Sistem Durumu Kayıt Yetkilisi (HRA), istemci bilgisayarlar yerinde sistem durumu sertifikalarının isteneceği en az bir sertifika yetkilisiyle (CA) birlikte yapılandırılmalıdır. Yen istemciler ağa bağlandığında veya uyumlu bir bilgisayarın sistem durumu sertifikasının geçerliliği sona ermek üzereyken sertifika istenir. Sistem durumları ağa bağlıyken değiştiğinde istemci bilgisayarlarının sertifikaları kaldırılır veya yeniden verilir. HRA, sunucu kullanılamaz durumda veya yanıt veremez olarak tanımlanmamışsa, yalnızca sıradaki yapılandırılmış ilk CA'dan sistem durumu sertifikası ister.
CA'ları yapılandırma
HRA içindeki CA'ları yapılandırmak için bu işlemi kullanın. CA'lar eklenebilir, silinebilir veya sıraları değiştirilebilir. Bir CA'yı kullanılamaz olarak tanımlamadan önce istekler arasında beklenecek dakika sayısını da belirtebilirsiniz. Bir kuruluş CA'sı kullanıyorsanız, kullanılacak kimliği doğrulanmış ve anonim sertifika şablonlarını seçebilirsiniz. Ağ Erişimi Denetimi'yle birlikte tek başına bir CA kullanıyorsanız, ilke OID'leri etkinleştirerek istemci genişletilmiş durum bilgilerini etkinleştirebilirsiniz.
Domain Admins veya eşdeğer bir gruba üyelik, bu yordamı gerçekleştirmek için en düşük gerekliliktir.
Yeni bir CA ekleme
En iyi performans için, sistem durumu sertifikası vermek üzere ayrılmış tek başına bir yan CA kullanılmalıdır. HRA ek bileşeninde birden fazla CA yapılandırırsanız, hata toleransı sağlanır. Farklı bir CA işlem sırasına sahip ek bir HRA yapılandırarak yük dengeleme gerçekleştirilebilir. HRA ile kullanılmak üzere CA yapılandırmak için aşağıdaki işlemi kullanabilirsiniz.
Windows arabirimini kullanarak yeni bir sertifika yetkilisi eklemek için |
HRA konsolunu açın.
Konsol ağacında, Sertifika Yetkilisi'ni sağ tıklatın ve sonra Sertifika Yetkilisi Ekle'yi tıklatın. Sertifika Yetkilisi Ekle iletişim kutusu açılır.
Gözat'ı tıklatın. Sertifika Yetkilisi Seç iletişim kutusu açılır.
CA altında, NAP sistem durumu sertifikalarını vermek için kullanılacak CA adını tıklatın ve sonra iki kez Tamam'ı tıklatın.
HRA konsol ağacında Sertifika Yetkilisi'ni tıklatın ve yapılandırılmış CA'larını adını ve sırasını doğrulayın.
Not Çalışma grubu ortamından bir CA'ya gözatamazsınız.
Ca bekleme süresini yapılandırma
HRA yalnızca, kullanılamaz durumda değilse birinci işlem sırasında olan CA'dan sistem durumu sertifikası almaya çalışır. Bir CA'yı kullanılamaz olarak tanımlamadan önce beklenecek dakika sayısını değiştirmek için aşağıdaki işlemi kullanabilirsiniz.
Windows arabirimini kullanarak sertifika yetkilisinin bekleme süresini yapılandırmak için |
HRA konsolunu açın.
Konsol ağacında Sertifika Yetkilisi'ni sağ tıklatın ve sonra Özellikler'i tıklatın. Sertifika Yetkilisi Özellikleri iletişim kutusu açılır.
Bir CA'yı kullanılamaz olarak tanımlamadan önce istekler arasında beklenmesi gereken dakika sayısını girin ve Tamam'ı tıklatın.
Sistem durumu sertifikası geçerlilik dönemini yapılandırma
Sistem durumu sertifikalarının varsayılan geçerlilik dönemi 4 saattir. İstemciler sistem durumu sertifikalarının sona ermeden 15 dakika önce veya istemci sistem durumunda bir değişiklik olduğunda yenilemeye çalışır. Sistem durumu sertifikaları için özel bir geçerlilik dönemi yapılandırmak için aşağıdaki işlemi kullanabilirsiniz.
Windows arabirimini kullanarak HRA tarafından onaylanan sistem durumu sertifikalarının geçerlilik süresini yapılandırmak için |
HRA konsolunu açın.
