HRA(상태 등록 기관)는 일반적으로 X.509 PKI(공개 키 인프라)에서 등록 기관으로 참조되는 NAP(네트워크 액세스 보호) 플랫폼에 대한 서비스를 제공합니다. 등록 기관으로서 HRA는 클라이언트 자격 증명의 유효성을 검사한 후 클라이언트 대신 CA(인증 기관)에 인증서 요청을 전달하는 일을 담당합니다. HRA는 NPS(네트워크 정책 서버)와 함께 NAP 클라이언트가 네트워크 상태 요구 사항을 만족하는지 확인하여 인증서 요청의 유효성을 검사합니다. 클라이언트가 규격 클라이언트로 확인되면 HRA는 CA에서 상태 인증서라고 하는 특수한 유형의 인증서를 요청합니다. 상태 인증서는 NAP 클라이언트 컴퓨터가 IPsec 보호 네트워크와 통신하는 데 사용됩니다. 이러한 경우 HRA는 NAP IPsec(인터넷 프로토콜 보안) 적용 방법에 대한 NAP 적용 서버로 작동합니다.
중요 개념
NAP 배포에서 HRA의 역할을 이해하려면 다음 개념을 검토하십시오.
-
상태 인증서
NAP 클라이언트 컴퓨터에 발급되는 X.509 인증서로, 네트워크 상태 요구 사항 준수에 대한 증거를 제공하는 데 사용됩니다. NAP 클라이언트 컴퓨터는 SoH(상태 설명)라는 상태 선언을 HRA에 제공하여 상태 인증서를 획득합니다. NAP 클라이언트는 해당 상태를 지속적으로 모니터링하고 클라이언트가 비규격 상태가 되면 상태 인증서를 삭제합니다. NAP 클라이언트가 인트라넷에서 다른 NAP 클라이언트와의 IPsec으로 보호되는 통신을 시작할 때 NAP 클라이언트를 인증하는 데 상태 인증서가 사용될 수 있습니다. NAP IPsec 적용은 상태 인증서가 없는 컴퓨터에서 보낸 들어오는 통신 시도를 삭제하여 IPsec 기반 NAP 클라이언트에 대한 통신을 제한합니다.
-
NAP 인증 기관
X.509 인증서를 호스팅하고 네트워크 상태 요구 사항에 맞는 NAP 클라이언트에 인증서를 발급하는 AD CS(Active Directory® 인증서 서비스)가 실행되는 서버입니다. NAP 상태 인증서를 발급할 하나 이상의 CA를 지정해야 합니다. 자세한 내용은 NAP 인증 기관 구성 및 CA 구성 확인을 참조하십시오.
-
HRA 요청 정책
클라이언트가 상태 인증서를 요청할 때 HRA와의 통신을 허용하는 방식을 결정하는 설정입니다. 암호화 정책 및 전송 정책 설정을 사용자 지정하여 HRA 요청 정책을 사용자 지정할 수 있습니다. HRA 요청 정책 설정을 수정할 필요는 없으며 기본 설정이 권장됩니다. 이러한 설정을 변경하도록 선택한 경우 HRA 서버 및 NAP 클라이언트 컴퓨터에서 동일한 설정을 구성하는 것이 중요합니다. 자세한 내용은 HRA 요청 정책 이해, HRA 암호화 정책 구성 및 HRA 전송 정책 구성을 참조하십시오.
-
IIS(인터넷 정보 서비스)
HRA를 설치할 때 자동으로 설치되는 인터넷 기반 서비스 집합입니다. IIS 서비스는 NAP 클라이언트에서 HRA 서버 및 요청 상태 인증서에 연결하기 위한 HTTP/HTTPS 인터페이스를 제공합니다. 이 서비스는 익명 사용자에게 제공되거나 도메인에서 인증을 받은 사용자로 제한될 수 있는 ISAPI(인터넷 서버 응용 프로그래밍 인터페이스) 확장을 사용하여 이러한 요청을 처리합니다. 자세한 내용은 HRA 인증 요구 사항 이해 및 IIS 구성 확인을 참조하십시오.
-
NPS(네트워크 정책 서버)
Microsoft에서 구현한 RADIUS(Remote Authentication Dial-In User Service) 서버 및 프록시입니다. 서버에서 아직 NPS가 실행되고 있지 않으면 HRA를 설치할 때 NPS가 자동으로 설치됩니다. HRA 서버에서 NPS를 NAP 상태 정책 서버 또는 NPS 프록시로 구성할 수 있습니다. NPS를 NAP 상태 정책 서버로 구성할 경우 다음과 같은 NAP 정책 및 설정도 구성해야 합니다.
-
연결 요청 정책: 네트워크 액세스에 대한 요청이 유효한지 검사하고 이러한 유효성 검사를 수행할 위치를 지정하는 조건 및 설정 집합입니다.
-
네트워크 정책: 네트워크에 연결할 수 있는 사용자를 지정하는 조건, 제약 조건 및 설정 집합입니다.
-
상태 정책: 네트워크 연결을 시도하는 컴퓨터 구성의 유효성을 검사하는 데 사용되는 SHV를 정의하는 시스템 상태 요구 사항입니다.
-
SHV(시스템 상태 검사기): SHA(시스템 상태 에이전트)에 해당하는 NAP 상태 정책 서버 소프트웨어입니다. SHV는 네트워크 연결을 시도하는 컴퓨터에 대한 구성 요구 사항을 정의합니다.
-
연결 요청 정책: 네트워크 액세스에 대한 요청이 유효한지 검사하고 이러한 유효성 검사를 수행할 위치를 지정하는 조건 및 설정 집합입니다.
NPS를 RADIUS 프록시를 구성할 때는 원격 RADIUS 서버 그룹에 대한 네트워크 연결을 확인하고 NAP 상태 정책 서버로서의 구성이 유효한지 검사합니다. 자세한 내용은 NPS 구성 확인을 참조하십시오.