De statusregistratieautoriteit (HRA) moet worden geconfigureerd met ten minste één certificeringsinstantie waarbij statuscertificaten kunnen worden aangevraagd namens clientcomputers. Certificaten worden aangevraagd wanneer nieuwe clients verbinding maken met het netwerk of wanneer de geldigheidsduur van het statuscertificaat verloopt op een compatibele clientcomputer. Certificaten kunnen ook worden verwijderd en opnieuw uitgegeven aan clientcomputers als de status van een computer verandert terwijl deze is verbonden met het netwerk. HRA vraagt alleen statuscertificaten aan van de certificeringsinstantie die bovenaan in de lijst staat, tenzij die server niet beschikbaar is of niet reageert.

Certificeringsinstanties configureren

Voer de volgende procedure uit om certificeringsinstanties te configureren in HRA. Certificeringsinstanties kunnen worden toegevoegd of verwijderd, en de volgorde ervan kan worden gewijzigd. U kunt tevens opgeven hoeveel minuten moet worden gewacht tussen aanvragen voordat een certificeringsinstantie als niet-beschikbaar wordt beschouwd. Als u een ondernemingscertificeringsinstantie gebruikt, kunt u selecteren welk certificaatsjabloon voor geverifieerde toegang of anonieme toegang u wilt gebruiken. Als u een zelfstandige certificeringsinstantie met netwerktoegangsbeheer gebruikt, kunt u informatie over de uitgebreide status van clients inschakelen door beleids-OID's in te schakelen.

Als u deze procedure wilt uitvoeren, moet u minimaal lid zijn van de groep Domain Admins of een vergelijkbare groep. Zie https://go.microsoft.com/fwlink/?LinkId=83477 voor details over het gebruik van de juiste accounts en groepslidmaatschappen.

Een nieuwe certificeringsinstantie toevoegen

Voor optimale prestaties moet een toegewezen, zelfstandige, onderliggende certificeringsinstantie worden gebruikt voor het uitgeven van statuscertificaten. Wanneer u meer dan één certificeringsinstantie configureert in de HRA-module, heeft dit fouttolerantie tot gevolg. Taakverdeling kan worden bereikt door een extra HRA met een andere verwerkingsvolgorde voor certificeringsinstanties te configureren. Voer de volgende procedure uit om certificeringsinstanties te configureren voor gebruik met HRA.

Een nieuwe certificeringsinstantie toevoegen via de Windows-interface
  1. Open de HRA-console.

  2. Klik in de consolestructuur met de rechtermuisknop op Certificeringsinstantie en klik vervolgens op Certificeringsinstantie toevoegen. Het dialoogvenster Certificeringsinstantie toevoegen wordt geopend.

  3. Klik op Bladeren. Het dialoogvenster Certificeringsinstantie selecteren wordt geopend.

  4. Klik onder CA op de naam van de certificeringsinstantie die moet worden gebruikt voor het uitgeven van NAP-statuscertificaten en klik tweemaal op OK.

  5. Klik in de HRA-consolestructuur op Certificeringsinstantie en controleer de naam en volgorde van geconfigureerde certificeringsinstanties.

    Opmerking

    U kunt niet naar een certificeringsinstantie bladeren vanuit een werkgroepomgeving.

Wachttijd voor certificeringsinstantie configureren

HRA vraagt alleen statuscertificaten aan van de certificeringsinstantie die bovenaan in de lijst staat, tenzij die certificeringsinstantie is gemarkeerd als niet beschikbaar. Voer de volgende procedure uit om te wijzigen hoeveel minuten moet worden gewacht voordat een certificeringsinstantie als niet-beschikbaar wordt beschouwd.

De wachttijd voor certificeringsinstanties configureren via de Windows-interface
  1. Open de HRA-console.

  2. Klik in de consolestructuur met de rechtermuisknop op Certificeringsinstantie en klik vervolgens op Eigenschappen. Het dialoogvenster Eigenschappen van certificeringsinstanties wordt geopend.

  3. Geef het aantal minuten op dat moet worden gewacht tussen aanvragen voordat een certificeringsinstantie als niet-beschikbaar wordt beschouwd en klik op OK.

De geldigheidsduur van statuscertificaten configureren

De standaardgeldigheidsduur voor statuscertificaten is 4 uur. Clients proberen een statuscertificaat te vernieuwen 15 minuten voordat de geldigheid verloopt of wanneer een wijziging in de status van de client optreedt. Voer de volgende procedure uit om een aangepaste geldigheidsduur voor statuscertificaten te configureren.

De geldigheidsduur van door HRA goedgekeurde statuscertificaten configureren via de Windows-interface
  1. Open de HRA-console.

  2. Klik in de consolestructuur met de rechtermuisknop op Certificeringsinstantie en klik vervolgens op Eigenschappen. Het dialoogvenster Eigenschappen van certificeringsinstanties wordt geopend.

  3. Selecteer de tijdseenheid in de vervolgkeuzelijst. U kunt Minuten, Uren, Dagen of Weken selecteren.

  4. Nadat u een tijdseenheid hebt geselecteerd, voert u het gewenste aantal eenheden in en klikt u op OK.

  5. Als u een ondernemingscertificeringsinstantie gebruikt, moet u de volgende stappen uitvoeren om de in uw certificaatsjablonen geconfigureerde geldigheidsperiode te negeren.

    1. Klik op Start, klik met de rechtermuisknop op Opdrachtprompt en klik vervolgens op Als administrator uitvoeren.

    2. Typ Certutil.exe -setreg policy\EditFlags +EDITF_ATTRIBUTEENDDATE in het opdrachtvenster en druk op Enter.

    3. Typ net stop certsvc && net start certsvc in het opdrachtvenster en druk op Enter.

    4. Controleer of AD CS (Active Directory® Certificate Services) met succes wordt gestopt en gestart.

Belangrijk

De maximale geldigheidsduur voor statuscertificaten wordt bepaald door de geldigheidsduur van de certificeringsinstantie. Deze is standaard ingesteld op 52 weken. Ga voorzichtig te werk als u een geldigheidsduur van minder dan een uur configureert. Dit kan namelijk prestatieproblemen met de CA-server opleveren. Stel geen geldigheidsduur van 15 minuten of minder in.

Een type certificeringsinstantie kiezen

Voer de volgende procedure uit om het type NAP-certificeringsinstantie te configureren. U moet hier een type kiezen dat overeenkomt met de certificeringsinstantie die u in de voorgaande procedure hebt geconfigureerd. Als u een ondernemingscertificeringsinstantie gebruikt, moet u sjablonen configureren voordat u deze procedure uitvoert.

Het type certificeringsinstantie selecteren via de Windows-interface
  1. Open de HRA-console.

  2. Klik in de consolestructuur met de rechtermuisknop op Certificeringsinstantie en klik vervolgens op Eigenschappen. Het dialoogvenster Eigenschappen van certificeringsinstanties wordt geopend.

  3. Als u een zelfstandige certificeringsinstantie gebruikt, kiest u Zelfstandige certificeringsinstantie gebruiken.

  4. Schakel het selectievakje naast PolicyOID's inschakelen alleen in als u informatie over de uitgebreide status van clients gebruikt voor Network Access Control.

  5. Als u een ondernemingscertificeringsinstantie gebruikt waarin Active Directory is geïntegreerd, of als u zowel ondernemingscertificeringsinstanties als zelfstandige certificeringsinstanties gebruikt, kiest u Certificeringsinstantie gebruiken en selecteert u een Geverifieerde, compatibele certificaatsjabloon en Anonieme, compatibele certificaatsjabloon in de vervolgkeuzelijst met beschikbare sjablonen. Als u er tijdens de installatie van HRA niet voor hebt gekozen om anonieme aanvragen van statuscertificaten toe te staan, worden anonieme aanvragen van statuscertificaten niet ingeschakeld door het configureren van een anonieme sjabloon.

De volgorde van certificeringsinstanties configureren of certificeringsinstanties verwijderen

Voer de volgende procedure uit om de prioriteit van certificeringsinstanties voor HRA te wijzigen of om certificeringsinstanties uit de HRA-configuratie te verwijderen. HRA vraagt alleen statuscertificaten aan van de eerste certificeringsinstantie in de lijst, tenzij die certificeringsinstantie is gemarkeerd als niet beschikbaar.

De volgorde van certificeringsinstanties configureren of certificeringsinstanties verwijderen via de Windows-interface
  1. Open de HRA-console.

  2. Klik in de consolestructuur op Certificeringsinstanties.

  3. Klik met de rechtermuisknop op de naam van een certificeringsinstantie in de lijst met servers. Klik op Omhoog om de plaats van deze server te verhogen in de volgorde, of klik op Omlaag om de plaats van deze server te verlagen in de volgorde.

  4. U kunt een certificeringsinstantie uit de lijst verwijderen door met de rechtermuisknop op de naam van de certificeringsinstantie te klikken en op Verwijderen te klikken.

Aanvullende naslaginformatie