Freigeben über

Konfigurieren der automatischen Registrierung von Zertifikaten für Netzwerkrichtlinienserver

Die automatische Zertifikatregistrierung vereinfacht das Bereitstellen und Verwalten von Zertifikaten auf Servern, auf denen Netzwerkrichtlinienserver (Network Policy Server, NPS) in einer Active Directory-Umgebung ausgeführt wird. In diesem Artikel wird beschrieben, wie Sie die automatische Registrierung für Server- und Benutzerzertifikate mithilfe von Gruppenrichtlinien konfigurieren. Indem Sie diese Schritte ausführen, können Sie sicherstellen, dass Zertifikate automatisch ausgestellt, erneuert und für die Server und Benutzer Ihrer Organisation verwaltet werden.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:

  • Active Directory-Zertifikatdienste (AD CS) wird mit mindestens einer Zertifizierungsstelle (Enterprise Certification Authority, CA) installiert und konfiguriert.

  • Sie haben die Serverzertifikatvorlage für die automatische Registrierung konfiguriert. Weitere Informationen finden Sie unter Konfigurieren einer Serverzertifikatvorlage für die automatische Registrierung.

  • Sie verfügen über ein Verwendungskonto, das Mitglied der Sicherheitsgruppen "Unternehmensadministratoren " und " Domänenadministratoren " der Stammdomäne ist.

  • Zugriff auf die folgenden Verwaltungskonsolen:

    • Gruppenrichtlinienverwaltung
    • Netzwerkrichtlinienserver.

Konfigurieren der automatischen Registrierung von Server- und Benutzerzertifikaten

Führen Sie die folgenden Schritte aus, um die automatische Registrierung für Serverzertifikate zu konfigurieren:

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.

  2. Erweitern Sie die Knoten Ihrer Active Directory-Gesamtstruktur und -Domäne und lokalisieren Sie die Standarddomänenrichtlinie. Klicken Sie mit der rechten Maustaste auf die Standarddomänenrichtlinie , und wählen Sie "Bearbeiten" aus, wodurch der Gruppenrichtlinienverwaltungs-Editor geöffnet wird.

  3. Navigieren Sie zum folgenden Pfad im Gruppenrichtlinienverwaltungs-Editor: Computerkonfiguration>Richtlinien>Windows-Einstellungen>Sicherheitseinstellungen>Richtlinien für öffentliche Schlüssel.

  4. Doppelklicken Sie im Detailbereich auf Zertifikatsdiensteclient - automatische Registrierung. Das Dialogfeld -Eigenschaften wird geöffnet. Konfigurieren Sie die folgenden Elemente:

    1. Wählen Sie für das Konfigurationsmodell"Aktiviert" aus.
    2. Aktivieren Sie das Kontrollkästchen " Abgelaufene Zertifikate erneuern", aktualisieren Sie ausstehende Zertifikate, und entfernen Sie widerrufene Zertifikate.
    3. Aktivieren Sie das Kontrollkästchen für Zertifikate aktualisieren, die Zertifikatvorlagen verwenden.

  5. Wählen Sie OK aus. Lassen Sie die Gruppenrichtlinienverwaltungs-Editor-Konsole geöffnet, um die automatische Registrierung von Benutzerzertifikaten zu konfigurieren.

  6. Navigieren Sie zu dem folgenden Pfad: Benutzerkonfiguration>Richtlinien>Windows-Einstellungen>Sicherheitseinstellungen>Richtlinien für öffentliche Schlüssel.

  7. Doppelklicken Sie im Detailbereich auf Zertifikatsdiensteclient - automatische Registrierung. Das Dialogfeld -Eigenschaften wird geöffnet. Konfigurieren Sie die folgenden Elemente:

    1. Wählen Sie für das Konfigurationsmodell"Aktiviert" aus.
    2. Aktivieren Sie das Kontrollkästchen " Abgelaufene Zertifikate erneuern", aktualisieren Sie ausstehende Zertifikate, und entfernen Sie widerrufene Zertifikate.
    3. Aktivieren Sie das Kontrollkästchen für Zertifikate aktualisieren, die Zertifikatvorlagen verwenden.

  8. Wählen Sie "OK" aus, und schließen Sie dann die Konsole des Gruppenrichtlinienverwaltungs-Editors.

  9. Aktualisieren Sie die Gruppenrichtlinieneinstellungen auf Ihren NPS-Servern, um die Einstellungen für die automatische Registrierung anzuwenden. Sie können eine sofortige Aktualisierung erzwingen, indem Sie den folgenden Befehl in einem Eingabeaufforderungsfenster mit Administratorrechten ausführen.

    gpupdate /force

Überprüfen der Serverzertifikatregistrierung für NPS

Nachdem Sie die automatische Registrierung und die aktualisierte Gruppenrichtlinie konfiguriert haben, können Sie überprüfen, ob das Serverzertifikat erfolgreich registriert ist. Um zu überprüfen, ob ein Serverzertifikat ordnungsgemäß konfiguriert ist und für npS registriert ist, erstellen Sie eine Netzwerkrichtlinie für Tests und ermöglichen NPS zu überprüfen, ob NPS das Zertifikat für die Authentifizierung verwenden kann. Sie schließen den Assistenten nicht ab, daher wird die Testnetzwerkrichtlinie nicht in NPS erstellt, Sie können aber überprüfen, ob das Serverzertifikat registriert ist.

