[an error occurred while processing this directive] Настройка центра сертификации NAP

[an error occurred while processing this directive]

В центре регистрации работоспособности (HRA) необходимо настроить хотя бы один центр сертификации, из которого будут получаться сертификаты от лица клиентских компьютеров. Сертификаты будут запрашиваться при подключении новых клиентов к сети или при окончании срока действия сертификата работоспособности на совместимом клиентском компьютере. Сертификаты могут быть удалены и выданы клиентским компьютерам повторно, если состояние работоспособности клиентских компьютеров изменилось за время подключения к сети. Центр регистрации работоспособности будет запрашивать сертификаты работоспособности из центра сертификации, указанного в списке первым, если только этот центр не будет недоступным или не отвечающим на запросы.

Настройка центров сертификации

Выполните эту процедуру для настройки центров сертификации в центре регистрации работоспособности. Центры сертификации могут быть добавлены или удалены, а их порядок может быть изменен. Также можно указать время ожидания в минутах между запросами, перед тем как определить центр сертификации как недоступный. При использовании центра сертификации предприятия, можно выбрать анонимные шаблоны сертификатов и шаблоны, подлинность которых проверяется. При использовании автономного центра сертификации с управлением доступом к сети можно разрешить расширенные сведения о состояния клиента путем включения идентификаторов объектов политики.

Минимальным требованием для выполнения этой процедуры является членство в группе Domain Admins или наличие эквивалентных прав. Дополнительные сведения об использовании подходящих учетных записей и членств в группах можно получить по адресу http://go.microsoft.com/fwlink/?LinkId=83477.

Добавление нового центра сертификации

Наилучшей производительности можно достичь, используя назначенный автономный подчиненный центр сертификации для выдачи сертификатов работоспособности. Отказоустойчивость обеспечивается при настройке более одного центра сертификации в оснастке центра регистрации работоспособности. Распределения нагрузки можно достичь, настроив дополнительные центры регистрации работоспособности с другим порядком обработки центров сертификации. Можно использовать следующую процедуру для настройки использования центров сертификации совместно с центром регистрации работоспособности.

Чтобы добавить новый центр сертификации с помощью средств интерфейса Windows
  1. Откройте консоль центра регистрации работоспособности.

  2. В дереве консоли щелкните правой кнопкой Центр сертификации и выберите Добавление центра сертификации. Откроется диалоговое окно Добавление центра сертификации,

  3. Нажмите кнопку Обзор. Откроется диалоговое окно Выбор центра сертификации,

  4. В разделе ЦС щелкните имя центра сертификации, который будет использоваться для выдачи сертификатов работоспособности NAP, затем дважды нажмите кнопку ОК.

  5. В дереве консоли HRA щелкните узел Центр сертификации и проверьте имена и порядок настроенных центров сертификации.

    Примечание

    Невозможно получить доступ к центру сертификации из среды рабочих групп.

Настройка времени ожидания центра сертификации

Центр регистрации работоспособности будет пытаться получить сертификаты работоспособности центра сертификации, настроенного первым в порядке обработки, если только он не был помечен как недоступный. Можно использовать следующую процедуру для изменения времени ожидания в минутах, перед тем как пометить этот центр сертификации как недоступный.

Чтобы настроить время ожидания центра сертификации с помощью интерфейса Windows
  1. Откройте консоль центра регистрации работоспособности.

  2. В дереве консоли щелкните правой кнопкой Центр сертификации и выберите Свойства. Откроется диалоговое окно Свойства: Центры сертификации ,

  3. Введите количество минут ожидания между запросами, перед тем как центр сертификации будет отмечен как недоступный, затем нажмите кнопку ОК.

Настройка срока действия сертификата работоспособности

Срок действия сертификатов работоспособности по умолчанию равняется 4 часам. Клиенты будут пытаться обновить сертификат работоспособности за 15 минут до истечения срока действия или при изменении своего состояния работоспособности. Можно использовать следующую процедуру для настройки пользовательского срока действия сертификатов работоспособности.

