Во время установки центра регистрации работоспособности можно настроить центр регистрации на предоставление сертификатов работоспособности только после проверки подлинности пользователей в домене или на предоставление сертификатов работоспособности анонимным пользователям. Если разрешены анонимные запросы на сертификаты работоспособности, будут созданы два веб-сайта:
-
DomainHRA
В параметрах проверки подлинности в службах IIS на этом сайте включена проверка подлинности Windows. Все другие методы проверки подлинности отключены.
-
NonDomainHRA
В параметрах проверки подлинности в службах IIS на этом сайте включен анонимный доступ. Все другие методы проверки подлинности отключены.
Если сертификаты работоспособности могут получать только прошедшие проверку пользователи домена, создается только веб-сайт DomainHRA.
На этих веб-сайтах размещается расширение ISAPI служб IIS, которое служит для обработки запросов HTTP/HTTPS, оценки работоспособности с помощью сервера политики сети и выдачи сертификатов работоспособности посредством центра сертификации.
Важно! | |
Если разрешены анонимные запросы на сертификаты, необходимо настроить группы доверенных серверов на клиентах NAP, чтобы прошедшие проверку подлинности запросы на сертификаты получали более высокий приоритет в списке URL-адресов, чем анонимные запросы на сертификаты. Это будет препятствовать возможности получения анонимных сертификатов работоспособности клиентами, присоединенными к домену, которые прошли проверку на работоспособность. |
Сертификаты для SSL-шифрования
В службах IIS может использоваться протокол SSL для шифрования обмена данными между клиентскими компьютерами NAP. При включении SSL удаленные клиенты должны получать доступ к веб-сайту, используя URL-адрес, который начинается с https://, а на сервере служб IIS должен быть предоставлен SSL-сертификат. Ниже приведены требования к этому SSL-сертификату:
-
Сертификат должен храниться в хранилище сертификатов локального компьютера или в хранилище сертификатов текущего пользователя.
-
Текущее системное время должно быть между значениями свойств сертификата Действителен с и Действителен по.
-
Сертификат должен предназначаться для проверки подлинности сервера. Вследствие этого требуется, чтобы свойство расширенного использования ключа для сертификата равнялось Проверка подлинности сервера (1.3.6.1.5.5.7.3.1).
При импорте существующего сертификата для использования с SSL-шифрованием во время установки службы роли центра регистрации работоспособности, он автоматически добавляется в хранилище сертификатов локального компьютера. Также можно создать сертификат с собственной подписью или установить сертификат для SSL-шифрования позже.