Во время установки центра регистрации работоспособности можно настроить центр регистрации на предоставление сертификатов работоспособности только после проверки подлинности пользователей в домене или на предоставление сертификатов работоспособности анонимным пользователям. Если разрешены анонимные запросы на сертификаты работоспособности, будут созданы два веб-сайта:

  • DomainHRA

    В параметрах проверки подлинности в службах IIS на этом сайте включена проверка подлинности Windows. Все другие методы проверки подлинности отключены.

  • NonDomainHRA

    В параметрах проверки подлинности в службах IIS на этом сайте включен анонимный доступ. Все другие методы проверки подлинности отключены.

Если сертификаты работоспособности могут получать только прошедшие проверку пользователи домена, создается только веб-сайт DomainHRA.

На этих веб-сайтах размещается расширение ISAPI служб IIS, которое служит для обработки запросов HTTP/HTTPS, оценки работоспособности с помощью сервера политики сети и выдачи сертификатов работоспособности посредством центра сертификации.

Важно!

Если разрешены анонимные запросы на сертификаты, необходимо настроить группы доверенных серверов на клиентах NAP, чтобы прошедшие проверку подлинности запросы на сертификаты получали более высокий приоритет в списке URL-адресов, чем анонимные запросы на сертификаты. Это будет препятствовать возможности получения анонимных сертификатов работоспособности клиентами, присоединенными к домену, которые прошли проверку на работоспособность.

Сертификаты для SSL-шифрования

В службах IIS может использоваться протокол SSL для шифрования обмена данными между клиентскими компьютерами NAP. При включении SSL удаленные клиенты должны получать доступ к веб-сайту, используя URL-адрес, который начинается с https://, а на сервере служб IIS должен быть предоставлен SSL-сертификат. Ниже приведены требования к этому SSL-сертификату:

  • Сертификат должен храниться в хранилище сертификатов локального компьютера или в хранилище сертификатов текущего пользователя.

  • Текущее системное время должно быть между значениями свойств сертификата Действителен с и Действителен по.

  • Сертификат должен предназначаться для проверки подлинности сервера. Вследствие этого требуется, чтобы свойство расширенного использования ключа для сертификата равнялось Проверка подлинности сервера (1.3.6.1.5.5.7.3.1).

При импорте существующего сертификата для использования с SSL-шифрованием во время установки службы роли центра регистрации работоспособности, он автоматически добавляется в хранилище сертификатов локального компьютера. Также можно создать сертификат с собственной подписью или установить сертификат для SSL-шифрования позже.

Дополнительные источники информации


Содержание