So überprüfen Sie die NPS-Registrierung eines Serverzertifikats:

  1. Öffnen Sie die Netzwerkrichtlinienserver-Konsole .

  2. Erweitern Sie Richtlinien , und wählen Sie "Netzwerkrichtlinien" aus.

  3. Klicken Sie mit der rechten Maustaste auf Netzwerkrichtlinien, und wählen Sie dann "Neu" aus. Der Assistent für Neue Netzwerkrichtlinien wird geöffnet.

  4. Für Netzwerkrichtliniennamen und Verbindungstyp festlegen, geben Sie im Richtliniennamen einen Namen ein, z. B. Test-Richtlinie für die automatische Registrierung. Stellen Sie sicher, dass der Typ des Netzwerkzugriffsservers den Wert "Nicht angegeben" aufweist, und wählen Sie dann "Weiter" aus.

  5. Wählen Sie für "Bedingungen angeben" die Option "Hinzufügen" aus. Wählen Sie "Windows-Gruppen" und dann "Hinzufügen" aus.

  6. Wählen Sie für Windows-Gruppen " Gruppen hinzufügen" aus. Geben Sie eine gültige Gruppe ein, z. B. Domänenbenutzer, und wählen Sie dann "OK" aus. Wählen Sie "OK" erneut für Windows-Gruppen aus. Überprüfen Sie, ob Ihre Gruppe als Bedingung aufgeführt ist, und wählen Sie dann "Weiter" aus.

  7. Stellen Sie für „Zugriffsberechtigung angeben“ sicher, dass „Zugriff gewährt“ ausgewählt ist, und wählen Sie dann „Weiter“ aus.

  8. Wählen Sie Authentifizierungsmethoden konfigurieren, und klicken Sie auf Hinzufügen. Wählen Sie für "EAP hinzufügen" Microsoft: Protected EAP (PEAP) und dann "OK" aus.

  9. Wählen Sie in EAP-TypenMicrosoft: Protected EAP (PEAP) und dann "Bearbeiten" aus.

  10. Im Dialogfeld "Geschützte EAP-Eigenschaften bearbeiten", in "Zertifikat ausgestellt an", zeigt NPS den Namen des Serverzertifikats als vollqualifizierten Domänennamen (FQDN) an. Wenn Ihr NPS z. B. NPS-01 heißt und Ihre Domäne example.com ist, zeigt NPS das Zertifikat NPS-01.example.com an. Darüber hinaus wird in Aussteller der Name Ihrer Zertifizierungsstelle angezeigt, und unter Ablaufdatum wird das Ablaufdatum des Serverzertifikats angezeigt.

    Von Bedeutung

    Wenn NPS kein gültiges Serverzertifikat anzeigt und die Meldung bereitstellt, dass ein solches Zertifikat auf dem lokalen Computer nicht gefunden werden kann, gibt es zwei mögliche Gründe:

    1. Die Gruppenrichtlinie wurde nicht ordnungsgemäß aktualisiert, und der NPS-Server hat kein Zertifikat von der Zertifizierungsstelle registriert. Starten Sie in diesem Fall den NPS-Server neu. Wenn der Server neu gestartet wird, wird die Gruppenrichtlinie aktualisiert, und Sie können erneut versuchen, zu überprüfen, ob das Serverzertifikat registriert ist.

    2. Entweder die Zertifikatvorlage, die automatische Zertifikatregistrierung oder beide sind nicht ordnungsgemäß konfiguriert. Um diese Probleme zu beheben, überprüfen Sie, ob Sie alle Schritte in diesem Artikel ordnungsgemäß befolgt haben, um sicherzustellen, dass die von Ihnen bereitgestellten Einstellungen korrekt sind.

  11. Nachdem Sie das Vorhandensein eines gültigen Serverzertifikats überprüft haben, können Sie "OK " und "Abbrechen " auswählen, um den Assistenten zu beenden. Da Sie den Assistenten nicht abschließen, wird in NPS keine Testnetzwerkrichtlinie erstellt.

Dieser Prozess zeigt, dass Ihr NPS ein gültiges Serverzertifikat registriert hat, das es verwenden kann, um seine Identität für Clientcomputer zu beweisen, die versuchen, über Ihre Netzwerkzugriffsserver auf das Netzwerk zuzugreifen, z. B. VPN-Server (Virtual Private Network), 802.1X-fähige Drahtloszugriffspunkte, Remotedesktopgatewayserver und 802.1X-fähige Ethernet-Switches.