A Autoridade de Registo de Estado de Funcionamento (HRA) fornece um serviço para a plataforma Protecção de Acesso à Rede (NAP) normalmente denominada como autoridade de registo numa infra-estrutura de chave pública X.509 (PKI). Sendo uma autoridade de registo, a HRA é responsável por validar as credenciais do cliente e, em seguida, por reencaminhar um pedido de certificado à autoridade de certificação (AC) em nome do cliente . A HRA valida os pedidos de certificado consultando o Servidor de Políticas de Rede (NPS) para determinar se o cliente NAP está em conformidade com os requisitos de estado de funcionamento de rede. Se o cliente não estiver em conformidade, a HRA requer um certificado especial da AC denominado certificado de estado de funcionamento. O certificado de estado de funcionamento é utilizado pelos computadores de cliente NAP para comunicar na rede protegida por IPSec . Nesta função, a HRA funciona como um servidor de imposição de NAP para o método de imposição IPSec de NAP.
Conceitos importantes
Para compreender a função da HRA numa implementação NAP, reveja os conceitos seguintes.
-
Certificados de estado de funcionamento
Os certificados X.509 emitidos a computadores cliente NAP são utilizados para fornecer prova de conformidade aos requisitos de estado de funcionamento de rede. O computador cliente NAP obtém um certificado de estado de funcionamento fornecendo uma declaração do respectivo estado de funcionamento, denominada declaração de estado de funcionamento (SoH), à HRA. O cliente NAP irá monitorizar continuamente o respectivo estado de funcionamento e eliminar o certificado de estado de funcionamento caso se altere para não compatível. Os certificados de estado de funcionamento podem ser utilizados para autenticar clientes NAP quando iniciam comunicações protegidas por IPSec com outros clientes NAP numa intranet. O IPSec de NAP limita a comunicação a clientes NAP protegidos por IPSec descartando as tentativas de comunicação recebidas que são enviadas dos computadores que não possuem certificados de estado de funcionamento.
-
Autoridades de certificação NAP
Os servidores a executar os Serviços de Certificados do Active Directory® (AD CS) que hospedam os certificados X.509 e os emitem aos clientes NAP quando estão em conformidade com os requisitos de estado de funcionamento de rede. Tem de especificar uma ou mais ACs que irão emitir certificados de estado de funcionamento NAP. Para mais informações, consulte Configurar a Autoridade de Certificação NAP e Verificar a Configuração da AC.
-
Política de pedido HRA
As definições que determinam a permissão de comunicação dos clientes com a HRA quando requisitam certificados de estado de funcionamento. Pode personalizar a política de pedido HRA personalizando a política criptográfica e as definições da política de transporte. Não necessita de modificar as definições da política de pedido HRA. São recomendadas as definições predefinidas. Se optar por alterar estas definições, é importante configurar definições idênticas nos servidores HRA e nos computadores cliente NAP. Para mais informações, consulte Noções sobre a Política de Pedido da HRA, Configurar a Política Criptográfica da HRA e Configurar a Política de Transporte da HRA.
-
Serviços de informação Internet (IIS)
Um conjunto de serviços de Internet que é instalado automaticamente quando instala a HRA. O serviço IIS fornece uma interface HTTP/HTTPS para os clientes NAP contactarem o servidor HRA e requisitarem os certificados de estado de funcionamento. Processa estes pedidos utilizando uma extensão da interface ISAPI (Internet Server Application Programming Interface) que pode ser disponibilizada a utilizadores anónimos ou restritos que foram autenticados no domínio. Para mais informações, consulte Noções sobre os Requisitos de Autenticação da HRA e Verificar a Configuração do IIS.
-
Servidor de Políticas de Rede (NPS)
A implementação da Microsoft de um servidor e proxy de um Serviço de Autenticação Remota de Utilizador de Acesso Telefónico (RADIUS) . Se o servidor ainda não estiver a executar o NPS, é instalado automaticamente quando instala a HRA. Pode configurar o NPS no servidor HRA como um servidor de política de estado de funcionamento NAP ou como um proxy NPS. Quando configurar o NPS como um servidor de política de funcionamento NAP, também tem de configurar as políticas e definições NAP incluindo:
-
Políticas de pedido de ligação: Conjuntos de condições e definições que validam os pedidos de acesso à rede e especificam onde é efectuada a validação.
-
Políticas de rede: Conjuntos de condições, restrições e definições que permitem-lhe designar quem se pode ligar à rede.
-
Políticas de estado de funcionamento: Requisitos de estado de funcionamento do sistema que definem quais são os SHVs utilizados na validação da configuração dos computadores que tentam ligar-se à rede.
-
Validações de estado de funcionamento de sistema (SHVs): Software de servidor da política de estado de funcionamento NAP complementar do agente de estado de funcionamento de sistema (SHA). Os SHVs definem os requisitos de configuração para computadores que tentam ligar à rede.
-
Políticas de pedido de ligação: Conjuntos de condições e definições que validam os pedidos de acesso à rede e especificam onde é efectuada a validação.
Quando configurar o NPS como um proxy RADIUS, tem de verificar a ligação de rede aos grupos de servidores RADIUS remotos e validar a configuração como servidores de política de estado de funcionamento NAP. Para mais informações, consulte Verificar a Configuração do NPS.