因为HRA必须要为符合健康策略的计算机颁发证书,所以HRA必须有“请求、发布与管理证书”的权限,同时如果HRA颁发的健康证书过期了HRA必须要从对应计算机的证书存储中删除证书,所以HRA还必须有“管理CA”的权限。 图表2 一、对应的文字阐述如下: 1、IPSECEC发送当前健请看如下
因为HRA必须要为符合健康策略的计算机颁发证书,所以HRA必须有“请求、发布与管理证书”的权限,同时如果HRA颁发的健康证书过期了HRA必须要从对应计算机的证书存储中删除证书,所以HRA还必须有“管理CA”的权限。
图表2
一、对应的文字阐述如下:
1、IPSECEC发送当前健康状态至HRA(健康注册颁发机构);
2、HRA发送客户端的健康状态至NAP健康策略服务器(NPS);
3、NAP健康策略服务器评估客户端的当前健康状态信息,以决定其是否符合健康策略,并把结果发回给SHA,如果不符合,在发回的消息中也包含健康Remediation的指令;
4、如果符合健康策略,则HRA为客户端分发健康证书,则客户端可以使用此证书与其他符合健康策略的计算机开始初始化IPSEC连接;
5、如果不符合健康策略,HRA通知NAP客户如何校正其健康状态并不发给客户端健康证书,因此客户端不能初始化IPSEC连接,但是客户端可以与补救服务器通信,以校正客户端的健康状态;
6、NAP客户端发送相关的更新请求至补救服务器;
7、补救服务器提供符合健康策略的更新给NAP客户端,NAP客户端更新其健康状态;
8、NAP客户端发送其更新过的健康状态信息至SHA,SHA发送客户端的健康状态信息至NAP健康策略服务器;
9、假设其符合健康状态策略,则发送结果至SHA,并颁发健康192.168.1.12证书给客户端,客户端可以使用此证书开始IPSEC通信。
二、配置过程如下:
以下是这次的实验配置:
1、必须要把NYC-DC-01的计算机提升为域woodgrovebank.com的DC,并在此计算机上安装证书服务,用来颁发证书,并创建一个全局组为IPSECNAPExemption,因为在IPSECNAP的网络中把网络可以从逻辑上划分为三个网络,安全网络(有健康证书且要求IPSEC安全通信的计算机所在的网络,如CA)、边界网络(有健康证书但是不要求IPSEC安全通信的计算机所在的网络,如HRA,补救服务器),、受限网络(没有健康证书的计算机所在的网络),通常全局组IPSECNAPExemption的就为边界网络中的计算机,这样不管当前计算机的健康状态是什么,都能够获得一个健康证书,并能够与网络中的任何一台计算机进行通信。所以呢,我们在此次测试中就应该把NYC-SRV-01这台计算机添加为此全局组的。
切换至“扩展”选项卡,定位于“应用程序策略”,并点击“编辑”按钮,再单击“添加”按钮,找到systemHealthAuthentication,其值为1.3.6.1.4.1.311.47.1.1(有二个SystemHealthAuthentication,通常是下面一个);再切换至“安全”选项卡,给全局组IPSECNAPExemption“读取、注册、自动注册”权限,这样,全局组IPSECNAPExemption中的就不管其健康状态是什么,都能够自动获取此证书。关掉证书模板对话框。为了具有权限的用户能够申请此证书必须把它发布出来:在“证书颁发机构”右击“证书模板”,新建要颁发的证书模板SystemHealthAuthentication。如下图所示:
3、配置默认域策略,允许自动颁发证书。组策略管理默认域策略计算机配置Windows设置安全设置选中“公钥策略”右边详细窗格中,选择“证书服务客户端――自动注册”启用,并选中下面两个复选框;在计算机NYC-SRV-01使用命令gpupdate/force强制刷新组策略,打开MMC,并选择“证书”,选择“计算机”,在证书下面验证已经成功获得的的证书。
因为HRA必须要为符合健康策略的计算机颁发证书,所以HRA必须有“请求、发布与管理证书”的权限,同时如果HRA颁发的健康证书过期了HRA必须要从对应计算机的证书存储中删除证书,所以HRA还必须有“管理CA”的权限。如果HRA与CA在不同的计算机,则必须在CA的属性“安全”选项卡,给HRA这台计算机帐户赋予以上的权限,如果HRA与CA在同一台计算机,则只需要给“NetworkService”赋予以上的权限,因为在此例当中,我们把HRA与CA安装在不同的计算机上,所以在此,赋予计算机帐户NYC-SRV-01以上的权限,如下图所示:
5、打开“网络策略服务器”控制台,在右边详细窗格中选择“配置NAP”,选择“IPSECwithHealthRegistrationAuthority(HRA)”,接下来在本例中都以默认的值进行设置就OK了,不用做过多的其他设置。在“网络策略服务器”控制台中选择“网络访问”系统健康校验双击右边详细空格中选择条目点击“配置”按钮,只选择“启用自动更新”,清除其他所有的选择。在“网络访问”下面右键选择“补救服务器组”选择添加并把NYC-SRV-01添加进去,当客户端计算机不符合健康策略要求的时候,将会连接到此计算机进行补救,至此服务器相关的设置已经配置完毕,接下来的过程将会配置客户端。如下图所示:
在两台计算机上都做好了相应规则后,我们在NYC-CLIENT-01上ping192.168.1.12结果如下,除了第一个包进行安全协商,其他连接都正常,如果此时删除证书存储中的“健康证书”,则又会返回“Requesttimedout”,这就是大家可以看到下面两行的情形。
tags:192.168.1.12