您可以使用健康注册机构 (HRA) 管理单元以指定 HRA 服务器用于和客户端计算机通信的安全机制。这些设置称为请求策略设置,可确定 HRA 服务器使用哪些非对称密钥算法、哈希算法和加密服务提供程序 (CSP) 来加密与客户端计算机的通信。如果您使用 HRA 管理单元指定请求策略设置,则 HRA 服务器将仅使用这些安全机制与客户端计算机进行通信。
重要 | |
无需在 HRA 服务器上配置请求策略设置。默认情况下,NAP 可用的客户端计算机使用彼此接受的默认安全机制初始化与 HRA 服务器的协商过程,进而加密通信。除非在安全测试环境中彻底测试请求策略设置,否则不应修改请求策略设置。 |
如果在 HRA 服务器上配置了请求策略设置,则必须在客户端计算机上配置相同的请求策略设置。如果未将 HRA 服务器配置为使用与客户端计算机完全相同的非对称密钥算法、哈希算法和加密服务提供程序 (CSP),HRA 服务器将无法与客户端计算机通信。客户端计算机可能已被确定为不兼容,这将导致网络连接受限。
加密策略
您可以通过指定自定义加密策略来配置 HRA 服务器请求策略设置。加密策略设置指定了非对称密钥算法、哈希密钥算法和加密服务提供程序。有关详细信息,请参阅配置 HRA 加密策略。
非对称密钥算法
非对称密钥算法又称为公共密钥算法。非对称算法用于生成与客户端健康证书申请相关的非对称密钥。默认设置允许在 HRA 服务器和客户端计算机之间进行通信时接受任何可用的算法。可以使用 HRA 管理单元来指定允许列表中的哪些算法,并且您可以修改这些算法的最小和最大密钥长度。
哈希密钥算法
哈希算法也称为安全哈希算法或哈希函数。哈希算法旨在对数据执行单向操作,从而提供可用于验证的独特输出值,但无法用于重新创建原始数据。默认设置支持使用任何哈希算法。可以使用 HRA 管理单元来指定允许列表中的哪些算法。
加密服务提供程序
加密服务提供程序是 Windows 操作系统的硬件和软件组件,用于提供一般的加密功能。每个配置为 HRA 所使用的 CSP 都可以支持用于加密和解密的不同算法、格式和密钥。默认设置支持使用任何 CSP。您可以使用 HRA 管理单元指定使用列表中的哪个 CSP。
传输策略
您可以通过指定自定义传输策略来配置 HRA 服务器请求策略设置。传输策略设置用于指定 HTTP 客户端用户代理。有关详细信息,请参阅配置 HRA 传输策略。
HTTP 客户端用户代理
HTTP 客户端用户代理是指定 HTTP/HTTPS 客户端应用程序身份的字符串,用于请求来自 HRA 的健康证书。默认情况下,允许使用任何代理。您可以使用 HRA 管理单元指定允许的用户代理。