De här procedurerna kan du använda om du vill installera Active Directory®-certifikattjänster (AD CS) och registrera servercertifikat på servrar som kör NPS (Network Policy Server). Om du distribuerar certifikatbaserad autentisering måste det finnas ett servercertifikat på servrar med NPS. Under autentiseringsprocessen skickar servrarna servercertifikat till klientdatorerna för att styrka sin identitet.

Konfigurationsprocessen för registrering av NPS-servercertifikat sker i tre etapper:

  1. Installera AD CS-serverrollen Det här steget är endast nödvändigt om du inte redan har distribuerat en certifikatutfärdare till nätverket.

  2. Konfigurera en servercertifikatmall och automatisk registrering Certifikatutfärdaren utfärdar certifikat utifrån en certifikatmall. Därför måste du konfigurera mallen för NPS-servercertifikat innan certifikatutfärdaren kan utfärda certifikat. När du konfigurerar automatisk registrering får alla nätverkets servrar med NPS automatiskt ett servercertifikat när deras grupprincip uppdateras. Om du lägger till fler servrar senare får de också ett servercertifikat automatiskt.

  3. Uppdatera grupprincipen på servrar som kör NPS. När grupprincipen uppdateras får servrar med NPS två certifikat. Det ena certifikatet är servercertifikatet som baseras på den mall du konfigurerade i föregående steg. Det här certifikatet används av NPS för att styrka dess identitet gentemot de klientdatorer som försöker ansluta till nätverket. Det andra certifikatet är certifikatutfärdarcertifikatet, som installeras automatiskt på lagringsplatsen för betrodda rotcertifikatutfärdare på servrar med NPS. I NPS används det här certifikatet för att avgöra om certifikat som tas emot från andra datorer är tillförlitliga. Om du exempelvis distribuerar Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) använder klientdatorerna ett certifikat för att styrka sina identiteter gentemot servern som kör NPS. När servern får ett certifikat från en klientdator blir certifikatet betrott eftersom servern med NPS hittar certifikatutfärdarcertifikatet på sin egen lagringsplats för betrodda rotcertifikatutfärdare.

Du kanske hellre vill registrera NPS-servercertifikatet med en av följande metoder än att registrera det automatiskt:

  • Importera ett NPS-servercertifikat manuellt från en diskett eller CD-skiva till certifikatarkivet i NPS.

  • Använd verktyget för webbregistrering av certifikattjänster om du vill ta emot NPS-servercertifikatet.

Eftersom NPS-servercertifikatet är ett datorcertifikat måste du importera certifikatet till den lokala datorns certifikatarkiv snarare än till den aktuella användaren.

Varning

Om NPS-servercertifikatet installeras i den aktuella användarens certifikatarkiv av misstag kan inte certifikatet användas för EAP- eller Skyddad EAP (PEAP)-autentisering i NPS. Det beror på att certifikatets privata nycklar har en felaktigt konfigurerad åtkomstkontrollista (ACL) som förhindrar att det lokala systemet kommer åt dem. Du kan kontrollera NPS-servercertifikatets placering med hjälp av certifikatets snapin-modul Microsoft Management Console (MMC). Om NPS-servercertifikatet finns på fel plats ska du inte försöka dra och släppa certifikatet från den aktuella användarens certifikatarkiv till den lokala datorns certifikatarkiv. Certifikatets privata nycklar kommer ändå att ha en felaktigt konfigurerad åtkomstkontrollista. Återkalla i stället certifikatet med AD CS och utfärda ett nytt servercertifikat till servern som kör NPS.

Utför följande procedurer om du vill distribuera ett certifikatutfärdarcertifikat och automatiskt registrera ett NPS-servercertifikat:


Innehåll