Sistem Durumu Kayıt Yetkilisi'nin (HRA) yüklenmesi sırasında, size kullanıcılara yalnızca etki alanında kimlik doğrulaması yaptığında veya isteğe bağlı olarak anonim kullanıcılara sistem durumu sertifikası vermek üzere yapılandırma seçeneği verilir. Sistem durumu sertifikaları için anonim isteklere izin vermeyi seçtiyseniz, iki Web sitesi oluşturulacaktır:
-
DomainHRA
Bu sitedeki Internet Information Services (IIS) kimlik doğrulama ayarlarında Windows kimlik doğrulama etkindir. Diğer tüm kimlik doğrulama yöntemleri devre dışıdır.
-
NonDomainHRA
Bu sitedeki IIS kimlik doğrulama ayarlarında Anonim kimlik doğrulama etkindir. Diğer tüm kimlik doğrulama yöntemleri devre dışıdır.
Yalnıza etki alanının kimliği doğrulanmış üyelerinin sistem durumu sertifikası alabilmeleri gerektiğini tercih ettiyseniz yalnızca DomainHRA Web sitesi oluşturulur.
Bu Web siteleri HTTP/HTTPS isteklerini işleyen, Ağ İlkesi Sunucusu (NPS) kullanarak sistem durumunu değerlendiren ve sertifika yetkilisini (CA) kullanarak sistem durumu sertifikası veren Internet Sunucusu Uygulama Programı Arabirimi'ni (ISAPI) barındırır.
Önemli | |
Anonim sertifika isteklerine izin verilirse, sıralı URL listelerinde kimliği doğrulanan sertifika isteklerine anonim sertifika isteklerinden daha yüksek öncelik vermesi için NAP istemcilerindeki güvenilen sunucu gruplarını yapılandırmalısınız. Bu, sistem durumu denetimlerinden geçen etki alanı üyelerine anonim sistem durumu sertifikası verilmediğinden emin olmaya yardımcı olur. |
SSL şifrelemesi için sertifikalar
IIS NAP istemci bilgisayarlarıyla iletişimi şifrelemek için Güvenli Yuva Katmanı'nı (SSL) kullanabilir. SSL'yi etkinleştirirseniz, uzak istemcilerinizin sitenize https:// ile başlayan URL'lerle erişmesi gerekir ve IIS sunucunuza bir SSL sertifikası sağlanmış olmalıdır. SSL sertifikası gereksinimleri şunlardır:
-
Sertifika ya yerel bilgisayarınızın sertifika deposunda, ya da geçerli kullanıcının sertifika deposunda olmalıdır.
-
Geçerli sistem saati sertifikanın Geçerlilik başlangıcı özelliğinden sonra ve Geçerlilik bitişi özelliğinden önce olmalıdır.
-
Sertifika, sunucu kimlik doğrulaması amaçlı olmalıdır. Bunun için sertifikanın Gelişmiş Anahtar Kullanımı özelliği, Sunucu Kimlik Doğrulaması'nı (1.3.6.1.5.5.7.3.1) belirtmelidir.
HRA rolü hizmetinin yüklenmesi sırasında varolan bir sertifikayı SSL şifrelemesiyle kullanmak üzere aldığınızda, otomatik olarak yerel bilgisayarın sertifika deposuna eklenir. Kendinden imzalı bir sertifika da oluşturabilir veya daha sonra SSL şifrelemesi için bir sertifika yükleyebilirsiniz.