Выполните следующие процедуры в центрах сертификации NAP, чтобы проверить правильность настройки этих серверов для использования с центром регистрации работоспособности и методом принудительной защиты доступа к сети IPsec. Центры сертификации защиты доступа к сети являются серверами, на которых установлены и запущены службы сертификатов Active Directory® (AD CS), эти серверы также могут выдавать сертификаты работоспособности NAP. Дополнительные сведения о службах сертификатов Active Directory см. на веб-сайте http://go.microsoft.com/fwlink/?LinkId=127816.

Минимальным требованием для выполнения этой процедуры является членство в группе Domain Admins или наличие эквивалентных прав. Дополнительные сведения об использовании подходящих учетных записей и членств в группах можно получить по адресу http://go.microsoft.com/fwlink/?LinkId=83477.

Выбор центра сертификации NAP

Центр регистрации работоспособности должен быть сопоставлен хотя бы одному центру сертификации, чтобы получать и выдавать сертификаты работоспособности NAP клиентским компьютерам, совместимым с NAP. Можно выбрать центр сертификации во время установки центра регистрации работоспособности, выбрав локальную установку центра сертификации или указав удаленный центр сертификации. Также можно добавить центры сертификации NAP позже с помощью оснастки центра регистрации работоспособности или с помощью командной строки. Необходимо использовать оснастку центра регистрации производительности, чтобы сопоставить несколько центров сертификации с центром регистрации производительности. Можно настроить центр регистрации производительности для использования центра сертификации предприятия или автономного центра сертификации. Требования к конфигурации для центра сертификации NAP различаются в зависимости от используемого типа центра сертификации. При выборе автономного центра сертификации или центра сертификации предприятия необходимо настроить параметры безопасности центра сертификации и требования к выдаче сертификатов. Рекомендуется создать такую конфигурацию, в которой центр регистрации работоспособности сопоставлен с назначенным автономным подчиненным центром сертификации. Дополнительные сведения о настройке центра регистрации работоспособности для работы с центром сертификации NAP см. в разделе Настройка центра сертификации NAP.

Выбор автономного центра сертификации

В автономном центре сертификации не используются шаблоны сертификатов. Поэтому нет необходимости настройки шаблона сертификата работоспособности при использовании автономного центра сертификации NAP. При выборе автономного центра сертификации необходимо настроить параметры безопасности центра сертификации и требования к выдаче сертификатов, чтобы центр регистрации работоспособности мог запрашивать и автоматически выдавать сертификаты работоспособности совместимым клиентским компьютерам.

Выбор центра сертификации предприятия

Центр сертификации предприятия выдает сертификаты, основываясь на шаблонах сертификатов. Модуль политики используется для предоставления списка расширений сертификатов для выданных сертификатов, например для проверки работоспособности системы для NAP. Если центр сертификации предприятия работает под управлением операционной системы Windows Server® 2008, шаблон сертификата проверки работоспособности системы доступен по умолчанию с расширениями политики приложений, подходящими для проверки подлинности в домене и проверки работоспособности. Если центр сертификации предприятия работает под управлением операционной системы Windows Server® 2003, необходимо создать и опубликовать шаблон, который содержит эти расширения политики приложений. Можно использовать следующие процедуры для проверки правильности настройки центров сертификации на автоматическую выдачу сертификатов работоспособности с правильными расширениями политики приложений.

Проверка доступности шаблона

Если сервер центра сертификации предприятия работает под управлением операционной системы Windows Server 2008, шаблон сертификата для клиентов NAP, проходящих проверку подлинности в домене, автоматически доступен под именем «Проверка работоспособности системы». Если центр сертификации предприятия работает под управлением Windows Server 2003, необходимо создать этот шаблон. Используйте следующую процедуру для проверки доступности шаблона сертификата работоспособности с правильными расширениями политики приложений или для создания этого шаблона, если он недоступен. Эта процедура не применяется в том случае, если используется автономный центр сертификации.

Чтобы проверить доступность шаблона
  1. Нажмите кнопку Пуск, щелкните пункт Выполнить, введите certtmpl.msc и нажмите клавишу ВВОД.

