consentite le richieste di certificati anonime, è necessario configurare gruppi di server trusted nei client di Protezione accesso alla rete in modo che nell'elenco ordinato di URL le richieste di certificati autenticate abbiano la precedenza sulle richieste di certificati anonime. In questo modo, i membri del dominio che superano i controlli di integrità non ottengono certificati di integrità anonimi. |
Certificati per la crittografia SSL
IIS può utilizzare SSL (Secure Sockets Layer) per crittografare le comunicazioni con computer client di Protezione accesso alla rete. Se si attiva SSL, i client remoti devono accedere al sito mediante URL che iniziano per https:// e il server IIS deve essere dotato di un certificato SSL. I requisiti per tale certificato SSL sono i seguenti:
-
Il certificato deve essere incluso nell'archivio certificati del computer locale o nell'archivio certificati dell'utente corrente.
-
La data e l'ora di sistema correnti devono essere posteriori al valore della proprietà Valido dal e anteriori al valore della proprietà Valido fino al del certificato.
-
Il certificato deve essere destinato all'autenticazione del server. A tale scopo, la proprietà Utilizzo chiavi avanzato del certificato deve specificare Autenticazione server (1.3.6.1.5.5.7.3.1).
Se si importa un certificato esistente per l'utilizzo con la crittografia SSL durante l'installazione del servizio ruolo Autorità registrazione integrità, questo verrà aggiunto automaticamente all'archivio certificati del computer locale. È inoltre possibile creare un certificato autofirmato o installare un certificato per la crittografia SSL in un secondo tempo.