Urząd rejestrowania kondycji musi być skonfigurowany z przynajmniej jednym urzędem certyfikacji (UC), od którego w imieniu komputerów klienckich będzie można żądać certyfikatów kondycji. Certyfikatów żąda się, gdy nowi klienci łączą się z siecią lub gdy upływa okres ważności certyfikatu kondycji na zgodnym komputerze klienckim. Certyfikaty można również usuwać i ponownie wystawiać komputerom klienckim po zmianie stanu, gdy są one połączone z siecią. Urząd rejestrowania kondycji żąda certyfikatów kondycji tylko od pierwszego w kolejności urzędu certyfikacji, chyba że serwer jest niedostępny lub nie odpowiada.
Konfigurowanie urzędów certyfikacji
Aby skonfigurować urzędy certyfikacji w urzędzie rejestrowania kondycji, należy skorzystać z poniższej procedury. Można dodawać lub usuwać urzędy certyfikacji, jak również modyfikować ich kolejność. Można także określić czas (w minutach) oczekiwania między żądaniami przed zakwalifikowaniem urzędu certyfikacji jako niedostępnego. Jeśli jest używany urząd certyfikacji przedsiębiorstwa, można skorzystać z uwierzytelnionych i anonimowych szablonów certyfikatów. Jeśli jest używany autonomiczny urząd certyfikacji z kontrolą dostępu do sieci, można włączyć rozszerzone informacje o stanie, włączając identyfikatory obiektów zasad.
Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w grupie Domain Admins lub równoważnej. Szczegółowe informacje na temat używania odpowiednich kont i członkostw w grupach można znaleźć na stronie
Dodawanie nowego urzędu certyfikacji
Aby wydajność była optymalna, do wydawania certyfikatów kondycji należy użyć dedykowanego autonomicznego podrzędnego urzędu certyfikacji. Odporność na uszkodzenia uzyskuje się dzięki skonfigurowaniu więcej niż jednego urzędu certyfikacji w przystawce Urząd rejestrowania kondycji. Równoważenie obciążenia jest osiągane przez skonfigurowanie dodatkowego urzędu rejestrowania kondycji z inną kolejnością przetwarzania urzędu certyfikacji. Aby skonfigurować urzędy certyfikacji używane z urzędem rejestrowania kondycji, można skorzystać z poniższej procedury.
Aby dodać nowy urząd certyfikacji przy użyciu interfejsu systemu Windows |
Otwórz konsolę urzędu rejestrowania kondycji.
W drzewie konsoli kliknij prawym przyciskiem myszy węzeł Urząd certyfikacji, a następnie kliknij polecenie Dodaj urząd certyfikacji. Zostanie otwarte okno dialogowe Dodawanie urzędu certyfikacji.
Kliknij przycisk Przeglądaj. Zostanie otwarte okno dialogowe Wybieranie urzędu certyfikacji.
W obszarze UC kliknij nazwę urzędu certyfikacji, który będzie używany do wydawania certyfikatów kondycji ochrony dostępu do sieci, a następnie kliknij dwukrotnie przycisk OK.
W drzewie konsoli urzędu rejestrowania kondycji kliknij węzeł Urząd certyfikacji i sprawdź nazwę i kolejność skonfigurowanych urzędów certyfikacji.
Uwaga Ze środowiska grupy roboczej nie można przejść do urzędu certyfikacji.
Konfigurowanie czasu oczekiwania na urząd certyfikacji
Urząd rejestrowania kondycji będzie próbował uzyskać certyfikaty kondycji tylko z urzędu certyfikacji skonfigurowanego jako pierwszy w kolejności przetwarzania, chyba że ten urząd certyfikacji będzie zaznaczony jako niedostępny. Aby zmienić czas (w minutach) oczekiwania przed uznaniem urzędu certyfikacji jako niedostępny, można skorzystać z poniższej procedury.
Aby skonfigurować czas oczekiwania na urząd certyfikacji przy użyciu interfejsu systemu Windows |
Otwórz konsolę urzędu rejestrowania kondycji.
W drzewie konsoli kliknij prawym przyciskiem myszy węzeł Urząd certyfikacji, a następnie kliknij polecenie Właściwości. Zostanie otwarte okno dialogowe Właściwości urzędu certyfikacji.
Wprowadź liczbę minut oczekiwania między żądaniami, po upływie której urząd certyfikacji zostanie uznany za niedostępny, a następnie kliknij przycisk OK.
Konfigurowanie okresu ważności certyfikatu kondycji
Domyślnie okres ważności dla certyfikatów kondycji wynosi 4 godziny. Klienci będą próbować odnowić certyfikat kondycji 15 minut przed upływem tego okresu lub po zmianie stanu kondycji klienta. Aby skonfigurować okres ważności dla certyfikatów kondycji, można skorzystać z poniższej procedury.
Aby skonfigurować okres ważności dla certyfikatów kondycji zatwierdzonych przez Urząd rejestrowania kondycji przy użyciu interfejsu systemu Windows |
Otwórz konsolę urzędu rejestrowania kondycji.
