至少必須以一個憑證授權單位 (CA) 設定健康情況的憑證授權單位 (HRA),才能代替用戶端電腦從其中要求健康情況憑證。當新的用戶端連線到網路,或相容用戶端電腦上的健康情況憑證有效期間將要過期時,會要求憑證。如果用戶端電腦在連線到網路時健康狀態變更,也會移除或重新發給憑證。HRA 只會向設定為順序中的第一個 CA 要求健康情況憑證,除非該伺服器無法使用或被認定沒有回應。

設定 CA

使用此程序可設定 HRA 中的 CA。可以新增或刪除 CA,也可以修改它們的順序。您也可以指定在將 CA 認定為無法使用之前,要求等待的分鐘數。如果您使用企業 CA,可以選取使用已驗證和匿名的憑證範本。如果您將獨立 CA 與網路存取控制搭配使用,則可以啟用原則 OID 以啟用用戶端擴充狀態資訊。

若要完成此程序,至少需要 Domain Admins 的成員資格或同等權限。請至下列網頁檢視關於使用適當帳戶和群組成員資格的詳細資料:https://go.microsoft.com/fwlink/?LinkId=83477 (可能為英文網頁)

新增 CA

為了取得最佳的效能,應該使用專屬的獨立次級 CA 發行健康情況憑證。當您在 HRA 嵌入式管理單元中設定一個以上的 CA 時,會提供容錯。以不同的 CA 處理順序設定額外的 HRA,可達成負載平衡。您可以使用下列程序設定與 HRA 搭配使用的 CA。

使用 Windows 介面新增憑證授權單位

  1. 開啟 HRA 主控台。

  2. 在主控台樹狀目錄的 [憑證授權單位] 上按一下滑鼠右鍵,然後按 [新增憑證授權單位]。此時會開啟 [新增憑證授權單位] 對話方塊。

  3. 按一下 [瀏覽]。此時會開啟 [選取憑證授權單位] 對話方塊。

  4. [CA] 之下,按一下要用來發行 NAP 健康情況憑證的 CA 名稱,然後連按兩下 [確定]

  5. 在 HRA 主控台樹狀目錄中,按一下 [憑證授權單位],然後確認設定的 CA 名稱與順序。

    附註

    您無法從工作群組環境瀏覽到 CA。

設定 CA 等待時間

HRA 只會從設定為處理順序中的第一個 CA 嘗試取得健康情況憑證,除非該 CA 已被標示為無法使用。您可以使用下列程序,變更在將 CA 認定為無法使用之前等待的分鐘數。

使用 Windows 介面設定憑證授權單位等待時間

  1. 開啟 HRA 主控台。

  2. 在主控台樹狀目錄中,於 [憑證授權單位] 上按一下滑鼠右鍵,然後按一下 [內容]。此時會開啟 [憑證授權單位內容] 對話方塊。

  3. 輸入在將 CA 認定為無法使用之前,要求等待的分鐘數,然後按一下 [確定]

設定健康情況憑證的有效期間

健康情況憑證的預設有效期間為 4 小時。用戶端會在到期前 15 分鐘或用戶端健康狀態發生變更時,嘗試更新健康情況憑證。您可以使用下列程序設定與健康情況憑證的自訂有效期間。

使用 Windows 介面設定 HRA 核准的健康情況憑證有效期間

  1. 開啟 HRA 主控台。

  2. 在主控台樹狀目錄中,於 [憑證授權單位] 上按一下滑鼠右鍵,然後按一下 [內容]。此時會開啟 [憑證授權單位內容] 對話方塊。

  3. 使用下拉式清單選取時間單位。您可以選取 [分鐘][小時][天][週]

  4. 選擇時間單位之後,輸入所需的單位數,然後按一下 [確定]

  5. 如果您使用企業 CA,必須執行下列步驟才能覆寫憑證範本中設定的有效期間。

    1. 按一下 [開始],以滑鼠右鍵按一下 [命令提示字元],然後按一下 [以系統管理員身分執行]

    2. 在命令視窗中,輸入 Certutil.exe -setreg policy\EditFlags +EDITF_ATTRIBUTEENDDATE,然後按 ENTER 鍵。

    3. 在命令視窗中,輸入 net stop certsvc && net start certsvc,然後按 ENTER 鍵。

    4. 確認 Active Directory® 憑證服務 (AD CS) 成功地停止和啟動。
重要

最大的健康情況憑證有效期間是由 CA 有效期間所決定,預設值為 52 週。將有效期間設定為少於 1 小時請特別注意,因為 CA 伺服器會有潛在的效能問題。請勿使用小於或等於 15 分鐘的有效期間。

選擇 CA 類型

使用下列程序可設定 NAP 憑證授權單位類型。務必選擇對應於先前程序中設定的 CA 的 CA 類型。如果您使用企業 CA,則必須在執行此程序之前先設定範本。

使用 Windows 介面選擇憑證授權單位類型

  1. 開啟 HRA 主控台。

  2. 在主控台樹狀目錄中,於 [憑證授權單位] 上按一下滑鼠右鍵,然後按一下 [內容]。此時會開啟 [憑證授權單位內容] 對話方塊。

  3. 如果您使用獨立 CA,請選擇 [使用獨立憑證授權單位]

  4. 請勿選取 [啟用 PolicyOID] 旁的核取方塊,除非您使用網路存取控制的用戶端擴充狀態資訊。

  5. 如果您使用 Active Directory 整合的企業 CA,或者同時使用企業和獨立 CA,請選擇 [使用企業憑證授權單位],然後使用下拉式清單,從可用的範本清單選取 [驗證的相容憑證範本][匿名的相容憑證範本]。如果您在 HRA 安裝期間沒有選擇允許健康情況憑證的匿名要求,則在此程序中設定匿名範本將不會啟用匿名憑證要求。

設定順序或刪除 CA

使用下列程序可修改 HRA 使用的 CA 的優先順序,或從 HRA 設定移除 CA。HRA 只會向清單中設定的第一個 CA 要求健康情況憑證,除非該 CA 標示為無法使用。

使用 Windows 介面設定順序或刪除憑證授權單位

  1. 開啟 HRA 主控台。

  2. 在主控台樹狀目錄中,按一下 [憑證授權單位]

  3. 在伺服器清單中的 CA 名稱上按一下滑鼠右鍵。按一下 [上移],提高此伺服器的喜好順序。或者,按一下 [下移],降低此伺服器的喜好順序。

  4. 若要從清單刪除 CA,請在 CA 名稱上按一下滑鼠右鍵,然後按一下 [刪除]

其他參考資料

目錄