Met de HRA-module (Health Registration Authority, statusregistratieautoriteit) geeft u de beveiligingsmechanismen op waarmee de HRA-server communiceert met clientcomputer. Deze instellingen worden de instellingen voor aanvraagbeleid genoemd. Hiermee bepaalt u de algoritme voor asymmetrische sleutels, de hash-algoritme en de cryprografieprovider waarmee communicatie met clientcomputers op de HRA-server wordt versleuteld. Als u instellingen voor aanvraagbeleid configureert met behulp van de HRA-module, gebruikt de HRA-server alleen die beveiligingsmechanismen om met clientcomputers te communiceren.

Belangrijk

U hoeft geen instellingen voor aanvraagbeleid te configureren op uw HRA-server. Standaard wordt vanaf de NAP-client een onderhandelingsproces met de HRA-server gestart met een wederzijds geaccepteerd beveiligingsmechanisme voor het versleutelen van communicatie. Wijzig de instellingen voor aanvraagbeleid alleen als u deze instellingen grondig hebt getest in een veilige testomgeving.

Als u instellingen voor aanvraagbeleid configureert op uw HRA-server, moet u exact dezelfde instellingen voor aanvraagbeleid configureren op de clientcomputers. Als op de HRA-servers niet exact dezelfde instellingen voor de algoritme voor asymmetrische sleutels, de hash-algoritme en de cryprografieprovider worden gebruikt als op de clientcomputers, is geen communicatie mogelijk tussen de HRA-servers en de clientcomputers. De status van de clientcomputers wordt dan mogelijk als onbetrouwbaar beschouwd, hetgeen de netwerktoegang kan beperken.

Cryptografiebeleid

U kunt instellingen voor aanvraagbeleid op uw HRA-server configureren door aangepast cryptografiebeleid op te geven. Met instellingen voor cryptografiebeleid kunt u algoritmen voor asymmetrische sleutels, hash-algoritmen en cryprografieproviders opgeven. Zie Cryptografiebeleid voor HRA configureren voor meer informatie.

Algoritmen voor asymmetrische sleutels

Algoritmen voor asymmetrische sleutels worden ook wel algoritmen voor openbare sleutels genoemd. Er worden asymmetrische algoritmen gebruikt om de assymetrische sleutels te genereren die aan aanvragen voor clientstatuscertificaten zijn gekoppeld. Volgens de standaardinstellingen wordt elke beschikbare algoritme geaccepteerd in de communicatie tussen de HRA-server en clientcomputers. U kunt de HRA-module gebruiken om op te geven welke algoritmen in de lijst zijn toegestaan, en u kunt de minimale en maximale sleutellengte voor deze algoritmen wijzigen.

Algoritmen voor hash-sleutels

Hash-algoritmen worden ook wel integriteitsalgoritmen of hash-functies genoemd. Hash-algoritmen zijn ontworpen om éénrichtingsbewerkingen uit te voeren op gegevens. Hiermee wordt een unieke uitvoerwaarde gegenereerd die kan worden gebruikt voor verificatie maar die niet kan worden gebruikt om de oorspronkelijke gegevens opnieuw te maken. Volgens de standaardinstellingen wordt elke hash-algoritme geaccepteerd. U kunt de HRA-module gebruiken om op te geven welke algoritmen in de lijst zijn toegestaan.

Cryptografieproviders

Cryptografieproviders zijn hardware- en softwareonderdelen van Windows-besturingssystemen die algemene cryptografiefuncties bieden. Elke cryptografieprovider die voor gebruik door HRA is geconfigureerd, kan verschillende algoritmen, indelingen en sleutels voor versleuteling en ontsleuteling ondersteunen. Volgens de standaardinstellingen wordt elke cryptografieprovider geaccepteerd. U kunt de HRA-module gebruiken om op te geven welke cryptografieproviders in de lijst worden gebruikt.

Transportbeleid

U kunt instellingen voor aanvraagbeleid op uw HRA-server configureren door aangepast transportbeleid op te geven. Met instellingen voor transportbeleid kunt u gebruikersagenten voor HTTP-clients opgeven. Zie Transportbeleid voor HRA configureren voor meer informatie.

Gebruikersagenten voor HTTP-clients

Gebruikersagenten voor HTTP-clients zijn tekenreeksen waarmee de identiteit kan worden opgegeven van HTTP/HTTPS-clienttoepassingen die worden gebruikt om statuscertificaten bij HRA aan te vragen. Standaard wordt elke agent toegestaan. U kunt de HRA-module gebruiken om de toegestane gebruikersagenten op te geven.

Aanvullende naslaginformatie