Чтобы настроить срок действия сертификатов работоспособности, утвержденных центром регистрации работоспособности, с помощью интерфейса Windows
  1. Откройте консоль центра регистрации работоспособности.

  2. В дереве консоли щелкните правой кнопкой центр сертификации и выберите Свойства. Откроется диалоговое окно Свойства: центры сертификации.

  3. В раскрывающемся списке выберите единицы времени. Можно выбрать минут, часов, дней или недель.

  4. После выбора единиц измерения времени введите необходимое количество и нажмите кнопку ОК.

  5. При использовании центра сертификации предприятия необходимо выполнить следующие действия, чтобы принудительно изменить срок действия, настроенный в шаблонах сертификатов.

    1. Нажмите кнопку Пуск, щелкните правой кнопкой мыши Командная строка, а затем выберите От имени администратора.

    2. В окне командной строки введите Certutil.exe -setreg policy\EditFlags +EDITF_ATTRIBUTEENDDATE, затем нажмите клавишу ВВОД.

    3. В окне командной строки введите net stop certsvc && net start certsvc затем нажмите клавишу ВВОД.

    4. Убедитесь, что службы сертификатов Active Directory® были успешно остановлены и запущены.

Важно!

Максимальный срок действия сертификата работоспособности определяется по сроку действия центра сертификации, который по умолчанию равен 52 неделям. Будьте осторожны, задавая срок действия сертификата менее 1 часа, из-за возможных вопросов, связанных с производительностью сервера центра сертификации. Не используйте срок действия менее 15 минут.

Выбор типа центра сертификации

Используйте следующую процедуру для настройки типа центра сертификации NAP. Важно выбрать тип центра сертификации, который соответствовал бы центру сертификации, настроенному во время выполнения предыдущей процедуры. При использовании центра сертификации предприятия необходимо настроить шаблоны перед выполнением этой процедуры.

Чтобы выбрать тип центра сертификации с помощью интерфейса Windows
  1. Откройте консоль центра регистрации работоспособности.

  2. В дереве консоли щелкните правой кнопкой центр сертификации и выберите Свойства. Откроется диалоговое окно Свойства: центры сертификации.

  3. При использовании автономного центра сертификации выберите параметр Использовать автономный центр сертификации.

  4. Не устанавливайте флажок рядом с параметром Включить коды объектов (OID) политики, если только не используются расширенные сведения о состоянии клиента для управления доступом к сети.

  5. При использовании центра сертификата, интегрированного в службы каталогов Active Directory, или при одновременном использовании автономного центра сертификации и центра сертификации предприятия, выберите параметр Использовать центр сертификации предприятия, затем в раскрывающемся списке доступных шаблонов выберите шаблоны Шаблон сертификата для доступа с проверкой подлинности и Шаблон сертификата для анонимного доступа. Если при установке центра регистрации работоспособности не были выбраны анонимные запросы сертификатов работоспособности, то настройка анонимных шаблонов в этой процедуре не приведет к разрешению использования анонимных запросов на сертификаты.

Настройка порядка центров сертификации и удаление центров сертификации

Используйте следующую процедуру для изменения приоритета использования центром регистрации центров сертификации или для удаления центров сертификации из конфигурации центра регистрации работоспособности. Центр регистрации работоспособности будет запрашивать сертификаты только от первого центра сертификации в списке, если только этот центр сертификации не был помечен как недоступный.

Чтобы настроить порядок центров сертификации или удалить центры сертификации с помощью интерфейса Windows
  1. Откройте консоль центра регистрации работоспособности.

  2. В дереве консоли разверните узел Центры сертификации.

  3. Правой кнопкой мыши щелкните имя центра сертификации в списке серверов. Нажмите кнопку Вверх, чтобы повысить уровень предпочтения для этого сервера. Нажмите кнопку Вниз, чтобы понизить уровень предпочтения для этого сервера.

  4. Чтобы удалить центр сертификации из списка, щелкните его имя правой кнопкой мыши, затем выберите команду Удалить.

Дополнительные источники информации


[an error occurred while processing this directive]