可以使用 NAP 客户端配置控制台指定客户端计算机用于与健康注册机构 (HRA) 服务器通信的安全机制。此外,还可以使用 NAP 客户端配置控制台指定客户端计算机可与其通信的 HRA 服务器。客户端计算机必须与 HRA 服务器通信才能获取健康证书。使用基于 Internet 协议安全性 (IPSec) 强制的 NAP 要求使用健康证书。

若要指定客户端用于与 HRA 服务器通信所使用的安全机制,必须配置请求策略。请求策略可指定客户端计算机在初始化与 HRA 服务器的通信时,所使用的非对称密钥算法、哈希算法和加密服务提供程序。但只能指定客户端计算机上的非对称密钥算法、哈希算法和加密服务提供程序。

在客户端上配置非对称密钥算法、哈希算法或加密服务提供程序时,必须配置与 HRA 服务器完全相同的请求策略。例如,如果仅使用最小密钥长度为 128 的 Rivest-Shamir-Adelman (RSA) 非对称密钥算法,将客户端配置为加密通信,则必须将 HRA 服务器配置为接受使用完全相同的非对称密钥算法且具有相同最小密钥长度进行加密的通信。如果未将 HRA 服务器和客户端计算机配置为使用同一请求策略,则 HRA 服务器将无法与客户端计算机通信;而客户端计算机可能被认为不符合健康要求,致使网络连接受到限制。如果不在客户端计算机上配置请求策略设置,客户端计算机将使用默认的安全机制启动与 HRA 服务器的协商进程,从而加密通信。

重要

除非在安全测试环境中彻底测试请求策略设置,否则不应修改请求策略设置。更改请求策略设置会导致客户端计算机断开网络连接。

若要指定客户端计算机要与其通信的 HRA 服务器,必须配置受信任的服务器组。一个受信任的服务器组由一个或多个 HRA 服务器组成。如果受信任的服务器组中包含多个 HRA 服务器,则可以指定客户端计算机试图连接的服务器的顺序。如果在不同的网段或域中有多个 HRA 服务器,且您要确定客户端试图访问的服务器的优先级,则上述说明非常有用。必须至少配置一个受信任的服务器组,否则客户端计算机将不知道如何连接 HRA 服务器来获取健康证书。

配置 NAP 客户端请求策略

配置 NAP 客户端的受信任的服务器组

其他参考