Sie können mit dem HRA-Snap-In (Health Registration Authority, Integritätsregistrierungsstelle) die Sicherheitsmechanismen angeben, die vom Integritätsregistrierungsstellen-Server für die Kommunikation mit Clientcomputern verwendet werden. Mit diesen Einstellungen, den so genannten Anforderungsrichtlinieneinstellungen, werden der asymmetrische Schlüsselalgorithmus, Hashalgorithmus und Kryptografiedienstanbieter (Cryptographic Service Provider, CSP) bestimmt, die vom Integritätsregistrierungsstellen-Server zum Verschlüsseln der Kommunikation mit Clientcomputern verwendet werden. Wenn Sie die Anforderungsrichtlinieneinstellungen mithilfe des HRA-Snap-Ins angeben, werden vom Integritätsregistrierungsstellen-Server nur diese Sicherheitsmechanismen für die Kommunikation mit Clientcomputern verwendet.
Wichtig | |
Sie müssen keine Anforderungsrichtlinieneinstellungen für den Integritätsregistrierungsstellen-Server konfigurieren. Standardmäßig wird von einem NAP-fähigen Clientcomputer ein Aushandlungsprozess mit einem Integritätsregistrierungsstellen-Server mithilfe eines für beide Seiten akzeptablen Standardsicherheitsmechanismus für die Kommunikationsverschlüsselung initiiert. Sie sollten Anforderungsrichtlinieneinstellungen erst dann ändern, wenn Sie die Anforderungsrichtlinieneinstellungen in einer sicheren Testumgebung sorgfältig getestet haben. |
Wenn Sie die Anforderungsrichtlinieneinstellungen auf dem Integritätsregistrierungsstellen-Server konfigurieren, müssen Sie auf den Clientcomputern identische Anforderungsrichtlinieneinstellungen konfigurieren. Wenn die Integritätsregistrierungsstellen-Server nicht für die Verwendung genau desselben asymmetrischen Schlüsselalgorithmus, Hashalgorithmus und Kryptografiedienstanbieters konfiguriert werden wie die Clientcomputer, können die Integritätsregistrierungsstellen-Server nicht mit Clientcomputern kommunizieren. Die Clientcomputer könnten als nicht kompatibel eingeschätzt werden. Dies führt zu eingeschränkter Netzwerkkonnektivität.
Kryptografierichtlinie
Sie können die Anforderungsrichtlinieneinstellungen für den Integritätsregistrierungsstellen-Server durch Angeben einer benutzerdefinierten Kryptografierichtlinie konfigurieren. Mit den Kryptografierichtlinieneinstellungen werden asymmetrische Schlüsselalgorithmen, Hashkeyalgorithmen und Kryptografiedienstanbieter angegeben. Weitere Informationen finden Sie unter Konfigurieren der HRA-Kryptografierichtlinie.
Asymmetrische Schlüsselalgorithmen
Asymmetrische Schlüsselalgorithmen werden auch als öffentliche Schlüsselalgorithmen bezeichnet. Mit asymmetrischen Algorithmen werden die asymmetrischen Schlüssel generiert, die mit Clientintegritätszertifikatanforderungen verbunden werden. Mit den Standardeinstellungen wird ermöglicht, dass jeder verfügbare Algorithmus für die Kommunikation zwischen dem Integritätsregistrierungsstellen-Server und Clientcomputern akzeptiert wird. Sie können mit dem HRA-Snap-In angeben, welche Algorithmen aus der Liste verwendet werden, und Sie können die Mindestschlüssellänge und die maximale Schlüssellänge für diese Algorithmen ändern.
Hashkeyalgorithmen
Hashalgorithmen werden auch als sichere Hashalgorithmen oder Hashfunktionen bezeichnet. Hashalgorithmen sind für die Ausführung eines unidirektionalen Vorgangs für Daten vorgesehen und stellen einen eindeutigen Ausgabewert bereit, der zwar zur Überprüfung, jedoch nicht zur Wiederherstellung der ursprünglichen Daten verwendet werden kann. Mit den Standardeinstellungen kann jeder beliebige Hashalgorithmus verwendet werden. Sie können mit dem HRA-Snap-In angeben, welche Algorithmen in der Liste verwendet werden können.
Kryptografiedienstanbieter
Kryptografiedienstanbieter sind Hardware- und Softwarekomponenten von Windows-Betriebssystemen, mit denen generische Kryptografiefunktionen bereitgestellt werden. Jede der für die Verwendung mit der Integritätsregistrierungsstelle konfigurierten Kryptografiedienstanbieter kann unterschiedliche Algorithmen, Formate und Schlüssel unterstützen, die für die Verschlüsselung und Entschlüsselung verwendet werden. Mit den Standardeinstellungen kann jeder beliebige Kryptografiedienstanbieter verwendet werden. Sie können mit dem HRA-Snap-In angeben, welche Kryptografiedienstanbieter aus der Liste verwendet werden.
Transportrichtlinie
Sie können die Anforderungsrichtlinieneinstellungen für den Integritätsregistrierungsstellen-Server durch Angeben einer benutzerdefinierten Transportrichtlinie konfigurieren. Mit Transportrichtlinieneinstellungen werden HTTP-Client-Benutzer-Agents angegeben. Weitere Informationen finden Sie unter Konfigurieren der HRA-Transportrichtlinie.
HTTP-Client-Benutzer-Agents
HTTP-Client-Benutzer-Agents sind Zeichenfolgen zum Angeben der Identität von HTTP/HTTPS-Clientanwendungen, mit denen Integritätszertifikate von der Integritätsregistrierungsstelle angefordert werden. Standardmäßig ist jeder Agent zulässig. Mit dem HRA-Snap-In können die zulässigen Benutzer-Agents angegeben werden.