La Autoridad de registro de mantenimiento (HRA) ofrece un servicio a la plataforma de Protección de acceso a redes (NAP) al que se suele referir como una autoridad de registro en una infraestructura de clave pública (PKI) X.509. Como autoridad de registro, HRA es responsable de validar las credenciales del cliente y de reenviar después una solicitud de certificado a una entidad de certificación (CA) en nombre del cliente. HRA valida las solicitudes de certificado mediante la comprobación del Servidor de directivas de redes (NPS) para determinar si el cliente NAP cumple los requisitos de mantenimiento de red. Si el cliente cumple estos requisitos, HRA solicita un tipo especial de certificado desde la CA llamado certificado de mantenimiento. Los equipos cliente NAP usan el certificado de mantenimiento para comunicarse en una red protegida con IPsec. En esta capacidad, HRA funciona como un servidor de cumplimiento NAP para el método de cumplimiento NAP para el protocolo de seguridad de Internet (IPsec).
Conceptos importantes
Para comprender el rol de HRA en una implementación de NAP, revise los conceptos siguientes:
-
Certificados de mantenimiento
Certificados X.509 emitidos para equipos cliente NAP que se usan para ofrecer una prueba de que se cumplen los requisitos de mantenimiento de red. El equipo cliente NAP obtiene un certificado de mantenimiento ofreciendo a HRA una declaración de su estado de mantenimiento llamada Informe de mantenimiento (SoH). El cliente NAP supervisará continuamente su estado de mantenimiento y eliminará el certificado de mantenimiento si éste deja de cumplir los requisitos necesarios. Los certificados de mantenimiento se pueden usar para autenticar clientes NAP cuando inician comunicaciones protegidas mediante IPsec con otros clientes NAP en una intranet. El cumplimiento NAP para IPsec limita la comunicación de los clientes NAP basados en IPsec porque abandona los intentos de comunicación entrante que se envían desde equipos que no tienen certificados de mantenimiento.
-
Entidades de certificación NAP
Servidores que ejecutan Servicios de certificados de Active Directory® (AD CS), que hospedan certificados X.509 y que los emiten para clientes NAP cuando están determinados a cumplir los requisitos de mantenimiento de red. Debe especificar una o varias CA que emitirán los certificados de mantenimiento NAP. Para obtener más información, vea Configuración de la entidad de certificación NAP y Comprobar la configuración de CA.
-
Directiva de solicitud de HRA
Configuración que determina la forma en que los clientes pueden comunicarse con HRA cuando solicitan certificados de mantenimiento. Puede personalizar la directiva de solicitud de HRA personalizando la configuración de la directiva de transporte y la directiva de cifrado. No es necesario modificar la configuración de la directiva de solicitud de HRA. Se recomienda usar la configuración predeterminada. Si elige cambiar esta configuración, es importante configurar opciones idénticas tanto en los servidores HRA como en los equipos cliente NAP. Para obtener más información, vea Descripción de la directiva de solicitud de HRA, Configuración de la directiva de cifrado de HRA y Configuración de la directiva de transporte de HRA.
-
Internet Information Services (IIS)
Un conjunto de servicios basados en Internet que se instalan automáticamente al instalar HRA. El servicio IIS proporciona una interfaz HTTP/HTTPS para que los clientes NAP contacten con el servidor HRA y soliciten certificados de mantenimiento. Procesa estas solicitudes mediante el uso de una extensión de la Interfaz de programación de aplicaciones para servidores de Internet (ISAPI) que se puede ofrecer a usuarios anónimos o se puede restringir a usuarios que se han autenticado en el dominio. Para obtener más información, vea Descripción de los requisitos de autenticación de HRA y Comprobación de la configuración de IIS.
-
Servidor de directivas de redes (NPS)
La implementación por parte de Microsoft de un servidor proxy y un servidor del Servicio de autenticación remota telefónica de usuario (RADIUS). Si su servidor aún no ejecuta NPS, se instalará automáticamente cuando instale HRA. En el servidor HRA, debe configurarse NPS como un proxy NPS o como un servidor de directivas de mantenimiento NAP. Cuando configure NPS como un servidor de directivas de mantenimiento NAP, también deberá configurar los valores y directivas de NAP, incluidos:
-
Directivas de solicitud de conexión: conjuntos de condiciones y valores que validan las solicitudes de acceso a la red y especifican el lugar en que se realiza la validación.
-
Directivas de red: conjuntos de condiciones, restricciones y valores que le permiten designar quién puede conectarse a la red.
-
Directivas de mantenimiento: requisitos de mantenimiento del sistema que definen los SHV que se usan para validar la configuración de los equipos que intentan conectarse a la red.
-
Validadores de mantenimiento del sistema (SHV): software del servidor de directivas de mantenimiento NAP correspondiente a un Agente de mantenimiento del sistema (SHA). Los SHV definen requisitos de configuración para equipos que intentan conectarse a la red.
-
Directivas de solicitud de conexión: conjuntos de condiciones y valores que validan las solicitudes de acceso a la red y especifican el lugar en que se realiza la validación.
Cuando configure NPS como un servidor proxy RADIUS, deberá comprobar la conectividad de red a los grupos de servidores RADIUS remotos y validar su configuración como servidores de directivas de mantenimiento NAP. Para obtener más información, vea Comprobación de la configuración de NPS.