HRA (Health Registration Authority ) måste konfigureras med minst en certifikatutfärdare som hälsocertifikat kan begäras från för klientdatorers räkning. Certifikat begärs när nya klienter ansluter till nätverket eller när hälsocertifikatets giltighetsperiod håller på att gå ut på en klientdator. Certifikat kan också tas bort och återutfärdas till klientdatorer om deras hälsostatus ändras medan de är anslutna till nätverket. HRA begär bara hälsocertifikat från certifikatutfärdaren som är konfigurerad först i ordningen om inte den servern är otillgänglig eller inte svarar.
Konfigurera certifikatutfärdare
Med den här proceduren kan du konfigurera certifikatutfärdare i HRA. Certifikatutfärdare kan läggas till eller tas bort och ordningen på dem kan ändras. Du kan också ange väntetiden i minuter mellan begäranden innan en certifikatutfärdare anses vara otillgänglig. Om du använder företagscertifikatutfärdare kan du välja vilka autentiserade och anonyma certifikatmallar som ska användas. Om du använder en fristående certifikatutfärdare med Network Access Control kan du aktivera information om utökat läge hos klienten genom att aktivera objekt-ID:n för princip.
Om proceduren ska kunna slutföras krävs minst medlemskap i Domain Admins eller motsvarande. Du kan läsa mer om kontomedlemskap och gruppmedlemskap på
Lägga till en ny certifikatutfärdare
För bästa prestanda bör en dedikerad fristående underordnad certifikatutfärdare användas för att utfärda hälsocertifikat. Du får feltolerans om du installerar mer än en certifikatutfärdare i snapin-modulen HRA. Du kan utjämna belastningen om du konfigurerar ytterligare en HRA med en annan ordning på certifikatutfärdarna. Med följande procedur kan du konfigurera certifikatutfärdare till att användas med HRA.
Så här skapar du en ny certifikatutfärdare i Windows-gränssnittet |
Öppna HRA-konsolen.
Högerklicka på Certifikatutfärdare i konsolträdet och klicka sedan på Lägg till certifikatutfärdare. Dialogrutan Lägg till certifikatutfärdare öppnas.
Klicka på Bläddra. Dialogrutan Välj certifikatutfärdare öppnas.
Klicka på namnet på den certifikatutfärdare som ska användas till att utfärda NAP-hälsocertifikat under Certifikatutfärdare och klicka sedan på OK två gånger.
Klicka på Certifikatutfärdare i HRA-konsolträdet och verifiera namnet och ordningen på de konfigurerade certifikatutfärdarna.
OBS Du kan inte bläddra till en certifikatutfärdare från en arbetsgruppmiljö.
Konfigurera väntetider för certifikatutfärdare
HRA försöker bara erhålla hälsocertifikat från certifikatutfärdaren som är konfigurerad först i ordningen, om inte den servern är otillgänglig eller inte svarar. Med följande procedur kan du ändra väntetiden i minuter innan en certifikatutfärdare anses vara otillgänglig.
Så här konfigurerar du väntetider för certifikatutfärdare med Windows-gränssnittet |
Öppna HRA-konsolen.
Högerklicka på Certifikatutfärdare i konsolträdet och klicka sedan på Egenskaper. Dialogrutan Egenskaper för certifikatutfärdare öppnas.
Ange väntetiden i minuter mellan begäranden innan en certifikatutfärdare anses otillgänglig och klicka sedan på OK.
Konfigurera giltighetsperiod för hälsocertifikat
Giltighetsperioden för hälsocertifikat är som standard fyra timmar. Klienter försöker förnya hälsocertifikatet 15 minuter innan det går ut eller om hälsostatusen förändras. Med följande procedur kan du konfigurera en anpassad giltighetsperiod för hälsocertifikat.
Så här konfigurerar du giltighetstiden för hälsocertifikaten som godkänts av HRA med Windows-gränssnittet |
Öppna HRA-konsolen.
