Du kan använda NAP-klientkonfigurationskonsolen när du vill ange vilka säkerhetsmekanismer en klientdator ska använda när den kommunicerar med HRA-servrar (Health Registration Authority). Här kan du också ange vilka HRA-servrar klientdatorn ska kunna kommunicera med. Klientdatorn måste kommunicera med en HRA-server för att få ett hälsocertifikat. Det krävs för NAP när IPsec Internet Protocol security) används.

Om du vill ange vilken säkerhetsmekanism en klientdator ska använda när den kommunicerar med en HRA-server måste du konfigurera en princip för begäran. I den anger du vilken asymmetrisk nyckelalgoritm, hash-algoritm och kryptografiprovider klientdatorn ska använda när kommunikationen med en HRA-server initieras. Du kan endast ange en asymmetrisk nyckelalgoritm, hash-algoritm och kryptografiprovider på en klientdator.

Om du konfigurerar en asymmetrisk nyckelalgoritm, hash-algoritm eller kryptografiprovider på en klient måste du konfigurera exakt samma princip för begäran på HRA-servern. Om du exempelvis anger att klienterna endast ska kryptera kommunikationen med hjälp av den asymmetriska nyckelalgoritmen RSA (Rivest-Shamir-Adelman) och 128 som minsta nyckellängd, måste du även konfigurera HRA-servrarna så att dessa accepterar kommunikation som har krypterats med exakt samma asymmetriska nyckelalgoritm och exakt samma nyckellängd. Om HRA-servrarna och klientdatorerna inte konfigureras för exakt samma princip för begäran kan HRA-servrarna inte kommunicera med klientdatorerna och det kan hända att klientdatorerna betraktas som icke-kompatibla med begränsad nätverksanslutning som följd. Om du inte konfigurerar någon princip för begäran på en klientdator används en standardmekanism för kryptering när klientdatorn initierar förhandlingsprocessen med HRA-servern.

Viktigt!

Ändra inte inställningar för princip för begäran om du inte noggrant har testat de nya inställningarna i en säker testmiljö. Ändrade inställningar kan medföra att klientdatorernas nätverksanslutning bryts.

Om du vill ange vilka HRA-servrar som en klientdator ska kunna kommunicera med måste du konfigurera en betrodd servergrupp. En sådan består av en eller flera HRA-servrar. Om det finns flera HRA-servrar i den betrodda servergruppen kan du ange i vilken ordning klientdatorn ska försöka kontakta dem. Det är praktiskt om HRA-servrarna finns i olika nätverkssegment eller domäner och du vill prioritera vilka servrar klienten först försöker få åtkomst till. Du måste konfigurera minst en betrodd servergrupp annars kan klientdatorn inte kontakta någon HRA-server för att hämta ett hälsocertifikat.

Konfigurera princip för NAP-klientbegäran

Konfigurera betrodda servergrupper för NAP-klienter

Ytterligare referenser


Innehåll