Poniższe procedury umożliwiają zainstalowanie usług certyfikatów w usłudze Active Directory (AD CS, Active Directory® Certificate Services) i zarejestrowanie certyfikatu serwera na serwerach zasad sieciowych. Jeśli jest wdrażane uwierzytelnianie oparte na certyfikatach, serwery zasad sieciowych muszą mieć certyfikat serwera. Podczas procesu uwierzytelniania serwery te wysyłają swój certyfikat serwera do komputerów klienckich jako potwierdzenie tożsamości.

Proces konfigurowania rejestrowania certyfikatu serwera zasad sieciowych przebiega w trzech etapach:

  1. Instalowanie roli serwera usług certyfikatów w usłudze Active Directory. Ten krok jest wymagany tylko wtedy, gdy w sieci nie wdrożono jeszcze urzędu certyfikacji.

  2. Konfigurowanie szablonu certyfikatu serwera i automatycznego rejestrowania. Urząd certyfikacji wystawia certyfikaty na podstawie szablonu certyfikatu, dlatego należy skonfigurować szablon dla certyfikatu serwera zasad sieciowych, aby urząd certyfikacji mógł wystawić certyfikat. Kiedy zostanie skonfigurowane automatyczne rejestrowanie, wszystkie serwery zasad sieciowych działające w sieci automatycznie otrzymają certyfikat serwera po odświeżeniu zasad grupy na serwerze zasad sieciowych. Kolejne serwery dodane później również otrzymają certyfikat serwera automatycznie.

  3. Odświeżanie zasad grupy na serwerach zasad sieciowych. Gdy zasady grupy są odświeżane, serwery zasad sieciowych otrzymują dwa certyfikaty. Jeden z nich to certyfikat serwera oparty na szablonie skonfigurowanym w poprzednim kroku. Ten certyfikat jest używany przez serwer zasad sieciowych w celu potwierdzenia jego tożsamości na komputerach klienckich, które próbują połączyć się z siecią. Drugi certyfikat to certyfikat wystawiającego urzędu certyfikacji, który jest instalowany automatycznie na serwerach zasad sieciowych w magazynie certyfikatów Zaufane główne urzędy certyfikacji. Serwer zasad sieciowych używa tego certyfikatu, aby określić, czy należy ufać certyfikatom otrzymywanym od innych komputerów. Jeśli na przykład zostanie wdrożony protokół EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), komputery klienckie będą używać certyfikatu w celu potwierdzenia swojej tożsamości na serwerze zasad sieciowych. Gdy serwer otrzyma certyfikat od komputera klienckiego, zaufanie dla tego certyfikatu zostanie ustanowione, ponieważ serwer NPS znajdzie certyfikat urzędu certyfikacji, który wystawił certyfikat komputera klienckiego, w swoim magazynie certyfikatów Zaufane główne urzędy certyfikacji.

Zamiast automatycznego rejestrowania certyfikatu serwera zasad sieciowych można użyć jednej z następujących metod w celu zarejestrowania certyfikatu:

  • Ręczne zaimportowanie certyfikatu serwera zasad sieciowych z dyskietki lub z dysku kompaktowego do magazynu certyfikatów serwera zasad sieciowych.

  • Uzyskanie certyfikatu serwera zasad sieciowych za pomocą narzędzia rejestrowania w sieci Web usług certyfikatów.

Ponieważ certyfikat serwera zasad sieciowych jest certyfikatem komputera, należy zaimportować go do magazynu certyfikatów komputera lokalnego, a nie do magazynu bieżącego użytkownika.

Przestroga

Jeśli certyfikat serwera zasad sieciowych zostanie przez pomyłkę zainstalowany w magazynie certyfikatów bieżącego użytkownika, serwer zasad sieciowych nie będzie w stanie użyć takiego certyfikatu do uwierzytelniania za pomocą protokołu EAP lub PEAP (Protected EAP), ponieważ klucze prywatne certyfikatu będą miały niepoprawnie skonfigurowaną listę kontroli dostępu (ACL), która uniemożliwi systemowi lokalnemu dostęp do kluczy. Za pomocą przystawki Certyfikaty programu Microsoft Management Console (MMC) można sprawdzić lokalizację certyfikatu serwera zasad sieciowych. Jeśli certyfikat serwera zasad sieciowych znajduje się w niewłaściwej lokalizacji, nie należy przeciągać certyfikatu z magazynu certyfikatów bieżącego użytkownika do magazynu komputera lokalnego. Klucze prywatne certyfikatu wciąż będą miały niepoprawnie skonfigurowaną listę kontroli dostępu. Zamiast tego należy odwołać certyfikat za pomocą usług certyfikatów w usłudze Active Directory i wystawić nowy certyfikat serwera dla serwera zasad sieciowych.

Aby wdrożyć urząd certyfikacji i automatycznie zarejestrować certyfikaty serwera zasad sieciowych, wykonaj następujące procedury:

Spis treści