Högerklicka på Certifikatutfärdare i konsolträdet och klicka sedan på Egenskaper. Dialogrutan Egenskaper för certifikatutfärdare öppnas.
Välj tidsenhet i listrutan. Du kan välja minuter, timmar, dagar eller veckor.
Efter att ha valt tidsenhet anger du önskat antal tidsenheter och klickar sedan på OK.
Om du använder en företagscertifikatutfärdare måste du åsidosätta giltighetsperioden som konfigurerats i dina certifikatmallar genom att utföra följande steg.
-
Klicka på Start, högerklicka på Kommandotolken och klicka på Kör som administratör.
-
Skriv Certutil.exe -setreg policy\EditFlags +EDITF_ATTRIBUTEENDDATE i kommandofönstret och tryck på RETUR.
-
Skriv net stop certsvc && net start certsvc i kommandofönstret och tryck sedan på RETUR.
-
Kontrollera att Active Directory®-certifikattjänster avslutas och startas utan problem.
-
Klicka på Start, högerklicka på Kommandotolken och klicka på Kör som administratör.
Viktigt! | |
Ett hälsocertifikats giltighetsperiod kan inte vara längre än certifikatutfärdarens giltighetsperiod, som är 52 veckor som standard. Var försiktig om du konfigurerar giltighetsperioder kortare än en timme, eftersom det kan leda till prestandaproblem för certifikatutfärdarservern. Använd inte giltighetsperioder på mindre än 15 minuter. |
Välj typ av certifikatutfärdare
Med följande procedur kan du konfigurera typen av NAP-certifikatutfärdare. Det är viktigt att certifikatutfärdartypen som du väljer motsvarar certifikatutfärdaren som du konfigurerade i föregående procedur. Om du använder en företagscertifikatutfärdare måste du konfigurera mallar innan du utför den här proceduren.
Så här konfigurerar du certifikatutfärdartyp med Windows-gränssnittet |
Öppna HRA-konsolen.
Högerklicka på Certifikatutfärdare i konsolträdet och klicka sedan på Egenskaper. Dialogrutan Egenskaper för certifikatutfärdare öppnas.
Välj Använd fristående certifikatutfärdare om du använder en fristående certifikatutfärdare.
Markera inte kryssrutan bredvid Aktivera objekt-ID:n för princip om du inte använder klientinformation om utökat läge för Network Access Control.
Om du använder en certifikatutfärdare som är integrerad med Active Directory eller om du använder både företagscertifikatutfärdare och fristående certifikatutfärdare väljer du Använd certifikatutfärdare för företag. Välj sedan en Autentiserad kompatibel certifikatmall och en Anonym kompatibel certifikatmall från listan över tillgängliga mallar i listrutan. Om du inte valde att tillåta anonyma begäranden om hälsocertifikat när HRA installerades aktiveras inte anonyma begäranden även om du konfigurerar en anonym mall i den här proceduren.
Konfigurera ordning eller ta bort certifikatutfärdare
Med följande procedur kan du ändra prioriteten för certifikatutfärdare som används av HRA eller ta bort certifikatutfärdare från konfigurationen av HRA. HRA begär bara hälsocertifikat från certifikatutfärdaren som är konfigurerad först i listan om inte den certifikatutfärdaren har markerats som otillgänglig.
Så här konfigurerar du ordningen på eller tar bort certifikatutfärdare med Windows-gränssnittet. |
Öppna HRA-konsolen.
Klicka på Certifikatutfärdare i konsolträdet.
Högerklicka på ett namn på en certifikatutfärdare i listan på servrar. Om du vill ge den här servern högre prioritet i ordningen klickar du på Flytta upp. Om du däremot vill ge den här servern lägre prioritet klickar du på Flytta ned.
Om du vill ta bort en certifikatutfärdare från listan högerklickar du på certifikatutfärdarens namn och klickar sedan på Ta bort.