健康注册机构 (HRA) 提供一种网络访问保护 (NAP) 平台服务,它通常称为 X.509 公钥基础结构 (PKI) 中的注册机构。作为一个注册机构,HRA 负责验证客户端凭据,然后将证书申请转发到代表客户端的证书机构 (CA)。通过检查网络策略服务器 (NPS),HRA 可验证证书申请以确定 NAP 客户端是否与网络健康要求兼容。如果发现客户端兼容,HRA 将从 CA 申请特殊类型的证书(称为健康证书)。由 NAP 客户端计算机使用的健康证书用于受 IPSec 保护的网络上的通信。在此功能中,HRA 将作为 NAP 强制服务器,使用 NAP Internet 协议安全 (IPSec) 强制方法。
重要概念
若要了解 NAP 部署中的 HRA 角色,请查看以下概念。
-
健康证书
已颁发给 NAP 客户端计算机,并用于提供其与网络健康要求兼容的证明的 X.509 证书。通过向 HRA 提供其运行状况状态的声明 [称为健康声明 (SoH)],NAP 客户端计算机可获取健康证书。NAP 客户端将连接监视其健康状态,并当它变得不兼容时删除健康证书。在 NAP 客户端启动与 Intranet 上其他 NAP 客户端之间受 IPSec 保护的通信时,健康证书可用于对 NAP 客户端进行身份验证。通过丢弃从没有健康证书的计算机发送的传入通信尝试,NAP IPSec 强制可限制基于 IPSec 的 NAP 客户端的通信。
-
NAP 证书颁发机构
运行 Active Directory® 证书服务 (AD CS) 的服务器,可承载 X.509 证书并在确定 NAP 客户端与网络健康要求兼容后将其颁发给 NAP 客户端。您必须指定一个或多个将颁发 NAP 健康证书的 CA。有关详细信息,请参阅配置 NAP 证书颁发机构和验证 CA 配置。
-
HRA 请求策略
确定客户端在申请健康证书时允许与 HRA 进行通信的方式的设置。可以通过自定义加密策略和传输策略设置,自定义 HRA 请求策略。无需修改 HRA 请求策略设置。建议使用默认设置。如果选择更改这些设置,则在 HRA 服务器和 NAP 客户端计算机上配置相同设置非常重要。有关详细信息,请参阅了解 HRA 请求策略、配置 HRA 加密策略和配置 HRA 传输策略。
-
Internet 信息服务 (IIS)
安装 HRA 时自动安装的一组基于 Internet 的服务。IIS 服务为 NAP 客户端提供 HTTP/HTTPS 接口,可连接 HRA 服务器并申请健康证书。它使用 Internet 服务器应用程序编程接口 (ISAPI) 扩展处理这些请求,可以将 ISAPI 扩展提供给匿名用户或受限于已通过域身份验证的用户。有关详细信息,请参阅了解 HRA 身份验证要求和验证 IIS 配置。
-
网络策略服务器 (NPS)
远程身份验证拨入用户服务 (RADIUS) 服务器和代理的 Microsoft 实现。如果服务器已不运行 NPS,它将在您安装 HRA 时自动进行安装。可以在 HRA 服务器上将 NPS 配置为 NAP 健康策略服务器或 NPS 代理。将 NPS 配置为 NAP 健康策略服务器后,还必须配置 NAP 策略和设置,包括:
-
连接请求策略:验证网络访问请求和指定执行该验证的位置的条件和设置集。
-
网络策略:允许您指定谁可以连接到网络的条件集、限制集和设置集。
-
健康策略:定义用于验证尝试连接到网络的计算机配置的 SHV 的系统健康要求。
-
系统健康验证程序 (SHV):系统健康代理 (SHA) 的对应 NAP 健康策略服务器软件。SHV 为尝试连接到网络的计算机定义配置要求。
-
连接请求策略:验证网络访问请求和指定执行该验证的位置的条件和设置集。
将 NPS 配置为 RADIUS 代理后,必须验证与远程 RADIUS 服务器组的网络连接,并作为 NAP 健康策略服务器验证其配置。有关详细信息,请参阅验证 NPS 配置。