如何部署 CA 和 NPS 服务器证书
环境: Windows Server 2008 R2
可以使用以下过程来安装 Active Directory(R) 证书服务 (AD CS) 并在运行网络策略服务器 (NPS) 的服务器上注册服务器证书。如果部署基于证书的身份验证,则运行 NPS 的服务器必须具有服务器证书。在身份验证过程中,这些服务器会将其服务器证书作为身份证明发送到客户端计算机。
配置 NPS 服务器证书注册的过程分为三个阶段:
1.安装 AD CS 服务器角。只有当尚未在网络上部署证书颁发机构 (CA) 时,才需要执行此步骤。
2.配置服务器证书模板和自动注册。CA 将根据证书模板来颁发证书,因此在 CA 颁发证书之前,您必须配置 NPS 服务器证书的模板。如果配置了自动注册,则在运行 NPS 的服务上刷新组策略时,网络上运行 NPS 的所有服务器都将自动收到服务器证书。如果以后添加更多服务器,则这些服务器也会自动收到服务器证书。
3.在运行 NPS 的服务器上刷新组策略。刷新组策略时,运行 NPS 的服务器将收到两个证书。一个是基于在上一步中配置的模板的服务器证书。此证书由 NPS 用于向试图连接到网络的客户端计算机证明其身份。另一个是“受信任根证书颁发机构证书”存储中运行 NPS 的服务器上自动安装的颁发 CA 证书。NPS
使用此证书来确定是否信任它从其他计算机收到的证书。例如,如果部署了可扩展身份验证协议-传输层安全 (EAP-TLS),则客户端计算机将使用证书向运行 NPS 的服务器证明其身份。当服务器从客户端计算机收到证书时,将建立对该证书的信任,因为运行 NPS 的服务器将在其各自的“受信任根证书颁发机构证书”存储中到即将颁发的 CA 证书。
除了自动注册 NPS 服务器证书以外,您可能需要使用以下方法之一注册证书:
∙将 NPS 服务器证书从软盘或光盘导入 NPS 证书存储中。
∙使用证书服务 Web 注册工具获取 NPS 服务器证书。
由于 NPS 服务器证书是计算机证书,因此必须将该证书导入“本地计算机”(而不是“当前用户”)的证书存储中。
小心
如果 NPS 服务器证书错误地安装在“当前用户”证书存储中,则 NPS 无法将该证书用于 EAP 或受保护的 EAP (PEAP) 身份验证,因为该证书的私钥具有错误配置的访问控制列表 (ACL),这将阻止本地系统的密钥访问。可以使用“证书 Microsoft 管理控制台 (MMC)”管理单元来验证 NPS 服务器证书的位置。如果 NPS 服务器证书位于不正确的位置,请不要试图将该证书从“当前用户”证书存储拖放到“本地计算机”证
书存储。该证书的私钥将仍然具有错误配置的 ACL。请使用 AD CS 吊销该证书并将新的服务器证书颁发给运行 NPS 的服务器。
若要部署 CA 并自动注册 NPS 服务器证书,请执行以下过程:
1、NPS 服务器证书:CA 安装
2、NPS 服务器证书:配置模板和自动注册
1、NPS 服务器证书:CA 安装
可以使用此过程安装Active Directory(R) 证书服务(AD CS),以便可以将服务器证书注册到运行网络策略服务器(NPS) 的服务器。如果部署基于证书的身份验证,则NPS 服务器必须拥有服务器证书。身份验证过程中,NPS 服务器将其服务器证书作为身份证明发送到客户端计算机。
若要完成此过程,至少要具有Enterprise Admins 组和根域的Domain Admins 组的成员身
份。
安装Active Directory 证书服务的步骤
1.以Enterprise Admins 组和根域的Domain Admins 组的成员身份登录。
2.依次单击“开始”、“管理工具”和“服务器管理器”。“服务器管理器”控制台打开。
在左窗格中单击“角”,然后在细节窗格中单击“添加角”。
3.这将打开“添加角”向导。单击“下一步”。
4.在“选择服务器角”页的“角”中,选择“Active Directory 证书服务”,然后
单击“下一步”两次。
5.在“选择角服务”页的“角服务”中,单击“证书颁发机构”,然后单击“下
一步”。
6.在“Active Directory 证书服务简介”页上,查看提供的信息,然后单击“下一步”。
7.在“选择角服务”页上,确保选中了“证书颁发机构”,选择所需的任何其他角active下载
服务,然后单击“下一步”。
8.在“指定安装类型”页上,确保选中了“企业”,然后单击“下一步”。
9.在“指定CA 类型”页中,单击“根CA”,然后单击“下一步”。
10.在“设置私钥”页上,确保选中了“新建私钥”,然后单击“下一步”。
11.在“为CA 配置加密”页上,保留默认设置或根据需要进行更改。注意,“密钥字
符长度”的默认值为2048,该值是以前默认密钥字符长度1024 的两倍。根据您
的网络规模和流量,可能需要调整密钥字符长度。单击“下一步”。
12.在“配置CA 名称”页上,保留CA 的建议公用名,或根据要求更改名称,然后
单击“下一步”。
13.在“设置有效期”页的“选择为此CA 生成的证书的有效期”,键入数值并选择时
间值(年、月、周或日),该值确定由CA 颁发的证书的过期日期。建议的默认设
置为五年。单击“下一步”。
14.在“配置证书数据库”页的“证书数据库位置”和“证书数据库日志位置”中,指
定这些项目的文件夹位置。如果指定默认位置之外的位置,请确保使用阻止未经授
权的用户或计算机访问CA 数据库和日志文件的访问控制列表(ACL) 来保护文件
夹。单击“下一步”,然后单击“完成”,或继续安装所选的任何其他角服务。
2、NPS 服务器证书:配置模板和自动
注册
可以使用此过程配置证书模板,Active Directory(R) 证书服务(AD CS) 将该模板用作向运行
网络策略服务器(NPS) 的服务器注册服务器证书的基础。
若要完成此过程,至少要具有Enterprise Admins 组和根域的Domain Admins 组的成员身份。
配置证书模板和自动注册的步骤
1.在安装Active Directory 证书服务的计算机上,单击“开始”,单击“运行”,键入
mmc,然后单击“确定”。
2.在“文件”菜单上,单击“添加/删除管理单元”。此时将打开“添加或删除管理单元”对
话框。
3.在“可用的管理单元”中,双击“证书颁发机构”。选择要管理的CA,然后单击“完成”。
此时将关闭“证书颁发机构”对话框,返回到“添加或删除管理单元”对话框。
4.在“可用的管理单元”中,双击“证书模板”,然后单击“确定”。
5.在控制台树中,单击“证书模板”。所有证书模板将显示在细节窗格中。
6.在细节窗格中,单击“RAS 和IAS 服务器”模板。
7.在“操作”菜单上,单击“复制模板”。在“复制模板”对话框中,选择适合您的部署的
模板版本,然后单击“确定”。此时将打开新的模板属性对话框。
8.在“常规”选项卡上的“显示名称”中,键入证书模板的新名称,或保留默认名称。
9.单击“安全”选项卡。在“组或用户名”中,单击“RAS 和IAS 服务器”。
10.在“RAS 和IAS 服务器的权限”中的“允许”下,选中“注册”和“自动注册”权限复选框,
然后单击“确定”。
11.双击“证书颁发机构”,双击CA 名称,然后单击“证书模板”。在“操作”菜单上,指
向“新建”,然后单击“要颁发的证书模板”。此时将打开“启用证书模板”对话框。
12.在“启用证书模板”中,单击刚才配置的证书模板的名称,然后单击“确定”。例如,
如果未更改默认的证书模板名称,则单击“RAS 和IAS 服务器的副本”,然后单击
“确定”。
13.在安装Active Directory 域服务(AD DS) 的计算机上,单击“开始”,单击“运行”,
键入mmc,然后单击“确定”。
14.在“文件”菜单上,单击“添加/删除管理单元”。此时将打开“添加或删除管理单元”对
话框。
15.在“可用的管理单元”中,双击“组策略管理编辑器”。此时将打开“选择组策略对象”
向导。单击“浏览”,然后选择“默认域策略”。单击“确定”,单击“完成”,然后再单
击“确定”。
16.双击“默认域策略”。依次打开“计算机配置”、“策略”、“Windows 设置”、“安全设置”,
然后选择“公钥策略”。
17.在细节窗格中,双击“证书服务客户端- 自动注册”。此时将打开“证书服务客户端
- 自动注册属性”对话框。
18.在“证书服务客户端– 自动注册属性”对话框的“配置型号”中,选择“已启用”。
19.选中“续订过期证书、更新未决证书并删除吊销的证书”复选框。
20.选中“更新使用证书模板的证书”复选框,然后单击“确定”。
注意事项:完成此步骤之后,当刷新组策略时,运行NPS 的服务器会自动注册服务器证书。若要刷新组策略,请重新启动服务器,或者在命令提示符下运行gpupdate。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论