Konsol ağacında Sertifika Yetkilisi'ni sağ tıklatın ve sonra Özellikler'i tıklatın. Sertifika Yetkilisi Özellikleri iletişim kutusu açılır.
Açılır liste kutusunu kullanarak süre birimini seçin. Dakika, Saat, Gün veya Hafta seçebilirsiniz.
Bir süre birimi seçtikten sonra, istenen birim sayısını girin ve ardından Tamam'ı tıklatın.
Bir kuruluş CA'sı kullanıyorsanız, sertifika şablonlarınızda yapılandırılmış olan geçerlilik dönemini geçersiz kılmak için aşağıdaki adımları izlemeniz gereklidir.
-
Başlat'ı tıklatın, Komut İstemi'ni sağ tıklatın ve ardından Yönetici olarak çalıştır'ı tıklatın.
-
Komut penceresinde, Certutil.exe -setreg policy\EditFlags +EDITF_ATTRIBUTEENDDATE yazın ve ardından ENTER'a basın.
-
Komut penceresinde, net stop certsvc && net start certsvc yazın ve ardından ENTER'a basın.
-
Active Directory® Sertifika Hizmetleri (AD CS) durdurulur ve başarıyla yeniden başlatılır.
-
Başlat'ı tıklatın, Komut İstemi'ni sağ tıklatın ve ardından Yönetici olarak çalıştır'ı tıklatın.
Önemli | |
En uzun sistem durumu sertifikası geçerlilik dönemi, varsayılan olarak 52 hafta olarak ayarlanmış olan CA geçerlilik dönemi tarafından belirlenir. Geçerlilik dönemini 1 saatten daha az yapılandırırken, CA sunucusunda oluşabilecek performans sorunları nedeniyle dikkatli olun. 15 dakika veya daha az geçerlilik dönemleri kullanmayın. |
CA türünü seçme
NAP sertifika yetkilisi türünü yapılandırmak için aşağıdaki işlemi kullanın. Önceki işlemlerde yapılandırmış olduğunuz CA'ya karşılık gelen CA türünü seçmek önemlidir. Bir kuruluş CA'sı kullanıyorsanız, bu yordamı uygulamadan önce şablonları yapılandırmalısınız.
Windows arabirimini kullanarak sertifika yetkilisi türünü seçmek için |
HRA konsolunu açın.
Konsol ağacında Sertifika Yetkilisi'ni sağ tıklatın ve sonra Özellikler'i tıklatın. Sertifika Yetkilisi Özellikleri iletişim kutusu açılır.
Tek başına bir CA kullanıyorsanız, Tek başına sertifika yetkilisi kullan'ı seçin.
Ağ Erişim Denetimi için istemci uzatılmış durum bilgilerini kullanmıyorsanız, İlke OID'lerini etkinleştir'in yanındaki onay kutusunu seçmeyin.
Active Directory ile tümleşik bir kuruluş CA'sı veya hem kuruluş hem de tek başına CA'lar kullanıyorsanız, Kuruluş sertifika yetkilisi kullan'ı seçin ve ardından kullanılabilir şablon listesinden bir Kimliği doğrulanan uyumlu sertifika şablonu ve Anonim uyumlu sertifika şablonu seçin. HRA yüklemesi sırasında anonim sistem durumu sertifikalarına izin vermemeyi seçtiyseniz, bu işlemde anonim bir şablon yapılandırma anonim sertifika isteklerini etkinleştirmez.
CA sırasını yapılandırma veya CA'ları silme
HRA tarafından kullanılan CA'ların önceliğini değiştirmek veya HRA yapılandırmasından CA'ları kaldırmak için aşağıdaki işlemleri kullanın. HRA, CA kullanılamaz olarak işaretlenmemişse yalnızca ilk sırada yapılandırılmış ilk CA'dan sertifikalar ister.
Windows arabirimini kullanarak sertifika yetkililerinin sırasını yapılandırmak veya silmek için |
HRA konsolunu açın.
Konsol ağacında Sertifika Yetkilileri'ni tıklatın.
Sunucu listesinde bir CA adını sağ tıklatın. Bu sunucunun tercih sırasını artırmak için Yukarı Taşı'yı tıklatın. Bu sunucunun tercih sırasını düşürmek için Aşağı Taşı'yı tıklatın.
Listeden bir CA'yı silmek için, CA adını sağ tıklatın ve ardından Sil'i tıklatın.