Ağ Erişimi Koruması (NAP) sertifika yetkililerinizde (CA), bu sunucuların Sistem Durumu Kayıt Yetkilisi (HRA) ve NAP Internet Protokolü güvenliği (IPsec) zorlama yöntemiyle kullanılmak üzere doğru şekilde yapılandırılıp yapılandırılmadığını doğrulamak için aşağıdaki işlemleri kullanın. NAP CA'ları üzerinde Active Directory® Sertifika Hizmetleri (AD CS) yüklü ve çalışıyor olan ve NAP sistem durumu sertifikaları verebilen sunuculardır. AD CS hakkında daha fazla bilgi için bkz.
Domain Admins veya eşdeğer bir gruba üyelik, bu yordamı gerçekleştirmek için en düşük gerekliliktir.
NAP CA seçme
Uyumlu NAP istemci bilgisayarlarına NAP sistem durumu sertifikalarını elde etmek ve vermek için, HRA en az bir CA ile ilişkilendirilmelidir. HRA'nın yüklenmesi sırasında, CA'yı yerel olarak yüklemeyi veya varolan bir uzak CA'yı seçerek bir CA seçebilirsiniz. HRA ek bileşeninin veya komut satırını kullanarak NAP CA'larını daha sonra da ekleyebilirsiniz. HRA ile birden fazla CA ilişkilendirmek için HRA ek bileşenini veya komut satırını kullanmanız gereklidir. HRA'yı bir kuruluş CA'sı veya tek başına bir CA kullanmak üzere yapılandırabilirsiniz. NAP CA için yapılandırma gereksinimleri, seçtiğiniz CA türüne bağlı olarak değişebilir. Tek başına CA veya kuruluş CA'sı seçip seçmeyeceğinize bağlı olarak CA güvenlik ayarları ve sertifika verme gereksinimlerini yapılandırmalısınız. Önerilen yapılandırmada HRA, ayrılmış bir tek başına bağımlı CA ile ilişkilendirilir. HRA'yı NAP CA kullanmak üzere yapılandırma hakkında daha fazla bilgi için bkz. NAP Sertifika Yetkilisini Yapılandırma.
Tek başına CA seçme
Tek başına CA sertifika şablonları kullanmaz. Bu yüzden, tek başına bir NAP CA kullanırken bir sistem durumu sertifika şablonu yapılandırmanız gerekmez. Tek başına bir CA seçerseniz, HRA'nın uyumlu istemci bilgisayarlardan sistem durumu sertifikası isteyebilmesi ve onlara otomatik olarak verebilmesi için, CA güvenlik ayarlarını ve sertifika verme gereksinimlerini daha sonra da yapılandırabilirsiniz.
Kuruluş CA'sı seçme
Kuruluş CA'sı sertifika şablonlarına dayalı olarak sertifika verir. İlke modülü, NAP için sistem durumu kimlik doğrulaması gibi verilen sertifikalara bir sertifika uzantıları listesi sağlamak için kullanılır. Kuruluş CA'nız Windows Server® 2008 çalıştırıyorsa, Sistem Durumu Kimlik Doğrulama sertifika şablonu, etki alanı ve sistem durumu kimlik doğrulaması için uygun olan uygulama ilke uzantılarıyla birlikte varsayılan olarak kullanılabilir. Kuruluşunuz Windows Server® 2003 çalıştırıyorsa, bu uygulama ilke uzantılarını içeren bir şablon oluşturmanız ve yayımlamanız gereklidir. Kuruluş CA'larının sistem durumu sertifikalarını doğru uygulama ilkesi uzantılarıyla birlikte verilmek üzere yapılandırıldığını doğrulamak için aşağıdaki işlemleri kullanabilirsiniz.
Şablonun kullanılabilirliğini doğrulama
Kuruluş CA sunucusu Windows Server 2008 çalıştırıyorsa, etki alanıyla kimliği doğrulanmış NAP istemcilerine yönelik bir sertifika şablonu, Sistem Durumu Kimlik Doğrulaması görüntü adıyla otomatik olarak kullanılabilir. Kuruluş CA'nız Windows Server 2003 çalıştırıyorsa, bu şablon oluşturulmalıdır. NAP sistem durumu sertifika şablonunun doğru uygulama ilkesi uzantılarıyla kullanılabildiğini doğrulamak veya yoksa bu şablonu oluşturmak için aşağıdaki yordamı kullanın. Tek başına bir CA kullanıyorsanız, bu yordam geçerli değildir.
Şablonun kullanılabilirliğini doğrulamak için |
Başlat'ı tıklatın, Çalıştır' ı tıklatın, certtmpl.msc yazın ve ENTER tuşuna basın.
Şablon Görüntü Adı altındaki ayrıntılar bölmesinde şablon listesini gözden geçirin. NAP sistem durumu sertifika şablonunun adını çift tıklatın. NAP sistem durumu sertifika şablonu listelenmemişse, aşağıdaki adımları gerçekleştirin:
-
İş İstasyonu Kimlik Doğrulaması'nı sağ tıklatın ve ardından Yineleme Şablonu'nu tıklatın.
