Urząd rejestrowania kondycji świadczy usługi dla platformy ochrony dostępu do sieci, która jest powszechnie nazywana urzędem rejestracji w infrastrukturze kluczy publicznych (PKI) X.509. Urząd rejestrowania kondycji jest odpowiedzialny za sprawdzanie poprawności poświadczeń klienta i za przesyłanie żądania certyfikatu dalej do urzędu certyfikacji (UC) w imieniu klienta. Urząd rejestrowania kondycji sprawdza poprawność żądań certyfikatów, ustalając w serwerze ochrony dostępu do sieci, czy klient ochrony dostępu do sieci jest zgodny z wymaganiami dotyczącymi kondycji sieci. Jeśli klient zostanie uznany za zgodnego, urząd rejestrowania kondycji żąda od urzędu certyfikacji (UC) specjalnego certyfikatu zwanego certyfikatem kondycji. Certyfikat kondycji jest używany przez komputery klienckie ochrony dostępu do sieci do komunikowania się w sieci chronionej przez protokół IPsec. W tym kontekście urząd rejestrowania kondycji działa jak serwer wymuszania ochrony dostępu do sieci dla wymuszania IPsec (Internet Protocol security) ochrony odstępu do sieci.
Ważne pojęcia
Aby zrozumieć rolę urzędu rejestrowania kondycji podczas wdrażania ochrony dostępu do sieci, zapoznaj się z poniższymi pojęciami.
-
Certyfikaty kondycji
Certyfikaty X.509, wystawiane komputerom klienckim ochrony dostępu do sieci, są używane do udowodnienia ich zgodności z wymaganiami dotyczącymi sieci. Komputer kliencki ochrony dostępu do sieci uzyskuje certyfikat kondycji po przesłaniu do urzędu rejestrowania kondycji deklaracji o kondycji zwanej raportem o kondycji (SoH) Klient ochrony dostępu do sieci będzie stale monitorował swoją kondycję, a gdy stanie się niezgodny, usunie swój certyfikat kondycji. Certyfikaty kondycji mogą być używane do uwierzytelniania klientów ochrony dostępu do sieci, gdy inicjują oni połączenia zabezpieczone protokołem IPsec z innymi klientami ochrony dostępu do sieci w intranecie. Wymuszanie IPsec ochrony dostępu do sieci ogranicza komunikację dla klientów ochrony dostępu do sieci opartych na protokole IPsec przez rozłączenie przychodzących prób nawiązania połączenia wysyłanych z komputerów, które nie mają certyfikatów kondycji.
-
Urzędy certyfikacji ochrony dostępu do sieci
Serwery z uruchomioną Usługą certyfikatów w usłudze Active Directory® (AD CS), które obsługują certyfikaty X.509 i wystawiają je klientom ochrony dostępu do sieci, o których wiadomo, że są zgodni z wymaganiami dotyczącymi kondycji sieci. Należy określić przynajmniej jeden urząd certyfikacji (UC), który będzie wydawał certyfikaty kondycji dostępu do sieci. Aby uzyskać więcej informacji, zobacz tematy Konfigurowanie urzędu certyfikacji ochrony dostępu do sieci i Weryfikowanie konfiguracji urzędu certyfikacji.
-
Zasady żądań urzędu rejestrowania kondycji
Ustawienia określające, w jaki sposób klienci mogą komunikować się z urzędem rejestrowania kondycji przy żądaniu certyfikatów kondycji. Zasady żądań urzędu rejestrowania kondycji można dostosować przez dostosowanie ustawień zasad kryptograficznych i zasad transportu. Nie ma potrzeby modyfikowania ustawień zasad żądań urzędu rejestrowania kondycji. Warto używać ustawień domyślnych. Jeśli jednak użytkownik podejmie decyzję o zmianie tych ustawień, istotne jest, aby tak samo skonfigurować ustawienia zarówno na serwerach urzędu rejestrowania kondycji, jak i komputerach klienckich ochrony dostępu do sieci. Aby uzyskać więcej informacji, zobacz tematy Opis zasad żądań urzędu rejestrowania kondycji, Konfigurowanie zasad kryptograficznych urzędu rejestrowania kondycji i Konfigurowanie zasad transportu urzędu rejestrowania kondycji.
-
Internet Information Services (IIS)
Zestaw usług internetowych instalowany automatycznie przy instalacji urzędu rejestrowania kondycji. Usługa IIS zapewnia klientom ochrony dostępu do sieci interfejs HTTP/HTTPS do łączenia się z serwerem urzędu rejestrowania kondycji i żądania certyfikatów kondycji. Przetwarza on te żądania korzystając z rozszerzenia ISAPI (Internet Server Application Programming Interface), które można dostarczać uwierzytelnionym dla domeny użytkownikom anonimowym lub użytkownikom z ograniczeniami. Aby uzyskać więcej informacji, zobacz tematy Opis wymagań dotyczących uwierzytelnienia urzędu rejestrowania kondycji i Weryfikowanie konfiguracji usług IIS.
-
Serwer zasad sieciowych (NPS)
Implementacja serwera RADIUS (Remote Authentication Dial-In User Service) i serwera proxy firmy Microsoft. Jeśli na serwerze nie jest uruchomiony aktualnie serwer zasad sieciowych, zostanie on zainstalowany automatycznie przy instalacji urzędu rejestrowania kondycji. Użytkownik może skonfigurować serwer NPS na serwerze urzędu rejestrowania kondycji jako serwer zasad dotyczących kondycji ochrony dostępu do sieci lub serwer proxy zasad sieciowych. Podczas konfigurowania serwera NPS jako serwera zasad dotyczących kondycji ochrony dostępu do sieci, należy także skonfigurować poniższe zasady i ustawienia ochrony dostępu do sieci:
-
Zasady żądań połączeń: zestawy warunków i ustawień sprawdzające poprawność żądań dostępu do sieci i określające, w którym miejscu ta poprawność jest sprawdzana.
-
Zasady sieciowe: zestawy warunków, ograniczeń i ustawień zezwalające na decydowanie o tym, kto może się połączyć z siecią.
-
Zasady dotyczące kondycji: wymagania dotyczące kondycji systemu określające, które moduły sprawdzania kondycji systemu mają być używane do sprawdzania poprawności konfiguracji komputerów próbujących połączyć się z siecią.
-
Moduły sprawdzania kondycji systemu: oprogramowanie serwera zasad dotyczących kondycji ochrony dostępu do sieci - odpowiednik agenta kondycji systemu (SHA). Te moduły określają wymagania konfiguracji dla komputerów próbujących połączyć się z siecią.
-
Zasady żądań połączeń: zestawy warunków i ustawień sprawdzające poprawność żądań dostępu do sieci i określające, w którym miejscu ta poprawność jest sprawdzana.
Przy konfigurowaniu serwera NPS jako serwera proxy RADIUS należy zweryfikować łączność sieciową ze zdalnymi grupami serwerów RADIUS i sprawdzić poprawność ich konfiguracji jako serwerów zasad dotyczących kondycji ochrony dostępu do sieci. Aby uzyskać więcej informacji, zobacz temat Weryfikowanie konfiguracji serwera zasad sieciowych.