Pomocí těchto postupů můžete nainstalovat službu AD CS (Active Directory® Certificate Services) a zapsat certifikát serveru na servery NPS (Network Policy Server). Pokud nasazujete ověření na základě certifikátu, musí mít servery NPS certifikát serveru. Během procesu ověření odesílají tyto servery své certifikáty serveru klientským počítačům jako potvrzení identity.

Proces konfigurace zápisu certifikátu serveru NPS se skládá ze tří fází:

  1. Instalace role serveru AD CS: Tento krok je vyžadován pouze, pokud v síti ještě nebyla nasazena certifikační autorita (CA).

  2. Konfigurace šablony certifikátu serveru a automatického zápisu: Certifikační autorita vydává certifikáty založené na šabloně certifikátu, proto musíte nejprve konfigurovat šablonu pro certifikát serveru NPS a teprve potom může certifikační autorita certifikát vydat. Při konfiguraci automatického zápisu obdrží všechny servery NPS v síti automaticky certifikát serveru po aktualizaci zásad skupiny na serveru NPS. Pokud později přidáte další servery, obdrží také automaticky certifikát serveru.

  3. Aktualizace zásad skupiny na serverech NPS: Po aktualizaci zásad skupiny obdrží servery NPS dva certifikáty. Jedním certifikátem je certifikát serveru založený na šabloně, kterou jste nakonfigurovali v předchozím kroku. Tento certifikát je používán serverem NPS k prokázání své identity klientským počítačům, které se pokoušejí připojit k síti. Druhým certifikátem je certifikát vystavující certifikační autority, který je automaticky instalován na servery NPS do úložiště důvěryhodných kořenových certifikátů certifikační autority. Server NPS používá tento certifikát při rozhodování, zda může důvěřovat certifikátům, které přijímá z jiných počítačů. Pokud například nasadíte protokol EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), budou klientské počítače používat certifikát k prokázání svých identit serveru NPS. Pokud server obdrží certifikát z klientského počítače, je vytvořen vztah důvěryhodnosti, protože server NPS nalezne certifikát vydávaný certifikační autoritou ve svém vlastním úložišti důvěryhodných kořenových certifikátů certifikační autority.

Je možné, že budete chtít místo automatického zápisu certifikátu serveru NPS použít některou z následujících metod zápisu certifikátu:

  • Ruční import certifikátu serveru NPS z diskety nebo kompaktního disku do úložiště certifikátů serveru NPS.

  • Použití nástroje pro webový zápis Certifikační služby pro získání certifikátu serveru NPS.

Protože je certifikát serveru NPS certifikátem počítače, musíte certifikát importovat do úložiště certifikátů pro místní počítač, nikoli pro aktuálního uživatele.

Upozornění

Pokud je certifikát serveru NPS nesprávně nainstalován v úložišti certifikátů aktuálního uživatele, nemůže server NPS použít certifikát pro ověřování pomocí protokolu EAP nebo PEAP (Protected EAP), protože soukromé klíče certifikátu mají nesprávně nakonfigurován seznam řízení přístupu, který brání místnímu systému v přístupu ke klíčům. Umístění certifikátu serveru NPS můžete ověřit pomocí modulu snap-in Certifikáty konzoly MMC (Microsoft Management Console). Pokud se certifikát serveru NPS nachází v nesprávném umístění, nepokoušejte se certifikát přetáhnout z úložiště certifikátů aktuálního uživatele do úložiště certifikátů pro místní počítač. Soukromé klíče certifikátu budou mít i nadále nesprávně konfigurovaný seznam řízení přístupu. Certifikát odvolejte pomocí služby AD CS a vydejte nový certifikát serveru pro server NPS.

Chcete-li nasadit certifikační autoritu a automaticky zapsat certifikáty serveru NPS, proveďte následující postupy:

Obsah