Во время установки центра регистрации работоспособности можно настроить центр регистрации на предоставление сертификатов работоспособности только после проверки подлинности пользователей в домене или на предоставление сертификатов работоспособности анонимным пользователям. Если разрешены анонимные запросы на сертификаты работоспособности, будут созданы два веб-сайта:
- DomainHRA
В параметрах проверки подлинности в службах IIS на этом сайте включена проверка подлинности Windows. Все другие методы проверки подлинности отключены.
- NonDomainHRA
В параметрах проверки подлинности в службах IIS на этом сайте включен анонимный доступ. Все другие методы проверки подлинности отключены.
Если сертификаты работоспособности могут получать только прошедшие проверку пользователи домена, создается только веб-сайт DomainHRA.
На этих веб-сайтах размещается расширение ISAPI служб IIS, которое служит для обработки запросов HTTP/HTTPS, оценки работоспособности с помощью сервера политики сети и выдачи сертификатов работоспособности посредством центра сертификации.
|
Важно! |
|
Если разрешены анонимные запросы на сертификаты, необходимо настроить группы доверенных серверов на клиентах NAP, чтобы прошедшие проверку подлинности запросы на сертификаты получали более высокий приоритет в списке URL-адресов, чем анонимные запросы на сертификаты. Это будет препятствовать возможности получения анонимных сертификатов работоспособности клиентами, присоединенными к домену, которые прошли проверку на работоспособность. |
Сертификаты для SSL-шифрования
В службах IIS может использоваться протокол SSL для шифрования обмена данными между клиентскими компьютерами NAP. При включении SSL удаленные клиенты должны получать доступ к веб-сайту, используя URL-адрес, который начинается с https://, а на сервере служб IIS должен быть предоставлен SSL-сертификат. Ниже приведены требования к этому SSL-сертификату:
- Сертификат должен храниться в хранилище
сертификатов локального компьютера или в хранилище сертификатов
текущего пользователя.
- Текущее системное время должно быть между
значениями свойств сертификата Действителен с и
Действителен по.
- Сертификат должен предназначаться для
проверки подлинности сервера. Вследствие этого требуется, чтобы
свойство расширенного использования ключа для сертификата равнялось
Проверка подлинности сервера (1.3.6.1.5.5.7.3.1).
При импорте существующего сертификата для использования с SSL-шифрованием во время установки службы роли центра регистрации работоспособности, он автоматически добавляется в хранилище сертификатов локального компьютера. Также можно создать сертификат с собственной подписью или установить сертификат для SSL-шифрования позже.