Active Directory® Sertifika Hizmetleri'ni (AD CS) yüklemek ve Ağ İlkesi Sunucusu (NPS) çalışan sunuculara bir sunucu sertifikası kaydettirmek için aşağıdaki yordamları kullanabilirsiniz. Sertifika tabanlı kimlik doğrulama kullanırsanız, NPS çalışan sunucuların bir sunucu sertifikası olmalıdır. Bu sunucular kimlik doğrulama işlemi sırasında kimlik kanıtı olarak sunucu sertifikalarını istemci bilgisayarlara gönderir.
NPS sunucu sertifikası kaydını yapılandırma işlemi üç aşamalı olarak gerçekleşir:
-
AD CS sunucu rolünü yükleyin. Bu adım yalnızca ağınızda zaten bir sertifika yetkilisi (CA) dağıttıysanız gereklidir.
-
Sunucu sertifikası için şablonu ve otomatik kaydı yapılandırın. CA, sertifikaları bir sertifika şablonuna göre yayımlar; bu nedenle, CA'nın bir sertifika yayımlayabilmesi için ilk önce NPS sunucu sertifikasının şablonunu yapılandırmanız gerekir. Otomatik kaydı yapılandırdığınızda, NPS çalışan sunucudaki Grup İlkesi yenilendiğinde, ağınızda NPS çalışan tüm sunucular otomatik olarak bir sunucu sertifikası alır. Daha sonra başka sunucular eklerseniz, bunlar da sunucu sertifikasını otomatik olarak alır.
-
NPS çalışan sunucularda Grup İlkesi'ni yenileyin. Grup İlkesi yenilendiğinde, NPS çalışan sunucular iki sertifika alır. Bu sertifikalardan biri, önceki adımda yapılandırdığınız şablona göre oluşturulan sunucu sertifikasıdır. Bu sertifika, ağınıza bağlanmaya çalışan istemci bilgisayarlara kimliğini kanıtlamak üzere NPS tarafından kullanılır. Diğer sertifika ise, Güvenilen Kök Sertifika Yetkilileri sertifika deposundaki NPS çalışan sunuculara otomatik olarak yüklenen verme CA sertifikasıdır. NPS bu sertifikayı, diğer bilgisayarlardan aldığı sertifikalara güvenip güvenmeyeceğini belirlemek için kullanır. Örneğin, Genişletilebilir Kimlik Doğrulama Protokolü-Aktarım Katmanı Güvenliği (EAP-TLS) dağıtırsanız, istemci bilgisayarlar NPS çalışan sunucuya kimliklerini kanıtlamak için bir sertifika kullanır. Sunucu bir istemci bilgisayardan sertifika aldığında, NPS çalışan sunucu yayımlanan CA sertifikasını üvenilen Kök Sertifika Yetkilileri sertifika deposunda bulduğu için sertifika güveni sağlanır.
NPS sunucu sertifikasını otomatik kaydettirmek yerine, sertifikayı aşağıdaki yöntemlerden birini kullanarak kaydettirebilirsiniz:
-
NPS sunucu sertifikasını disketten veya CD'den NPS sertifika deposuna el ile alın.
-
Sertifika Hizmetleri Web kaydı aracını kullanarak NPS sunucu sertifikasını edinin.
NPS sunucu sertifikası bir bilgisayar sertifikası olduğu için, sertifikayı Yerel Kullanıcı sertifika deposu yerine Yerel Bilgisayar sertifika deposuna almalısınız.
 | Dikkat |
|
NPS sunucu sertifikası yanlışlıkla Geçerli Kullanıcı sertifika deposuna yüklenirse, NPS sertifikayı EAP veya Korumalı EAP (PEAP) kimlik doğrulaması için kullanamaz; çünkü sertifikanın özel anahtarları için hatalı yapılandırılmış bir erişim denetim listesi (ACL) olduğundan, yerel sistemin anahtara erişimi engellenir. Sertifikalar Microsoft Yönetim Konsolu (MMC) ek bileşenini kullanarak NPS sunucu sertifikasının konumunu doğrulayabilirsiniz. NPS sunucu sertifikası hatalı bir konumdaysa, sürükle ve bırak yöntemini kullanarak sertifikayı Geçerli Kullanıcı sertifika deposundan Yerel Bilgisayar sertifika deposuna taşımaya çalışmayın. Sertifikanın özel anahtarları hatalı yapılandırılmış bir ACL'ye sahip olacaktır. Bunun yerine, AD CS'yi kullanarak sertifikayı iptal edin ve NPS çalışan sunucuya yeni bir sunucu sertifikası yayımlayın. |
CA'yı dağıtmak ve NPS sunucu sertifikalarını otomatik kaydettirmek için aşağıdaki yordamları gerçekleştirin: