在健康情況登錄授權 (HRA) 安裝期間,您可以選擇設定 HRA 僅在使用者經過網域的驗證才提供健康情況憑證,或是選擇性地提供健康情況憑證給匿名使用者。如果您選擇允許健康情況憑證的匿名要求,會建立兩個網站:
-
DomainHRA
此網站上的網際網路資訊服務 (IIS) 驗證設定會啟用 Windows 驗證。其他所有驗證方法都會停用。
-
NonDomainHRA
此網站上的 IIS 驗證設定會啟用匿名驗證。其他所有驗證方法都會停用。
如果您選擇只有經過驗證的網域成員才能被授與接收健康情況憑證的能力,則只會建立 DomainHRA 網站。
這些網站管理 IIS 網際網路伺服器應用程式發展介面 (ISAPI) 延伸,此延伸可處理 HTTP/HTTPS 要求、使用網路原則伺服器 (NPS) 評估健康情況,以及使用憑證授權單位 (CA) 發行健康情況憑證。
 | 重要 |
|
如果允許匿名憑證要求,您應該在 NAP 用戶端上設定信任的伺服器群組,讓已驗證的憑證要求在 URL 的排序清單中,比匿名憑證要求有更高的優先權。這將有助於確保不會將匿名健康情況憑證發給通過健康情況檢查的網域成員。 |
SSL 加密的憑證
IIS 可以使用安全通訊端層 (SSL) 加密與 NAP 用戶端電腦的通訊。如果啟用 SSL,遠端用戶端必須使用以 https:// 開頭的 URL 存取您的網站,而您的 IIS 伺服器必須以 SSL 憑證提供。此 SSL 憑證的需求如下:
-
憑證必須位於本機電腦憑證存放區或目前使用者的憑證存放區中。
-
目前的系統時間必須晚於憑證的 [有效期自] 屬性,且早於憑證的 [有效期到] 屬性。
-
憑證必須指定給伺服器驗證使用。這需要憑證的增強金鑰使用方法屬性指定 [伺服器驗證] (1.3.6.1.5.5.7.3.1)。
如果您在 HRA 角色服務安裝期間匯入現有的憑證用於 SSL 加密,會自動將它加入本機電腦憑證存放區中。您也可以建立自我簽署的憑證,或稍後安裝 SSL 加密的憑證。