Autorita pro registraci stavu (HRA) poskytuje platformě NAP (Network Access Protection) službu, která se běžně označuje jako registrační autorita v infrastruktuře veřejných klíčů X.509 (PKI). Autorita HRA je jakožto registrační autorita zodpovědná za ověřování pověření klientů a za následné předávání žádostí o certifikáty jménem klientů na certifikační autoritu (CA). Autorita HRA ověřuje žádosti o certifikáty tak, že pomocí serveru NPS (Network Policy Server) zjišťuje, zda klient NAP splňuje požadavky na stav sítě. Pokud autorita HRA zjistí, že klient požadavky splňuje, vyžádá si od certifikační autority (CA) zvláštní typ certifikátu, který se nazývá certifikát stavu. Certifikát stavu používají klientské počítače NAP ke komunikaci v síti chráněné protokolem IPsec. Autorita HRA takto funguje jako server vynucení NAP pro metodu vynucení protokolu IPsec (Internet Protocol security).

Důležité pojmy

Chcete-li porozumět roli autority HRA při nasazení architektury NAP, seznamte se s následujícími pojmy:

  • Certifikáty stavu

    Jsou to certifikáty X.509 vystavené klientským počítačům NAP. Slouží k ověření toho, zda tyto počítače splňují požadavky na stav sítě. Klientský počítač NAP získá certifikát stavu tak, že autoritě HRA poskytne deklaraci svého stavu, která se nazývá prohlášení o stavu (SoH). Klient NAP bude trvale sledovat stav počítače, a pokud přestane počítač splňovat požadavky, odstraní klient certifikát stavu. Certifikáty stavu mohou sloužit k ověřování klientů NAP při zahajování komunikace chráněné pomocí protokolu IPsec s dalšími klienty NAP v intranetu. Vynucení protokolu IPsec architektury NAP omezí komunikaci na klienty NAP používající protokol IPsec tím, že budou zahozeny příchozí pokusy o komunikaci odesílané z počítačů, které nemají certifikáty stavu.

  • Certifikační autority NAP

    Jsou to servery provozující službu AD CS (Active Directory® Certificate Services), které jsou hostiteli certifikátů X.509 a vydávají tyto certifikáty klientům NAP, u kterých je zjištěno, že splňují požadavky na stav sítě. Je nutné určit alespoň jednu certifikační autoritu (CA), která bude vystavovat certifikáty stavu NAP. Další informace naleznete v tématech Konfigurace certifikační autority NAP a Ověření konfigurace certifikační autority.

  • Zásady požadavku autority pro registraci stavu (HRA)

    Jsou to nastavení, která určují, jak je dovoleno klientům komunikovat s autoritou HRA při požadování certifikátů stavu. Zásady požadavku autority pro registraci stavu je možné přizpůsobit úpravou nastavení kryptografických a přenosových zásad. Nastavení zásad požadavku autority HRA není třeba měnit. Doporučuje se použít výchozí nastavení. Rozhodnete-li se toto nastavení změnit, je důležité nakonfigurovat totožné nastavení na serverech HRA i v klientských počítačích NAP. Další informace naleznete v tématech Principy zásad požadavku autority pro registraci stavu (HRA), Konfigurace kryptografických zásad autority pro registraci stavu (HRA) a Konfigurace přenosových zásad autority pro registraci stavu (HRA).

  • Internetová informační služba (IIS)

    Je to sada internetových služeb, která se nainstaluje automaticky při instalaci autority pro registraci stavu (HRA). Služba IIS poskytuje rozhraní protokolu HTTP/HTTPS klientům NAP, aby mohli kontaktovat server HRA a žádat o certifikáty stavu. Zpracovává tyto požadavky pomocí rozšíření ISAPI (Internet Server Application Programming Interface), které může být poskytnuto anonymním serverům nebo omezeno na uživatele, kteří získali ověření pro danou doménu. Další informace naleznete v tématech Principy požadavků autority pro registraci stavu (HRA) na ověřování a Ověření konfigurace služby IIS.

  • Server NPS (Network Policy Server)

    Je to implementace serveru RADIUS (Remote Authentication Dial-In User Service) a serveru proxy společností Microsoft. Pokud na serveru služba NPS dosud neběží, nainstaluje se automaticky při instalaci autority HRA. Službu NPS na serveru HRA je možné nakonfigurovat jako server zásad stavu NAP nebo jako proxy server NPS. Pokud nakonfigurujete službu NPS jako server zásad stavu NAP, musíte nakonfigurovat také následující zásady a nastavení NAP:

    • Zásady požadavku na připojení: Sady podmínek a nastavení, které slouží k ověřování požadavků na přístup k síti a určují, kde bude ověřování probíhat.

    • Síťové zásady: Sady podmínek, omezení a nastavení, které umožňují určit, kdo se smí připojit k síti.

    • Zásady stavu: Požadavky na stav systému, které definují, jaké validátory stavu systému (SHV) se mají používat k ověřování konfigurace počítačů pokoušejících se o připojení k síti.

    • Validátory stavu systému (SHV): Software serveru zásad stavu architektury NAP, který je protějškem agenta stavu systému (SHA). Validátory stavu systému definují požadavky na konfiguraci počítačů, které se pokoušejí připojit k síti.

Pokud nakonfigurujete server NPS jako proxy server RADIUS, musíte ověřit síťové připojení ke skupinám vzdálených serverů RADIUS a ověřit, zda jsou tyto servery nakonfigurovány jako servery zásad stavu NAP. Další informace naleznete v tématu Ověření konfigurace serveru NPS.

Další informace