Pode utilizar estes procedimentos para instalar os Serviços de Certificados do Active Directory® (AD CS) e inscrever um certificado de servidor nos servidores que estão a executar o NPS (Network Policy Server). Se implementar a autenticação baseada em certificados, os servidores que estiverem a executar o NPS têm de ter um certificado de servidor. Durante o processo de autenticação, estes servidores enviam o respectivo certificado de servidor para os computadores clientes, como prova de identidade.
O processo de configuração da inscrição de certificados de servidor NPS ocorre em três fases:
-
Instalar a função de servidor de AD CS. Este passo só é requerido se ainda não tiver implementado uma autoridade de certificação (AC) na rede.
-
Configurar a inscrição automática e o modelo do certificado de servidor. A AC emite certificados com base num modelo de certificado, pelo que tem de configurar o modelo do certificado de servidor NPA antes que a AC possa emitir um certificado. Quando configura a inscrição automática, todos os servidores que estejam a executar o NPS na rede irão receber automaticamente um certificado de servidor quando a Política de Grupo for actualizada no servidor que está a executar o NPS. Se adicionar mais servidores posteriormente, estes também receberão um certificado de servidor.
-
Actualizar a Política de Grupo nos servidores com o NPS. Quando a Política de Grupo é actualizada, os servidores que estejam a executar o NPS recebem dois certificados. Um é o certificado de servidor baseado no modelo que configurou no passo anterior. Este certificado é utilizado pelo NPS para provar a respectiva identidade aos computadores clientes que tentem ligar à rede. O outro certificado é o certificado da AC do emissor, que é automaticamente instalado no arquivo de certificados de Autoridades de Certificação de Raiz Fidedigna dos servidores com o NPS. O NPS utiliza este certificado para determinar se considera fidedignos os certificados recebidos a partir de outros computadores. Por exemplo, se implementar o EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), os computadores cliente utilizarão um certificado para provar as suas identidades ao servidor com o NPS. Quando o servidor receber um certificado a partir de um computador cliente, a fidedignidade do certificado é estabelecida porque o servidor que está a executar o NPS localiza o certificado da AC emissora no respectivo arquivo de certificados de Autoridades de Certificação de Raiz Fidedigna.
Em vez de inscrever automaticamente um certificado de servidor NPS, poderá ser conveniente inscrever o certificado através de um dos seguintes métodos:
-
Importar manualmente um certificado de servidor NPS para o arquivo de certificados do NPS a partir de uma disquete ou CD.
-
Utilizar a ferramenta Web de inscrição de Serviços de Certificados para obter o certificado de servidor NPS.
Visto que o certificado de servidor NPS é um certificado de computador, terá de importá-lo para o arquivo de certificados Computador Local e não Utilizador Actual.
 | Atenção |
|
Se o certificado de servidor NPS for instalado incorrectamente no arquivo de certificados Utilizador Actual, o NPS não poderá utilizar o certificado para autenticação EAP ou PEAP (Protected EAP), visto que as chaves privadas do certificado têm uma ACL (Lista de Controlo de Acesso) configurada incorrectamente que impede o acesso do sistema local às chaves. Poderá verificar a localização do certificado de servidor NPS utilizando o snap-in Certificados da MMC (Consola de Gestão da Microsoft). Se o certificado de servidor NPS estiver na localização incorrecta, não tente arrastá-lo e largá-lo do arquivo de certificados Utilizador Actual para o arquivo de certificados Computador Local. As chaves privadas do certificado continuarão a ter uma ACL incorrectamente configurada. Em vez disso, revogue o certificado utilizando o AD CS e emita um novo certificado de servidor para o servidor que está a executar o NPS. |
Para implementar uma AC e inscrever automaticamente certificados de servidor NPS, efectue os seguintes procedimentos: