Met de volgende procedures kunt u AD CS (Active Directory® Certificate Services) installeren en een servercertificaat registreren op NPS-servers (Network Policy Server). Wanneer u een verificatie op basis van certificaten implementeert, moet de NPS-servers over een servercertificaat beschikken. Tijdens het verificatieproces sturen de NPS-servers het servercertificaat naar clientcomputers als bewijs van hun identiteit.
De procedure voor het configureren van de registratie van het NPS-servercertificaat vindt plaats in drie fases:
-
Installeer de AD CS-serverfunctie. Deze stap is alleen vereist als u nog geen certificeringsinstantie (CA) in het netwerk hebt geïmplementeerd.
-
Configureer een servercertificaatsjabloon en automatische registratie. Via de CA worden certificaten verstrekt op basis van een certificaatsjabloon. Daarom moet u de sjabloon voor het NPS-servercertificaat configureren voordat een certificaat kan worden verstrekt door de CA. Wanneer u de automatische registratie configureert, ontvangen alle NPS-servers in het netwerk automatisch een servercertificaat wanneer het groepsbeleid wordt vernieuwd op de NPS-server. Als u later meer servers toevoegt, ontvangen deze ook automatisch een servercertificaat.
-
Vernieuw het groepsbeleid op NPS-servers. Wanneer het groepsbeleid wordt vernieuwd, ontvangen de NPS-servers twee certificaten. Een van deze certificaten is het servercertificaat op basis van de sjabloon die u in de vorige stap hebt geconfigureerd. Dit certificaat wordt door NPS gebruikt om de identiteit te bewijzen voor clientcomputers die verbinding maken met het netwerk. Het andere certificaat is het certificaat van de CA, die automatisch op de NPS-servers wordt geïnstalleerd in het certificaatarchief Vertrouwde basiscertificeringsinstanties. Dit certificaat wordt door NPS gebruikt om te bepalen of certificaten moeten worden vertrouwd die worden ontvangen van andere computers. Als u bijvoorbeeld EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) gebruikt, wordt voor clientcomputers een certificaat gebruikt om hun identiteit aan te tonen op de NPS-server. Wanneer de server een certificaat ontvangt van een clientcomputer, wordt het vertrouwen voor het certificaat bepaald, omdat op de NPS-server wordt gezocht naar het certificaat van de verlenende CA in het eigen certificaatarchief Vertrouwde basiscertificeringsinstanties.
In plaats van een NPS-servercertificaat automatisch te registreren, kunt u het certificaat met een van de volgende methoden registreren:
-
Importeer een NPS-servercertificaat handmatig in het NPS-certificaatarchief vanaf een diskette of cd.
-
Gebruik het registratieprogramma op het web Certificate Services om het NPS-servercertificaat op te halen.
Aangezien het NPS-servercertificaat een computercertificaat is, moet u het certificaat importeren in het certificaatarchief voor de lokale computer, in plaats van de huidige gebruiker.
 | Waarschuwing |
|
Als het NPS-servercertificaat is geïnstalleerd in het certificaatarchief van de huidige gebruiker, kan het certificaat niet worden gebruikt voor EAP- of PEAP-verificatie (Protected EAP), omdat de persoonlijke sleutels van het certificaat een onjuist geconfigureerde ACL (Access Control List) bevatten, waardoor het lokale systeem geen toegang heeft tot de sleutels. U kunt de locatie van het NPS-servercertificaat controleren met de MMC-module (Microsoft Management Console) Certificaten. Als het NPS-servercertificaat zich op een onjuiste locatie bevindt, moet u het certificaat niet slepen vanuit het gegevensarchief voor de huidige gebruiker naar het gegevensarchief voor de lokale computer. De persoonlijke sleutels voor het certificaat bevatten dan nog steeds een onjuist geconfigureerde ACL. Trek in plaats hiervan het certificaat in met AD CS en verstrek een nieuw servercertificaat aan de NPS-server. |
Voer de volgende procedures uit om een CA te implementeren en NPS-servercertificaten automatisch te registreren: