Pomocí modulu snap-in Autorita pro registraci stavu (HRA) je možné určit mechanismus zabezpečení, který bude server HRA používat ke komunikaci s klientskými počítači. Tato nastavení (známá jako nastavení zásad požadavku) určují, který algoritmus asymetrického klíče, algoritmus hash a zprostředkovatel kryptografických služeb (CSP) má být serverem HRA používán k šifrování komunikace mezi klientskými počítači. Zadáte-li pomocí modulu snap-in HRA nastavení zásad požadavku, bude server HRA používat ke komunikaci s klientskými počítači pouze tento mechanismus zabezpečení.
Důležité informace | |
Nastavení zásad požadavku na serveru HRA není třeba konfigurovat. Klientský počítač podporující architekturu NAP ve výchozím nastavení zahajuje proces vyjednávání se serverem HRA pomocí vzájemně přijatelných mechanismů zabezpečení pro šifrovanou komunikaci. Nastavení zásad požadavku byste neměli měnit, pokud jste předtím důkladně nevyzkoušeli toto nastavení v bezpečném testovacím prostředí. |
Pokud nakonfigurujete nastavení zásad požadavku na serveru HRA, musíte stejné nastavení zásad požadavku nakonfigurovat v klientských počítačích. Pokud nebudou servery HRA nakonfigurovány na přesně stejné algoritmy asymetrických klíčů, algoritmy klíčů hash a poskytovatele kryptografických služeb jako klientské počítače, nebudou moci servery HRA s klientskými počítači komunikovat. Klientské počítače by mohly být označeny jako nevyhovující, což by mělo za následek omezené připojení k síti.
Kryptografické zásady
Nastavení zásad požadavku serveru HRA je možné konfigurovat určením vlastních kryptografických zásad. Nastavení kryptografických zásad určuje algoritmy asymetrických klíčů, algoritmy klíčů hash a zprostředkovatele kryptografických služeb. Další informace naleznete v tématu Konfigurace kryptografických zásad autority pro registraci stavu (HRA).
Algoritmy asymetrických klíčů
Algoritmy asymetrických klíčů se nazývají také algoritmy veřejných klíčů. Asymetrické algoritmy se používají ke generování asymetrických klíčů, které jsou spojeny s požadavky na certifikáty stavu klientů. Výchozí nastavení umožňuje přijmout při komunikaci mezi serverem HRA a klientskými počítači všechny dostupné algoritmy. Pomocí modulu snap-in HRA můžete určit, které algoritmy v seznamu jsou povoleny, a můžete upravit minimální a maximální délky klíčů těchto algoritmů.
Algoritmy klíčů hash
Algoritmy hash se také označují jako zabezpečené algoritmy hash nebo funkce hash. Algoritmy hash jsou určeny k provádění jednosměrného zpracování dat, při kterém vznikne jedinečná výstupní hodnota, kterou lze použít k ověření původních dat (nikoli k jejich opětovnému vytvoření). Ve výchozím nastavení je podporováno použití libovolného algoritmu hash. V modulu snap-in HRA můžete určit, které algoritmy v seznamu jsou povoleny.
Zprostředkovatelé kryptografických služeb
Zprostředkovatelé kryptografických služeb jsou hardwarové a softwarové součásti operačních systémů Windows zajišťující obecné kryptografické funkce. Každý ze zprostředkovatelů kryptografických služeb nakonfigurovaných pro použití autoritou pro registraci stavu (HRA) může podporovat jiné algoritmy, formáty a klíče sloužící k šifrování a dešifrování. Ve výchozím nastavení je podporováno použití libovolného zprostředkovatele kryptografických služeb. Pomocí modulu snap-in HRA je možné určit, které zprostředkovatele služeb v seznamu je třeba používat.
Přenosové zásady
Nastavení zásad požadavku serveru HRA je možné konfigurovat určením vlastních přenosových zásad. Pomocí nastavení přenosových zásad je možné určit uživatelské agenty klienta protokolu HTTP. Další informace naleznete v tématu Konfigurace přenosových zásad autority pro registraci stavu (HRA).
Uživatelští agenti klienta protokolu HTTP
Uživatelští agenti klienta protokolu HTTP jsou řetězce, které určují identitu klientských aplikací protokolu HTTP/HTTPS sloužících k požadování certifikátů stavu od autority pro registraci stavu (HRA). Ve výchozím nastavení je povolen libovolný agent. Pomocí modulu snap-in HRA je možné určit povolené uživatelské agenty.