L’autorité HRA (Health Registration Authority) fournit un service pour la plateforme de protection NAP (Network Access Protection) qui est généralement appelé autorité d’inscription dans une infrastructure à clé publique (PKI) X.509. En tant qu’autorité d’inscription, l’autorité HRA est responsable de la validation des informations d’identification du client, puis du transfert d’une demande de certificat à une autorité de certification de la part du client. L’autorité HRA valide les demandes de certificat en effectuant une vérification avec un serveur NPS (Network Policy Server) pour déterminer si le client NAP est conforme par rapport aux spécifications d’intégrité requises par le réseau. Si le client est conforme, l’autorité HRA demande un type spécial de certificat auprès de l’autorité de certification, appelé certificat d’intégrité. Le certificat d’intégrité est utilisé par des ordinateurs clients NAP pour communiquer sur un réseau protégé par IPsec. À ce titre, l’autorité HRA fonctionne comme un serveur de contrainte de mise en conformité NAP pour la méthode de contrainte IPsec (Internet Protocol security) NAP.
Concepts importants
Pour comprendre le rôle de l’autorité HRA dans un déploiement NAP, consultez les concepts suivants.
-
Certificats d’intégrité
Certificats X.509 émis vers des ordinateurs clients NAP utilisés pour fournir une preuve de leur conformité avec les spécifications d’intégrité du réseau. L’ordinateur client NAP obtient un certificat d’intégrité en fournissant une déclaration de son état d’intégrité, appelé déclaration d’intégrité, à l’autorité HRA. Le client NAP surveille ensuite continuellement l’état de son intégrité et supprime le certificat d’intégrité s’il n’est plus conforme. Les certificats d’intégrité peuvent servir à authentifier des clients NAP lorsqu’ils démarrent des communications protégées par IPsec avec d’autres clients NAP sur un réseau intranet. L’application IPsec NAP limite la communication pour les clients NAP IPsec en supprimant les tentatives de communications entrantes envoyées d’ordinateurs qui ne disposent pas de certificats d’intégrité.
-
Autorités de certification NAP
Serveurs exécutant les services de certificats Active Directory® qui hébergent des certificats X.509 et les émettent auprès de clients NAP, une fois leur conformité avec les spécifications d’intégrité requises par le réseau établie. Vous devez spécifier une ou plusieurs autorités de certification destinées à émettre des certificats d’intégrité NAP. Pour plus d’informations, voir Configurer une autorité de certification NAP et Vérifier la configuration de l’autorité de certification.
-
Stratégie de demande HRA
Paramètres qui déterminent la manière selon laquelle les clients sont autorisés à communiquer avec une autorité HRA lors de la demande de certificats d’intégrité. Vous pouvez personnaliser la stratégie de demande HRA en personnalisant des paramètres de stratégie de chiffrement et de stratégie de transport. Il n’est pas nécessaire de modifier les paramètres de stratégie de demande HRA. Les paramètres par défaut sont recommandés. Si vous choisissez de modifier ces paramètres, il est important de configurer des paramètres identiques sur les serveurs HRA et les ordinateurs clients NAP. Pour plus d’informations, voir Présentation de la stratégie de demande HRA et Configurer la stratégie de chiffrement HRA et Configurer la stratégie de transport HRA.
-
Services Internet (IIS)
Ensemble de services Internet installés automatiquement avec l’autorité HRA. Le service IIS fournit une interface HTTP/HTTPS pour les clients NAP afin de contacter le serveur HRA et de demander des certificats d’intégrité. Il traite ces demandes à l’aide d’une extension ISAPI (Internet Server Application Programming Interface) pouvant être fournie aux utilisateurs anonymes ou à ceux disposant d’un accès restreint et qui ont été authentifiés sur le domaine. Pour plus d’informations, voir Présentation des conditions d’authentification requises de l’autorité HRA et Vérifier la configuration des services Internet (IIS).
-
Serveur NPS (Network Policy Server)
Implémentation Microsoft d’un serveur et d’un proxy RADIUS (Remote Authentication Dial-In User Service). Si votre serveur n’exécute pas déjà NPS, il est automatiquement installé lors de l’installation de l’autorité HRA. Vous pouvez configurer NPS sur votre serveur HRA en tant que proxy NPS ou serveur de stratégie de contrôle d’intégrité NAP. Lorsque vous configurez NPS en tant que serveur de stratégie de contrôle d’intégrité NAP, vous devez aussi configurer les stratégies et les paramètres NAP, dont notamment :
-
Stratégies de demande de connexion : Ensembles de conditions et de paramètres qui valident des demandes pour un accès réseau et spécifient si cette validation est effectuée.
-
Stratégies réseau : Ensembles de conditions, contraintes et paramètres qui vous permettent de désigner ceux qui peuvent se connecter au réseau.
-
Stratégies d’intégrité : Conditions requises d’intégrité du système qui définissent les programmes de validation d’intégrité système (SHV) utilisés dans la validation de la configuration d’ordinateurs qui tentent de se connecter à votre réseau.
-
Programmes de validation d’intégrité système (SHV) : Contrepartie de logiciel de serveur de stratégie de contrôle d’intégrité NAP d’un agent d’intégrité système (SHA). Les programmes de validation d’intégrité système (SHV) définissent des conditions de configuration requises pour les ordinateurs qui tentent de se connecter à votre réseau.
-
Stratégies de demande de connexion : Ensembles de conditions et de paramètres qui valident des demandes pour un accès réseau et spécifient si cette validation est effectuée.
Lorsque vous configurez NPS en tant que proxy RADIUS, vous devez vérifier la connectivité du réseau aux groupes de serveurs RADIUS distants et valider leur configuration en tant que serveurs de stratégie de contrôle d’intégrité NAP. Pour plus d’informations, voir Vérifier la configuration du serveur NPS.