  2. В разделе Отображаемое имя шаблона области сведений просмотрите список шаблонов. Дважды щелкните имя шаблона сертификата работоспособности NAP. Если шаблон сертификата работоспособности NAP не отображается, выполните следующие действия:

    1. Щелкните правой кнопкой мыши Проверка подлинности рабочей станции и выберите команду Скопировать шаблон.

    2. В меню Отображаемое имя шаблона выберите команду Проверка работоспособности системы, затем откройте вкладку Расширения.

    3. В разделе Расширения, включенные в этот шаблон последовательно щелкните Политики приложений и Изменить.

    4. Нажмите кнопку Добавить, затем нажмите кнопку Создать.

    5. В разделе Новая политика применения под заголовком Имя введите Проверка работоспособности системы.

    6. Под заголовком Идентификатор объекта введите 1.3.6.1.4.1.311.47.1.1 и четыре раза нажмите кнопку ОК.

    7. Убедитесь в том, что шаблон был успешно создан.

    8. Чтобы проверить новый шаблон, дважды щелкните его имя и выполните оставшиеся шаги этой процедуры.

  3. Перейдите на вкладку Расширения.

  4. В группе Расширения, включенные в этот шаблон выберите Политики приложений.

  5. Убедитесь, что в разделе Описание политик приложений отображены Проверка работоспособности системы и Проверка подлинности клиента, затем нажмите кнопку Изменить.

  6. Нажмите кнопку Проверка работоспособности системы, затем нажмите кнопку Изменить.

  7. Убедитесь, что в разделе Изменение политики применения значение параметра Идентификатор объекта равно 1.3.6.1.4.1.311.47.1.1. Если значение идентификатора объекта политики приложений отличается, выполните указанные выше действия в этой процедуре для создания нового шаблона проверки работоспособности системы. Также следует исправить имена политик приложений, чтобы идентификатор объекта, сопоставленный с Проверка работоспособности системы был равен 1.3.6.1.4.1.311.47.1.1.

  8. Три раза нажмите кнопку Отменить, затем закройте консоль шаблонов сертификатов.

Примечание

Если этот шаблон сертификатов используется для выдачи анонимных сертификатов работоспособности, не включайте политику приложений Проверка подлинности клиента. Сертификаты, содержащие политику приложений проверки подлинности клиента, выдаются клиентам, которые проходят проверку подлинности с учетными данными домена.

Проверка доступности сертификата

В центре сертификации предприятия сертификаты должны быть доступны, прежде чем они могут быть выданы клиентским компьютерам. Используйте следующую процедуру, чтобы убедиться, что сертификат работоспособности NAP доступен для выдачи. Эта процедура не применяется в том случае, если используется автономный центр сертификации.

Чтобы проверить доступность сертификата
  1. Нажмите кнопку Пуск, щелкните пункт Выполнить, введите certsvr.msc и нажмите клавишу ВВОД.

  2. В дереве консоли разверните узел Шаблоны сертификатов.

  3. В области сведений, убедитесь, что под заголовком Имя отображен необходимый сертификат работоспособности NAP. Если сервер центра сертификации предприятия работает под управлением операционной системы Windows Server 2008, отображаемое имя шаблона сертификата работоспособности по умолчанию для клиентов NAP, подлинность которых проверяется в домене, равняется Проверка работоспособности системы.

  4. Если шаблон сертификата работоспособности был создан, но не отображается в списке, выполните следующие действия для выдачи шаблона:

    1. Щелкните правой кнопкой мыши Шаблоны сертификатов, наведите указатель мыши на Создать, а затем выберите Выдаваемый шаблон сертификата.

    2. В разделе Включение шаблонов сертификатов под заголовком Имя щелкните имя сертификата работоспособности NAP и нажмите кнопку ОК. Если шаблон не отображается в списке, значит он уже был включен, или должен быть создан перед выполнением этой процедуры.

    3. Убедитесь, что шаблон сертификата работоспособности NAP добавлен в список шаблонов.

  5. Закройте консоль центра сертификации.

