NAP IPSEC配置与管理详解
les/uploadimg/20100603/1529183.png" width="540" border="0" />
切换至“扩展”选项卡,定位于“应用程序策略”,并点击“编辑”按钮,再单击“添加”按钮,找到system Health Authentication,其值为1.3.6.1.4.1.311.47.1.1 (有二个System Health Authentication,通常是下面一个);再切换至“安全”选项卡,给全局组IPSEC NAP Exemption“读取、注册、自动注册”权限,这样,全局组IPSEC NAP Exemption中的成员就不管其健康状态是什么,都能够自动获取此证书。关掉证书模板对话框。为了具有权限的用户能够申请此证书必须把它发布出来:在“证书颁发机构”右击“证书模板”,新建要颁发的证书模板System Health Authentication。如下图所示: 498)this.width=498;'' onmousewheel = ''javascript:return big(this)'' alt="" src="http://images.51cto.com/files/uploadimg/20100603/1529184.png" width="540" border="0" /> 498)this.width=498;'' onmousewheel = ''javascript:return big(this)'' alt="" src="http://images.51cto.com/files/uploadimg/20100603/1529185.png" width="540" border="0" /> 3、配置默认域策略,允许自动颁发证书。组策略管理默认域策略计算机配置Windows设置安全设置选中“公钥策略”右边详细窗格中,选择“证书服务客户端――自动注册”启用,并选中下面两个复选框;在计算机NYC-SRV-01上面使用命令gpupdate /force强制刷新组策略,打开MMC,并选择“证书”,选择“计算机”,在证书下面验证已经成功获得上面的的证书。 498)this.width=498;'' onmousewheel = ''javascript:return big(this)'' alt="" src="http://images.51cto.com/files/uploadimg/20100603/1529186.png" width="540" border="0" /> 4、在NYC-SRV-01服务器上安装角色“Network Policy Server”,并添加角色服务“Health Registration Authority”,打开Health Registration Authority”控制台右键选中“Certificate Authority”添加证书颁发机构选择前面安装的CA证书;选择Certificate Authority”的属性确保在此选择的CA类型与前面的相同,因为前面安装的是企业CA,所以在此也选择企业CA,并指定经过身份验证的与匿名都使用“System Health Authentication”证书模板,如下面图所示: 498)this.width=498;'' onmousewheel = ''javascript:return big(this)'' alt="" src="http://images.51cto.com/files/uploadimg/20100603/1529187.png" width="540" border="0" /> 因为HRA必须要为符合健康策略的计算机颁发证书,所以HRA必须有“请求、发布与管理证书”的权限,同时如果HRA颁发的健康证书过期了HRA必须要从对应计算机的证书存储中删除证书,所以HRA还必须有“管理CA”的权限。如果HRA与CA在不同的计算机,则必须在CA的属性“安全”选项卡,给HRA这台计算机帐户赋予以上的权限,如果HRA与CA在同一台计算机,则只需要给“Network Service”赋予以上的权限,因为在此例当中,我们把HRA与CA安装在不同的计算机上,所以在此,赋予计算机帐户NYC-SRV-01以上的权限,如下图所示: 498)this.width=498;'' onmousewheel = ''javascript:return big(this)'' alt="" src="http://images.51cto.com/files/uploadimg/20100603/1529188.png" width="540" border="0" /> 5、打开“网络策略服务 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |