可以使用以下過程來安裝 Active Directory(R) 證書服務 (AD CS) 並在運行網絡策略服務器 (NPS) 的服務器上註冊服務器證書。如果部署基於證書的身份驗證,則運行 NPS 的服務器必須具有服務器證書。在身份驗證過程中,這些服務器會將其服務器證書作爲身份證明發送到客戶端計算機。(如果NPS與AD是兩臺服務器,NPS註冊需要以域用戶身份登錄纔可註冊)
配置 NPS 服務器證書註冊的過程分爲三個階段:
安裝 AD CS 服務器角色。只有當尚未在網絡上部署證書頒發機構 (CA) 時,才需要執行此步驟。
配置服務器證書模板和自動註冊。CA 將根據證書模板來頒發證書,因此在 CA 頒發證書之前,您必須配置 NPS 服務器證書的模板。如果配置了自動註冊,則在運行 NPS 的服務上刷新組策略時,網絡上運行 NPS 的所有服務器都將自動收到服務器證書。如果以後添加更多服務器,則這些服務器也會自動收到服務器證書。
在運行 NPS 的服務器上刷新組策略。刷新組策略時,運行 NPS 的服務器將收到兩個證書。一個是基於在上一步中配置的模板的服務器證書。此證書由 NPS 用於向試圖連接到網絡的客戶端計算機證明其身份。另一個是"受信任根證書頒發機構證書"存儲中運行 NPS 的服務器上自動安裝的 CA 證書。NPS 使用此證書來確定是否信任它從其他計算機收到的證書。例如,如果部署了 EAP-TLS,則客戶端計算機將使用證書向運行 NPS 的服務器證明其身份。當服務器從客戶端計算機收到證書時,將建立對該證書的信任,因爲運行 NPS 的服務器將在其各自的"受信任根證書頒發機構證書"存儲中找到即將頒發的 CA 證書。
除了自動註冊 NPS 服務器證書以外,您可能需要使用以下方法之一註冊證書:
將 NPS 服務器證書從軟盤或光盤導入 NPS 證書存儲中。
使用證書服務 Web 註冊工具獲取 NPS 服務器證書。
由於 NPS 服務器證書是計算機證書,因此必須將該證書導入"本地計算機"(而不是"當前用戶")的證書存儲中。
| 警告 | |
如果 NPS 服務器證書錯誤地安裝在"當前用戶"證書存儲中,則 NPS 無法將該證書用於 PEAP 或 EAP 身份驗證,因爲該證書的私鑰具有錯誤配置的訪問控制列表 (ACL),這將阻止本地系統的密鑰訪問。可以使用"證書 MMC"管理單元來驗證 NPS 服務器證書的位置。如果 NPS 服務器證書位於不正確的位置,請不要試圖將該證書從"當前用戶"證書存儲拖放到"本地計算機"證書存儲。該證書的私鑰將仍然具有錯誤配置的 ACL。請使用 AD CS 吊銷該證書並將新的服務器證書頒發給運行 NPS 的服務器。 |
若要部署 CA 並自動註冊 NPS 服務器證書,請執行以下過程:
NPS 服務器證書:CA 安裝
NPS 服務器證書:配置模板和自動註冊