部署 CA 和 NPS 服务器证书
应用到: Windows Server 2008 R2
可以使用以下过程来安装 Active Directory(R) 证书服务 (AD CS) 并在运行网络策略服务器 (NPS) 的服务器上注册服务器证书。如果部署基于证书的身份验证,则运行 NPS 的服务器必须具有服务器证书。在身份验证过程中,这些服务器会将其服务器证书作为身份证明发送到客户端计算机。
配置 NPS 服务器证书注册的过程分为三个阶段:
- 安装 AD CS 服务器角色。只有当尚未在网络上部署证书颁发机构 (CA) 时,才需要执行此步骤。
- 配置服务器证书模板和自动注册。CA 将根据证书模板来颁发证书,因此在 CA 颁发证书之前,您必须配置 NPS 服务器证书的模板。如果配置了自动注册,则在运行 NPS 的服务上刷新组策略时,网络上运行 NPS 的所有服务器都将自动收到服务器证书。如果以后添加更多服务器,则这些服务器也会自动收到服务器证书。
- 在运行 NPS 的服务器上刷新组策略。刷新组策略时,运行 NPS 的服务器将收到两个证书。一个是基于在上一步中配置的模板的服务器证书。此证书由 NPS 用于向试图连接到网络的客户端计算机证明其身份。另一个是“受信任根证书颁发机构证书”存储中运行 NPS 的服务器上自动安装的颁发 CA 证书。NPS 使用此证书来确定是否信任它从其他计算机收到的证书。例如,如果部署了可扩展身份验证协议-传输层安全 (EAP-TLS),则客户端计算机将使用证书向运行 NPS 的服务器证明其身份。当服务器从客户端计算机收到证书时,将建立对该证书的信任,因为运行 NPS 的服务器将在其各自的“受信任根证书颁发机构证书”存储中找到即将颁发的 CA 证书。
除了自动注册 NPS 服务器证书以外,您可能需要使用以下方法之一注册证书:
- 将 NPS 服务器证书从软盘或光盘导入 NPS 证书存储中。
- 使用证书服务 Web 注册工具获取 NPS 服务器证书。
由于 NPS 服务器证书是计算机证书,因此必须将该证书导入“本地计算机”(而不是“当前用户”)的证书存储中。
小心 |
---|
如果 NPS 服务器证书错误地安装在“当前用户”证书存储中,则 NPS 无法将该证书用于 EAP 或受保护的 EAP (PEAP) 身份验证,因为该证书的私钥具有错误配置的访问控制列表 (ACL),这将阻止本地系统的密钥访问。可以使用“证书 Microsoft 管理控制台 (MMC)”管理单元来验证 NPS 服务器证书的位置。如果 NPS 服务器证书位于不正确的位置,请不要试图将该证书从“当前用户”证书存储拖放到“本地计算机”证书存储。该证书的私钥将仍然具有错误配置的 ACL。请使用 AD CS 吊销该证书并将新的服务器证书颁发给运行 NPS 的服务器。
|
若要部署 CA 并自动注册 NPS 服务器证书,请执行以下过程: