您可以使用這些程序安裝 Active Directory(R) 憑證服務 (AD CS),並在執行網路原則伺服器 (NPS) 的伺服器註冊伺服器憑證。如果您部署以憑證為基礎的驗證,則執行 NPS 的伺服器必須擁有伺服器憑證。在驗證程序期間,這些伺服器會將其伺服器憑證傳送到用戶端電腦,做為識別身分的證明。
設定 NPS 伺服器憑證註冊的程序分為三個階段:
-
安裝 AD CS 伺服器角色。當您尚未在網路上部署憑證授權單位 (CA) 時,才需要此步驟。
-
設定伺服器憑證範本及自動註冊。CA 根據憑證範本發出憑證,因此您必須在 CA 發出憑證之前,設定 NPS 伺服器憑證的範本。在設定自動註冊時,網路上執行 NPS 的所有伺服器都會在執行 NPS 的伺服器上的群組原則重新整理時,自動接收伺服器憑證。如果您稍後新增更多伺服器,它們也會自動接收伺服器憑證。
-
重新整理執行 NPS 的伺服器上的群組原則。重新整理群組原則時,執行 NPS 的伺服器會接收兩個憑證。一個憑證是根據前一個步驟中設定的範本為基礎的伺服器憑證。NPS 使用此憑證對嘗試連線到網路的用戶端電腦證明其識別身分。另一個憑證是簽發的 CA 憑證,它會自動安裝在執行 NPS 之伺服器上的「受信任的根憑證授權單位」憑證存放區中。NPS 使用此憑證決定是否信任從其他電腦接收的憑證。例如,如果您部署可延伸驗證通訊協定-傳輸層安全性 (EAP-TLS),則用戶端電腦會使用憑證對執行 NPS 的伺服器證明其識別身分。當伺服器從用戶端電腦接收憑證時,會建立憑證的信任,因為執行 NPS 的伺服器會在它自己的「受信任的根憑證授權單位」憑證存放區找到發出的 CA 憑證。
如果不使用自動註冊 NPS 伺服器憑證,您可能想要使用下列其中一種方法註冊憑證:
-
從磁片或光碟片,手動將 NPS 伺服器憑證匯入 NPS 憑證存放區。
-
使用憑證服務網頁註冊工具取得 NPS 伺服器憑證。
因為 NPS 伺服器憑證是電腦憑證,所以您必須將憑證匯入「本機電腦」的憑證存放區,而不是「目前使用者」的憑證存放區。
 | 注意 |
|
如果 NPS 伺服器憑證錯誤地安裝在「目前的使用者」憑證存放區,NPS 就無法將憑證用於 EAP 或受保護的 EAP (PEAP) 驗證,因為憑證的私密金鑰擁有設定錯誤的存取控制清單 (ACL),使得本機系統無法存取金鑰。您可以使用憑證 Microsoft Management Console (MMC) 嵌入式管理單元來確認 NPS 伺服器憑證的位置。如果 NPS 伺服器憑證不在正確的位置,請勿嘗試將憑證從「目前的使用者」拖放到「本機電腦」憑證存放區。憑證的私密金鑰還是設定錯誤的 ACL。而是要使用 AD CS 撤銷憑證,然後發出新的伺服器憑證給執行 NPS 的伺服器。 |
若要部署 CA 並自動註冊 NPS 伺服器憑證,請執行下列程序: