Use estes procedimentos para instalar os Serviços de Certificados do Active Directory® (AD CS) e registrar um certificado de servidor nos servidores que executam o Servidor de Diretivas de Rede (NPS). Se você implantar a autenticação baseada em certificado, os servidores que executam NPS deverão ter um certificado de servidor. Durante o processo de autenticação, esses servidores enviam o certificado de servidor para computadores clientes como prova de identidade.
O processo de configuração do registro de certificado do servidor NPS ocorre em três estágios:
-
Instale a função de servidor AD CS. Esta etapa só será necessária se você ainda não tiver implantado uma autoridade de certificação (CA) em sua rede.
-
Configure um modelo de certificado de servidor e o registro automático. A autoridade de certificação emite certificados baseado em um modelo de certificado, por isso, é necessário configurar o modelo do certificado de servidor NPS antes de a CA emitir um certificado. Ao configurar o registro automático, todos os servidores que executam o NPS na rede receberão automaticamente um certificado de servidor quando a Diretiva de Grupo do servidor que executa o NPS for atualizada. Se você adicionar servidores posteriormente, eles também receberão automaticamente um certificado de servidor.
-
Atualize a Diretiva de Grupo nos servidores que executam o NPS. Quando a Diretiva de Grupo é atualizada, os servidores que executam o NPS recebem dois certificados. Um deles é o certificado de servidor baseado no modelo que você configurou na etapa anterior. O NPS usa esse certificado para provar sua identidade para os computadores clientes que tentam conectar-se à rede. O outro certificado é o certificado da autoridade de certificação, que é automaticamente instalado nos servidores que executam o NPS, no repositório de certificados de Autoridades de Certificação Raiz Confiáveis. O NPS usa esse certificado para determinar se deve confiar nos certificados que recebe de outros computadores. Por exemplo, se você implantar o EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), os computadores cliente usarão um certificado que prove sua identidade para o servidor que executa o NPS. Quando o servidor recebe um certificado de um computador cliente, é estabelecida a confiança no certificado porque o servidor que executa o NPS encontra o certificado da CA emissora no repositório de certificados de Autoridades de Certificação Raiz Confiáveis.
Em vez de registrar automaticamente um certificado do servidor NPS, você pode fazer o registro por um dos seguintes métodos:
-
Importe manualmente um certificado do servidor NPS do disquete ou CD para o repositório de certificados NPS.
-
Use a ferramenta de registro na Web dos Serviços de certificados para obter o certificado de servidor NPS.
Como o certificado de servidor NPS é um certificado do computador, é necessário importá-lo no repositório de certificados do Computador Local, e não do Usuário Atual.
Cuidado | |
Se o certificado do servidor NPS for instalado erroneamente no repositório de certificados do Usuário Atual, o NPS não poderá usar o certificado na autenticação PEAP ou EAP, porque as chaves privadas do certificado têm uma lista de controle de acesso (ACL) configurada incorretamente, impedindo o sistema local de acessar as chaves. Você pode verificar a localização do certificado do servidor NPS usando o snap-in do MMC Certificados. Se o certificado do servidor NPS não estiver no local correto, não tente arrastá-lo e soltá-lo do repositório de certificados do Usuário Atual para o do Computador Local. As chaves privadas do certificado continuarão com uma ACL configurada incorretamente. Em vez disso, revogue o certificado usando o AD CS e emita um novo certificado de servidor para o servidor que executa o NPS. |
Para implantar uma autoridade de certificação e registrar automaticamente os certificados de servidor NPS, execute os seguintes procedimentos: