K určení bezpečnostních mechanismů, které klientský počítač používá ke komunikaci se servery autority pro registraci stavu (HRA), lze použít konzolu Konfigurace klienta NAP. Kromě toho lze tuto konzolu použít k určení serverů HRA, se kterými může klientský počítač komunikovat. Komunikace se serverem HRA je nezbytná k tomu, aby klientský počítač obdržel certifikát stavu. Architektura NAP s vynucením založeným na protokolu IPsec vyžaduje certifikát stavu.
Pokud chcete zadat bezpečnostní mechanismy, pomocí nichž klientský počítač komunikuje se serverem HRA, je nutné, abyste nakonfigurovali zásady pro vyžádání připojení. Zásady vyžádání připojení určují, který asymetrický klíčový algoritmus, algoritmus hash nebo kterého zprostředkovatele kryptografických služeb použije klientský počítač při zahájení komunikace se serverem HRA. Pro každý klientský počítač lze určit pouze jeden asymetrický klíčový algoritmus, algoritmus hash a jednoho zprostředkovatele kryptografických služeb (CSP).
Pokud nastavíte v klientském počítači určitý asymetrický klíčový algoritmus, algoritmus hash nebo zprostředkovatele kryptografických služeb, musíte na serveru HRA nastavit ty samé zásady pro vyžádání připojení. Pokud se například rozhodnete nakonfigurovat v klientském počítači zašifrování komunikace pouze pomocí asymetrického klíčového algoritmu RSA (Rivest-Shamir-Adelman), který má minimální délku klíče 128 znaků, musíte následně nakonfigurovat dané servery HRA tak, aby přijímaly komunikaci, která je zašifrována pomocí totožného asymetrického klíčového algoritmu a totožné minimální délky klíče. Pokud nebudou servery HRA a klientské počítače nakonfigurovány na totožné zásady vyžádání připojení, nebudou dané servery HRA správně komunikovat s klientskými počítači, klientské počítače mohou být považovány za nesplňující požadavky a mohou mít omezené připojení k síti. Pokud v klientském počítači nenakonfigurujete zásady vyžádání připojení, zahájí klientský počítač proces vyjednávání se serverem HRA za použití výchozích bezpečnostních mechanismů šifrované komunikace.
 | Důležité informace |
|
Zásady vyžádání připojení by neměly být modifikovány, pokud zároveň neproběhlo důkladné testování těchto zásad v bezpečném testovacím prostředí. Změny v zásadách vyžádání připojení mohou způsobit, že klientské počítače ztratí připojení na síť. |
Pokud chcete zadat servery HRA, se kterými má klientský počítač komunikovat, je nutné, abyste nastavili skupinu důvěryhodných serverů. Skupinou důvěryhodných serverů se míní jeden nebo více serverů HRA. Pokud je ve skupině serverů HRA více než jeden server, můžete určit pořadí, ve kterém se klientský počítač pokusí tyto servery kontaktovat. Tato možnost je výhodná pro případ, že máte servery HRA umístěné v různých segmentech sítě a doménách, a rádi byste určili, které servery má klientský počítač kontaktovat jako první. K tomu je potřeba nakonfigurovat alespoň jednu skupinu důvěryhodných serverů. V opačném případě nebude klientský počítač vědět, jakým způsobem je k získání certifikátu stavu potřeba server HRA kontaktovat.
Konfigurace zásady vyžádání připojení pro klienta architektury NAP
Konfigurace skupiny důvěryhodných serverů pro klienty architektury NAP