正常性登録機関 (HRA) のインストール時に、ユーザーがドメインで認証された場合にだけ正常性証明書を提供したり、オプションで匿名ユーザーに正常性証明書を提供するように HRA を構成することができます。正常性証明書の匿名要求を許可した場合は、次の 2 つの Web サイトが作成されます。
-
DomainHRA
このサイトのインターネット インフォメーション サービス (IIS) の認証設定では、Windows 認証が有効になります。その他のすべての認証方法は無効になります。
-
NonDomainHRA
このサイトの IIS の認証設定では、匿名認証が有効になります。その他のすべての認証方法は無効になります。
ドメインの認証されたメンバーだけが正常性証明書を取得できるようにする場合は、DomainHRA Web サイトだけが作成されます。
これらの Web サイトは IIS Internet Server Application Programming Interface (ISAPI) 拡張をホストします。ISAPI 拡張は、HTTP および HTTPS 要求を処理し、ネットワーク ポリシー サーバー (NPS) を使用して正常性を評価し、証明機関 (CA) を使用して正常性証明書を発行します。
重要 | |
匿名証明書要求を許可する場合、NAP クライアント上で信頼されたサーバー グループを構成して、順序が設定された URL のリストの中で、認証された証明書要求の優先順位が匿名証明書要求よりも高くなるようにします。これにより、正常性検査に合格したドメイン メンバーに、匿名正常性証明書が発行されることがなくなります。 |
SSL 暗号化のための証明書
IIS は Secure Sockets Layer (SSL) を使用して NAP クライアント コンピューターとの通信を暗号化します。SSL を有効にする場合は、リモート クライアントが https:// で始まる URL を使用してサイトにアクセスし、IIS サーバーでは SSL 証明書を準備する必要があります。この SSL 証明書に対する要件は次のとおりです。
-
証明書は、ローカル コンピューターの証明書ストアか、現在のユーザーの証明書ストアのどちらかに存在している必要があります。
-
現在のシステム時刻は、証明書の [有効期間の開始] プロパティよりも後で、かつ証明書の [有効期間の終了] プロパティよりも前であることが必要です。
-
証明書はサーバー認証用であることが必要です。つまり、証明書の [拡張キー使用法] プロパティで [サーバー認証] (1.3.6.1.5.5.7.3.1) が指定されている必要があります。
HRA 役割サービスのインストール時に、SSL 暗号化で使用する既存の証明書をインポートすると、ローカル コンピューターの証明書ストアに自動的に追加されます。自己署名された証明書を作成したり、SSL 暗号化のための証明書を後でインストールしたりすることもできます。