-
Şablon görüntü adı altında, Sistem Durumu Kimlik Doğrulaması yazdıktan sonra Uzantılar sekmesini tıklatın.
-
Bu şablonun içerdiği uzantılar altında, Uygulama İlkeleri'ni ve ardından Düzenle'yi tıklatın.
-
Ekle'yi ve ardından Yeni'yi tıklatın.
-
Yeni Uygulama İlkesi'nde, Adı altında, Sistem Durumu Kimlik Doğrulaması yazın.
-
Nesne tanımlayıcısı altına, 1.3.6.1.4.1.311.47.1.1 yazın ve ardından dört kez Tamam'ı tıklatın.
-
Şablonunuzun başarıyla oluşturulduğunu onaylayın.
-
Yeni şablonunuzu doğrulamak için adını çift tıklatın ve bu yordamda kalan adımları tamamlayın.
-
İş İstasyonu Kimlik Doğrulaması'nı sağ tıklatın ve ardından Yineleme Şablonu'nu tıklatın.
Uzantılar sekmesini tıklatın.
Bu şablonun içerdiği uzantılar altında, Uygulama İlkeleri'ni tıklatın.
Uygulama İlkeleri Açıklaması altında, Sistem Durumu Kimlik Doğrulaması ve İstemci Kimlik Doğrulaması'nın listelendiğini doğrulayın ve sonra Düzenle'yi tıklatın.
Sistem Durumu Kimlik Doğrulaması'nı ve ardından Düzenle'yi tıklatın.
Uygulama İlkesini Düzenle içinde, Nesne tanımlayıcısı altında, değerin 1.3.6.1.4.1.311.47.1.1 olduğunu doğrulayın. Uygulama ilkesi nesne tanımlayıcısının değeri farklıysa, daha sonra yeni bir sistem durumu kimlik doğrulama şablonu oluşturmak için bu yordamdaki önceki adımları kullanın. Sistem Durumu Kimlik Doğrulaması ile ilişkilendirilmiş olan nesne tanımlayıcısının 1.3.6.1.4.1.311.47.1.1 olabilmesi için uygulama ilkesi adlarını da düzeltmeniz gereklidir.
İptal'i üç kez tıklatın ve ardından Sertifika Şablonları konsolunu kapatın.
Not | |
Anonim sistem durumu sertifikalarını vermek için bu sertifika şablonu kullanılıyorsa, İstemci Kimlik Doğrulaması uygulama ilkesini eklemeyin. İstemci kimlik doğrulama ilkesini içeren sertifikalar, etki alanı kimlik bilgileriyle doğrulaması yapılan istemcilere verilir. |
Sertifika kullanılabilirliğini doğrulama
Kuruluş CA'sında, istemci bilgisayarlara verilmeden önce sertifikaların hazırlanmış olması gereklidir. NAP sistem durumu sertifikanızın verilmek için hazır olduğundan emin olmak için aşağıdaki işlemleri kullanın. Tek başına bir CA kullanıyorsanız bu yordam geçerli değildir.
Sertifika kullanılabilirliğini doğrulamak için |
Başlat'ı tıklatın, Çalıştır' ı tıklatın, certsvr.msc yazın ve ENTER tuşuna basın.
Konsol ağacında Sertifika Şablonları'nı tıklatın.
Ayrıntılar bölmesinde, Adı altında, NAP sistem durumu sertifikasının listelendiğini doğrulayın. Kuruluş CA sunucusu Windows Server 2008 çalıştırıyorsa, etki alanıyla kimliği doğrulanmış NAP istemcilerine yönelik sistem durumu sertifika şablonunu Sistem Durumu Kimlik Doğrulaması görüntü adına sahiptir.
Sistem durumu sertifika şablonu oluşturulmasına rağmen listede görüntülenmiyorsa, şablonu vermek için aşağıdaki adımları kullanın:
-
Sertifika Şablonları'nı sağ tıklatın, Yeni'yi tıklatın ve Verilecek Sertifika Şablonu'nu tıklatın.
-
Sertifika Şablonu Etkinleştir içinde, Adı altında, NAP sistem durumu sertifikasının adını tıklatın ve ardından Tamam'ı tıklatın. Şablon listelenmemişse, zaten etkinleştirilmiş olabilir veya bu yordamı gerçekleştirmeden önce oluşturmanız gerekir.
-
NAP sistem durumu sertifika şablonunuzun şablon listesine eklendiğini doğrulayın.
-
Sertifika Şablonları'nı sağ tıklatın, Yeni'yi tıklatın ve Verilecek Sertifika Şablonu'nu tıklatın.
Sertifika Yetkilisi konsolunu kapatın.