Проверка разрешений регистрации сертификатов для центра регистрации работоспособности

Чтобы центр регистрации работоспособности мог получать сертификаты от центра сертификации предприятия и выдавать эти сертификаты клиентам, ему необходимо предоставить разрешение на регистрацию сертификата работоспособности. Включение разрешения на автоматическую регистрацию разрешит центру регистрации работоспособности автоматически добавлять этот сертификат в локальное хранилище сертификатов. Если допустимо только разрешение на регистрацию, необходимо вручную предоставить сертификат работоспособности на сервере HRA. Выполните следующую процедуру для проверки предоставления разрешений для центра регистрации работоспособности. Эта процедура не применяется в том случае, если используется автономный центр сертификации.

Чтобы проверить разрешения регистрации сертификатов для центра регистрации работоспособности
  1. Нажмите кнопку Пуск, щелкните пункт Выполнить, введите certtmpl.msc и нажмите клавишу ВВОД.

  2. В разделе Отображение шаблонов Имя области сведений дважды щелкните имя сертификата работоспособности NAP. Если сервер центра сертификации предприятия работает под управлением операционной системы Windows Server 2008, отображаемое имя шаблона сертификата работоспособности по умолчанию для клиентов NAP, подлинность которых проверяется в домене, - Проверка работоспособности системы.

  3. Перейдите на вкладку Безопасность.

  4. Убедитесь, что разрешения Регистрация и Автоматическая регистрация были предоставлены для DNS-имени сервера HRA или для группы, членом которой является сервер HRA. Если эти разрешения не включены, выполните следующие шаги:

    1. Нажмите кнопку Добавить, щелкните Типы объектов, установите флажок Компьютеры, затем нажмите кнопку ОК.

    2. В поле Введите имена выбираемых объектов введите DNS-имя сервера HRA, а затем нажмите кнопку ОК. Кроме того, можно ввести имя группы, членом которой является сервер HRA.

    3. Щелкните имя добавленной группы, выберите разрешения Разрешить для параметров Регистрация и Автоматическая регистрация, затем нажмите кнопку ОК.

  5. Закройте консоль шаблонов сертификатов.

Проверка параметров безопасности центра сертификации

С помощью параметров безопасности центра сертификации определяется, имеет ли центр регистрации работоспособности достаточно разрешений для выдачи сертификатов работоспособности. Выполните следующую процедуру для проверки этих разрешений в центрах сертификации NAP. Эта процедура применима как к серверам центров сертификации предприятия, так и к серверам автономных центров сертификации.

Чтобы проверить параметры безопасности сертификата
  1. Нажмите кнопку Пуск, щелкните пункт Выполнить, введите certsrv.msc и нажмите клавишу ВВОД.

  2. Щелкните правой кнопкой мыши общее имя центра сертификации, затем выберите команду Свойства.

  3. Откройте вкладку Безопасность.

  4. Если центр регистрации работоспособности и центр сертификации NAP работают на одном компьютере, убедитесь, что в списке Имена групп или пользователей есть запись Сетевая служба.

  5. Если центр регистрации работоспособности и центр сертификации NAP работают на разных компьютерах, убедитесь, что имя компьютера, являющегося сервером HRA, указано в списке Имена групп или пользователей.

  6. Щелкните имя сервера HRA или щелкните Сетевая служба, затем проверьте разрешения для действий Выдавать сертификаты и управлять ими, Управлять ЦС и Запрос сертификатов.

  7. Нажмите кнопку ОК, затем закройте оснастку центра сертификации.

Проверка требований к выдаче сертификатов

Чтобы клиентские компьютеры NAP могли получать сертификаты работоспособности сразу же после определения их совместимости с требованиями работоспособности в сети, необходимо настроить центры сертификации NAP для выдачи сертификатов работоспособности автоматически. Выполните следующую процедуру для проверки автоматической выдачи сертификатов. Эта процедура применима как к серверам центров сертификации предприятия, так и к серверам автономных центров сертификации.

Чтобы проверить требования к выдаче сертификатов
  1. Нажмите кнопку Пуск, щелкните пункт Выполнить, введите certsrv.msc и нажмите клавишу ВВОД.

  2. Щелкните правой кнопкой мыши имя центра сертификации и выберите команду Свойства.

  3. На вкладке Модуль политики нажмите кнопку Свойства.

  4. Убедитесь, что выбран параметр Следовать параметрам, установленным в шаблоне сертификата.

  5. Дважды нажмите кнопку ОК, затем закройте оснастку центра сертификации.

Дополнительные источники информации