部署 CA 和 NPS 服務器證書
應用到: Windows Server 2008 R2安全
可使用如下過程來安裝 Active Directory(R) 證書服務 (AD CS) 並在運行網絡策略服務器 (NPS) 的服務器上註冊服務器證書。若是部署基於證書的身份驗證,則運行 NPS 的服務器必須具備服務器證書。在身份驗證過程當中,這些服務器會將其服務器證書做爲身份證實發送到客戶端計算機。服務器
配置 NPS 服務器證書註冊的過程分爲三個階段:網絡
- 安裝 AD CS 服務器角色。只有當還沒有在網絡上部署證書頒發機構 (CA) 時,才須要執行此步驟。
- 配置服務器證書模板和自動註冊。CA 將根據證書模板來頒發證書,所以在 CA 頒發證書以前,您必須配置 NPS 服務器證書的模板。若是配置了自動註冊,則在運行 NPS 的服務上刷新組策略時,網絡上運行 NPS 的全部服務器都將自動收到服務器證書。若是之後添加更多服務器,則這些服務器也會自動收到服務器證書。
- 在運行 NPS 的服務器上刷新組策略。刷新組策略時,運行 NPS 的服務器將收到兩個證書。一個是基於在上一步中配置的模板的服務器證書。此證書由 NPS 用於向試圖鏈接到網絡的客戶端計算機證實其身份。另外一個是「受信任根證書頒發機構證書」存儲中運行 NPS 的服務器上自動安裝的頒發 CA 證書。NPS 使用此證書來肯定是否信任它從其餘計算機收到的證書。例如,若是部署了可擴展身份驗證協議-傳輸層安全 (EAP-TLS),則客戶端計算機將使用證書向運行 NPS 的服務器證實其身份。當服務器從客戶端計算機收到證書時,將創建對該證書的信任,由於運行 NPS 的服務器將在其各自的「受信任根證書頒發機構證書」存儲中找到即將頒發的 CA 證書。
除了自動註冊 NPS 服務器證書之外,您可能須要使用如下方法之一註冊證書:ide
- 將 NPS 服務器證書從軟盤或光盤導入 NPS 證書存儲中。
- 使用證書服務 Web 註冊工具獲取 NPS 服務器證書。
因爲 NPS 服務器證書是計算機證書,所以必須將該證書導入「本地計算機」(而不是「當前用戶」)的證書存儲中。工具
 當心 |
|---|
| 若是 NPS 服務器證書錯誤地安裝在「當前用戶」證書存儲中,則 NPS 沒法將該證書用於 EAP 或受保護的 EAP (PEAP) 身份驗證,由於該證書的私鑰具備錯誤配置的訪問控制列表 (ACL),這將阻止本地系統的密鑰訪問。可使用「證書 Microsoft 管理控制檯 (MMC)」管理單元來驗證 NPS 服務器證書的位置。若是 NPS 服務器證書位於不正確的位置,請不要試圖將該證書從「當前用戶」證書存儲拖放到「本地計算機」證書存儲。該證書的私鑰將仍然具備錯誤配置的 ACL。請使用 AD CS 吊銷該證書並將新的服務器證書頒發給運行 NPS 的服務器。
|
若要部署 CA 並自動註冊 NPS 服務器證書,請執行如下過程:spa