HRA için sertifika kaydı izinlerini doğrulama
HRA'nın bir kuruluş CA'sından sertifika alması ve istemcilere vermesi için, kendisine sistem durumu sertifika kaydı izni verilmiş olmalıdır. Otomatik kayıt iznini etkinleştirmek, HRA'nın bu sertifikayı otomatik olarak yerel sertifika deposuna eklemesini sağlar. Yalnızca kayıt izni verilirse, HRA sunucusunda el ile bir sistem durumu sertifikası sağlamanız gerekir. HRA'ya bu izinlerin verildiğini doğrulamak için aşağıdaki işlemi kullanın Tek başına bir CA kullanıyorsanız bu yordam geçerli değildir.
HRA'nın sertifika kaydı izinlerini doğrulamak için |
Başlat'ı tıklatın, Çalıştır' ı tıklatın, certtmpl.msc yazın ve ENTER tuşuna basın.
Ayrıntılar bölmesinde, Şablon Görüntü Adı altında, NAP sistem durumu sertifikanızın adını çift tıklatın. Kuruluş CA sunucusu Windows Server 2008 çalıştırıyorsa, etki alanıyla kimliği doğrulanmış NAP istemcilerine yönelik sistem durumu sertifika şablonunu Sistem Durumu Kimlik Doğrulaması görüntü adına sahiptir.
Güvenlik sekmesini tıklatın.
HRA sunucunuzun DNS adına veya HRA sunucusunun ait olduğu gruba Kayıt ve Otomatik Kayıt izinlerinin verildiğini doğrulayın. Bu izinler yoksa, aşağıdaki adımları gerçekleştirin:
-
Ekle'yi, Nesne Türleri'ni tıklatın, Bilgisayarlar onay kutusunu seçin ve ardından Tamam'ı tıklatın.
-
Seçilecek nesne adlarını girin altında, HRA sunucunuzun DNS adını yazın ve ardından Tamam'ı tıklatın. Diğer bir yolla HRA sunucusunun üye olduğu grubun adını yazabilirsiniz.
-
Eklediğiniz adı veya grubu tıklatın, Kayıt ve Otomatik Kayıt için İzin ver'i seçtikten sonra Tamam'ı tıklatın.
-
Ekle'yi, Nesne Türleri'ni tıklatın, Bilgisayarlar onay kutusunu seçin ve ardından Tamam'ı tıklatın.
Sertifika Şablonları konsolunu kapatın.
CA güvenlik ayarlarını doğrulama
CA güvenlik ayarları, HRA'nın sistem durumu sertifikaları vermek için izne sahip olup olmadığını belirler. NAP CA'larınızda bu izinleri doğrulamak için aşağıdaki yordamı kullanın. Bu yordam hem kuruluş, hem de tek başına CA sunucularına yöneliktir.
Sertifika güvenlik ayarlarını doğrulamak için |
Başlat'ı tıklatın, Çalıştır' ı tıklatın, certsrv.msc yazın ve ENTER tuşuna basın.
CA'nızın ortak adını sağ tıklatın ve ardından Özellikler’i tıklatın.
Güvenlik sekmesini tıklatın.
HRA ve NAP CA aynı bilgisayarda çalışıyorsa, Grup ya da kullanıcı adları altında NETWORK SERVICE'in olduğunu doğrulayın.
HRA ve NAP CA aynı farklı bilgisayarlarda çalışıyorsa, Grup ya da kullanıcı adları altında HRA sunucunuzun bilgisayar adının olduğunu doğrulayın.
HRA sunucunuzun adını veya NETWORK SERVICE'i tıklatın ve Sertifikaları Yayımla ve Yönet, CA'yı Yönet ve Sertifika İste için izinlerin verildiğini doğrulayın.
Tamam'ı tıklatın ve ardından Sertifika Yetkilisi konsolunu kapatın.
Sertifika verme gereksinimlerini doğrulama
NAP istemci bilgisayarlarının, ağ durumu gereksinimleriyle uyumlu olduğu belirlenir belirlenmez sistem durumu sertifikaları alabilmesi için, NAP CA'larının sistem durumu sertifikalarını otomatik olarak vermek üzere yapılandırılmaları gerekir. Sertifikaların otomatik olarak verildiğini doğrulamak için şu işlemleri kullanın. Bu yordam hem kuruluş hem de tek başına CA sunucularına yöneliktir.
Sertifika verme gereksinimlerini doğrulamak için |
Başlat'ı tıklatın, Çalıştır' ı tıklatın, certsrv.msc yazın ve ENTER tuşuna basın.
CA'nızın ortak adını sağ tıklatın ve ardından Özellikler’i tıklatın.
İlke Modülü’nü, ardından Özellikler'i tıklatın.
Sertifika şablonundaki ayarları uygula'nın seçili olduğunu doğrulayın.
Tamam'ı iki kez tıklatın ve ardından Sertifika Yetkilisi konsolunu kapatın.