Use estes procedimentos para instalar os Serviços de Certificados do Active Directory® (AD CS) e registrar um certificado de servidor nos servidores que executam o Servidor de Diretivas de Rede (NPS). Se você implantar a autenticação baseada em certificado, os servidores que executam NPS deverão ter um certificado de servidor. Durante o processo de autenticação, esses servidores enviam o certificado de servidor para computadores clientes como prova de identidade.

O processo de configuração do registro de certificado do servidor NPS ocorre em três estágios:

  1. Instale a função de servidor AD CS. Esta etapa só será necessária se você ainda não tiver implantado uma autoridade de certificação (CA) em sua rede.

  2. Configure um modelo de certificado de servidor e o registro automático. A autoridade de certificação emite certificados baseado em um modelo de certificado, por isso, é necessário configurar o modelo do certificado de servidor NPS antes de a CA emitir um certificado. Ao configurar o registro automático, todos os servidores que executam o NPS na rede receberão automaticamente um certificado de servidor quando a Diretiva de Grupo do servidor que executa o NPS for atualizada. Se você adicionar servidores posteriormente, eles também receberão automaticamente um certificado de servidor.

  3. Atualize a Diretiva de Grupo nos servidores que executam o NPS. Quando a Diretiva de Grupo é atualizada, os servidores que executam o NPS recebem dois certificados. Um deles é o certificado de servidor baseado no modelo que você configurou na etapa anterior. O NPS usa esse certificado para provar sua identidade para os computadores clientes que tentam conectar-se à rede. O outro certificado é o certificado da autoridade de certificação, que é automaticamente instalado nos servidores que executam o NPS, no repositório de certificados de Autoridades de Certificação Raiz Confiáveis. O NPS usa esse certificado para determinar se deve confiar nos certificados que recebe de outros computadores. Por exemplo, se você implantar o EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), os computadores cliente usarão um certificado que prove sua identidade para o servidor que executa o NPS. Quando o servidor recebe um certificado de um computador cliente, é estabelecida a confiança no certificado porque o servidor que executa o NPS encontra o certificado da CA emissora no repositório de certificados de Autoridades de Certificação Raiz Confiáveis.

Em vez de registrar automaticamente um certificado do servidor NPS, você pode fazer o registro por um dos seguintes métodos:

  • Importe manualmente um certificado do servidor NPS do disquete ou CD para o repositório de certificados NPS.

  • Use a ferramenta de registro na Web dos Serviços de certificados para obter o certificado de servidor NPS.

Como o certificado de servidor NPS é um certificado do computador, é necessário importá-lo no repositório de certificados do Computador Local, e não do Usuário Atual.

Cuidado

Se o certificado do servidor NPS for instalado erroneamente no repositório de certificados do Usuário Atual, o NPS não poderá usar o certificado na autenticação PEAP ou EAP, porque as chaves privadas do certificado têm uma lista de controle de acesso (ACL) configurada incorretamente, impedindo o sistema local de acessar as chaves. Você pode verificar a localização do certificado do servidor NPS usando o snap-in do MMC Certificados. Se o certificado do servidor NPS não estiver no local correto, não tente arrastá-lo e soltá-lo do repositório de certificados do Usuário Atual para o do Computador Local. As chaves privadas do certificado continuarão com uma ACL configurada incorretamente. Em vez disso, revogue o certificado usando o AD CS e emita um novo certificado de servidor para o servidor que executa o NPS.

Para implantar uma autoridade de certificação e registrar automaticamente os certificados de servidor NPS, execute os seguintes procedimentos:


Sumário