W drzewie konsoli kliknij prawym przyciskiem myszy węzeł Urząd certyfikacji, a następnie kliknij polecenie Właściwości. Zostanie otwarte okno dialogowe Właściwości urzędu certyfikacji.
Z listy rozwijanej wybierz jednostkę czasu. Wybierz Minuty, Godziny, Dni lub Tygodnie.
Po wybraniu jednostki czasu wprowadź liczbę danych jednostek, a następnie kliknij przycisk OK.
Jeśli używasz urzędu certyfikacji przedsiębiorstwa, musisz wykonać poniższe kroki, aby zastąpić okres ważności skonfigurowany w szablonach certyfikatów.
-
Kliknij przycisk Start, kliknij prawym przyciskiem myszy polecenie Wiersz polecenia, a następnie kliknij polecenie Uruchom jako administrator.
-
W oknie polecenia wpisz polecenie Certutil.exe -setreg policy\EditFlags +EDITF_ATTRIBUTEENDDATE i naciśnij klawisz ENTER.
-
W oknie polecenia wpisz net stop certsvc && net start certsvc i naciśnij klawisz ENTER.
-
Sprawdź, czy Usługi certyfikatów w usłudze Active Directory® (AD CS) zostaną pomyślnie uruchomione i zakończone.
-
Kliknij przycisk Start, kliknij prawym przyciskiem myszy polecenie Wiersz polecenia, a następnie kliknij polecenie Uruchom jako administrator.
Ważne | |
Maksymalny okres ważności certyfikatu kondycji określa okres ważności urzędu certyfikacji, który domyślnie jest ustawiony na 52 tygodnie. Zachowaj ostrożność przy konfigurowaniu okresu ważności krótszego niż 1 godzina z uwagi na ewentualne problemy z wydajnością serwera urzędu certyfikacji. Nie stosuje okresu ważności o wartości 15 minut lub mniejszej. |
Wybieranie typu urzędu certyfikacji
Skorzystaj z poniższej procedury w celu skonfigurowania typu urzędu certyfikacji ochrony dostępu do sieci. Istotne jest, aby wybrać typ urzędu certyfikacji zgodny z urzędem skonfigurowanym w poprzedniej procedurze. Jeśli jest używany urząd certyfikacji przedsiębiorstwa, zanim przejdziesz do wykonywania tej procedury, musisz skonfigurować szablony.
Aby wybrać typ urzędu certyfikacji przy użyciu interfejsu systemu Windows |
Otwórz konsolę urzędu rejestrowania kondycji.
W drzewie konsoli kliknij prawym przyciskiem myszy węzeł Urząd certyfikacji, a następnie kliknij polecenie Właściwości. Zostanie otwarte okno dialogowe Właściwości urzędu certyfikacji.
Jeśli używasz autonomicznego urzędu certyfikacji, zaznacz opcję Użyj autonomicznego urzędu certyfikacji.
Nie zaznaczaj pola wyboru obok pozycji Włącz identyfikatory OID zasad, chyba że będziesz korzystać z rozszerzonych informacji o stanie klienta do kontroli dostępu do sieci.
Jeśli jest używany urząd certyfikacji przedsiębiorstwa zintegrowany z usługą Active Directory lub gdy jest używany zarówno autonomiczny urząd certyfikacji, jak i urząd certyfikacji przedsiębiorstwa, zaznacz opcję Użyj urzędu certyfikacji przedsiębiorstwa. Następnie z listy rozwijanej wybierz pozycję Szablon zgodnego certyfikatu uwierzytelnionego, a z listy dostępnych szablonów wybierz pozycję Szablon zgodnego certyfikatu anonimowego. Jeśli podczas instalowania urzędu rejestrowania kondycji nie zostanie wybrana opcja zezwalająca na anonimowe żądania certyfikatów kondycji, konfiguracja szablonu anonimowego w tej procedurze nie spowoduje włączenia żądań certyfikatów anonimowych.
Konfigurowanie kolejności lub usuwanie urzędów certyfikacji
Aby zmodyfikować priorytet urzędów certyfikacji używanych przez urząd rejestrowania kondycji lub usunąć urzędy certyfikacji z konfiguracji urzędu rejestrowania kondycji, można skorzystać z poniższej procedury. Urząd rejestrowania kondycji będzie żądał certyfikatów tylko z urzędu certyfikacji, który jest skonfigurowany jako pierwszy na liście, chyba że urząd ten zostanie oznaczony jako niedostępny.
Aby skonfigurować kolejność urzędów certyfikatów lub usunąć urzędy certyfikatów przy użyciu interfejsu systemu Windows |
Otwórz konsolę urzędu rejestrowania kondycji.
W drzewie konsoli kliknij węzeł Urzędy certyfikacji.
Kliknij prawym przyciskiem myszy nazwę urzędu certyfikacji na liście serwerów. Kliknij przycisk Przenieś w górę, aby zwiększyć preferencję kolejności dla tego serwera. Ewentualnie kliknij przycisk Przenieś w dół, aby zmniejszyć preferencję kolejności dla tego serwera.
Aby usunąć urząd certyfikacji z listy, kliknij prawym przyciskiem myszy nazwę danego urzędu, a następnie kliknij polecenie Usuń.