HRA(상태 등록 기관) 설치 중에 사용자가 도메인에서 인증될 때만 상태 인증서를 제공하거나 익명 사용자에게도 필요에 따라 상태 인증서를 제공하도록 HRA를 구성할 수 있는 옵션이 제공됩니다. 상태 인증서에 대한 익명 요청을 허용하도록 선택하면 다음 두 웹 사이트가 만들어집니다.
-
DomainHRA
이 사이트의 IIS(인터넷 정보 서비스) 인증 설정에는 Windows 인증이 사용하도록 설정되어 있습니다. 다른 모든 인증 방법은 사용할 수 없습니다.
-
NonDomainHRA
이 사이트의 IIS 인증 설정에는 익명 인증이 사용하도록 설정되어 있습니다. 다른 모든 인증 방법은 사용할 수 없습니다.
도메인의 인증된 구성원에게만 상태 인증서를 받을 수 있는 능력을 부여하도록 선택하면 DomainHRA 웹 사이트만 만들어집니다.
이러한 웹 사이트는 HTTP/HTTPS 요청을 처리하고, NPS(네트워크 정책 서버)를 사용하여 상태를 평가하며, CA(인증 기관)를 사용하여 상태 인증서를 발급하는 IIS ISAPI(인터넷 서버 응용 프로그래밍 인터페이스) 확장을 호스팅합니다.
 | 중요 |
|
익명 인증서 요청이 허용되면 URL 목록에서 인증된 인증서 요청이 익명의 인증서 요청보다 더 높은 우선 순위를 갖도록 NAP 클라이언트에서 신뢰된 서버 그룹을 구성해야 합니다. 이렇게 하면 상태 검사를 통과한 도메인 구성원에 익명의 상태 인증서가 발급되는 일이 없습니다. |
SSL 암호화용 인증서
IIS는 SSL(Secure Sockets Layer)을 사용하여 NAP 클라이언트 컴퓨터와의 통신을 암호화할 수 있습니다. SSL을 사용하도록 설정하면 원격 클라이언트는 https://로 시작되는 URL을 사용하여 사이트에 액세스해야 하며 IIS 서버가 SSL 인증서로 구축되어야 합니다. 이 SSL 인증서에 대한 요구 사항은 다음과 같습니다.
-
인증서가 로컬 컴퓨터 인증서 저장소 또는 현재 사용자 인증서 저장소에 있어야 합니다.
-
현재 시스템 시간은 인증서의 유효 기간(시작) 속성 이후이고 인증서의 유효 기간(끝) 속성 이전이어야 합니다.
-
인증서는 서버 인증용이어야 합니다. 이를 위해 인증서의 확장된 키 사용 속성이 서버 인증(1.3.6.1.5.5.7.3.1)으로 지정되어야 합니다.
HRA 역할 서비스 설치 중에 SSL 암호화에 사용할 수 있게 기존 인증서를 가져올 경우 해당 인증서가 로컬 컴퓨터 인증서 저장소에 자동으로 추가됩니다. 나중에 자체 서명된 인증서를 만들거나 SSL 암호화용 인증서를 설치할 수도 있습니다.