Udostępnij za pośrednictwem

Konfigurowanie automatycznej rejestracji certyfikatów dla serwera zasad sieciowych

Automatyczne rejestrowanie certyfikatów upraszcza proces wdrażania certyfikatów i zarządzania nimi na serwerach z uruchomionym serwerem zasad sieciowych (NPS) w środowisku usługi Active Directory. W tym artykule opisano sposób konfigurowania automatycznej rejestracji zarówno dla certyfikatów serwera, jak i użytkowników przy użyciu zasad grupy. Wykonując te kroki, możesz upewnić się, że certyfikaty są automatycznie wystawiane, odnawiane i zarządzane dla serwerów i użytkowników organizacji.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że spełnione są następujące wymagania wstępne:

  • Usługi certyfikatów Active Directory (AD CS) są instalowane i konfigurowane z co najmniej jednym urzędem certyfikacji przedsiębiorstwa.

  • Skonfigurowano szablon certyfikatu serwera na potrzeby automatycznej rejestracji. Aby uzyskać więcej informacji, zobacz Konfigurowanie szablonu certyfikatu serwera na potrzeby automatycznej rejestracji.

  • Masz konto użytkownika, które jest członkiem zarówno grupy zabezpieczeń Enterprise Admins, jak i Domain Admins domeny głównej.

  • Dostęp do następujących konsol zarządzania:

    • Zarządzanie zasadami grupy.
    • Serwer zasad sieciowych.

Konfigurowanie automatycznego rejestrowania certyfikatu serwera i użytkownika

Aby skonfigurować automatyczną rejestrację dla certyfikatów serwera, wykonaj następujące kroki:

  1. Otwórz konsolę zarządzania zasadami grupy.

  2. Rozwiń węzły lasu i domeny twojej usługi Active Directory i znajdź Domyślną Politykę Domeny. Kliknij prawym przyciskiem myszy domyślne zasady domeny i wybierz polecenie Edytuj, co spowoduje otwarcie Edytora zarządzania zasadami grupy.

  3. Przejdź do następującej ścieżki w Edytorze zarządzania zasadami grupy: Konfiguracja komputera>Zasady>Ustawienia systemu Windows>Ustawienia zabezpieczeń>Zasady klucza publicznego.

  4. W okienku szczegółów dwukrotnie kliknij Certificate Services Client – Auto-Enrollment. Zostanie otwarte okno dialogowe Właściwości. Skonfiguruj następujące elementy:

    1. W obszarze Model konfiguracji wybierz pozycję Włączone.
    2. Zaznacz pole wyboru Odnawianie wygasłych certyfikatów, aktualizowanie oczekujących certyfikatów i usuwanie odwołanych certyfikatów.
    3. Zaznacz pole wyboru Aktualizuj certyfikaty korzystające z szablonów certyfikatów.

  5. Kliknij przycisk OK. Pozostaw otwartą konsolę Edytora zarządzania zasadami grupy, aby skonfigurować automatyczną rejestrację certyfikatu użytkownika.

  6. Przejdź do następującej ścieżki: Konfiguracja użytkownika>Zasady>Ustawienia systemu Windows>Ustawienia zabezpieczeń>Zasady klucza publicznego.

  7. W okienku szczegółów dwukrotnie kliknij Certificate Services Client – Auto-Enrollment. Zostanie otwarte okno dialogowe Właściwości. Skonfiguruj następujące elementy:

    1. W obszarze Model konfiguracji wybierz pozycję Włączone.
    2. Zaznacz pole wyboru Odnawianie wygasłych certyfikatów, aktualizowanie oczekujących certyfikatów i usuwanie odwołanych certyfikatów.
    3. Zaznacz pole wyboru Aktualizuj certyfikaty korzystające z szablonów certyfikatów.

  8. Wybierz przycisk OK, a następnie zamknij konsolę Edytora zarządzania zasadami grupy.

  9. Odśwież ustawienia zasad grupy na serwerach NPS, aby zastosować ustawienia automatycznej rejestracji. Natychmiastowe odświeżanie można wymusić, uruchamiając następujące polecenie w wierszu polecenia z podwyższonym poziomem uprawnień:

    gpupdate /force

Weryfikowanie rejestracji certyfikatu serwera dla serwera NPS

Po skonfigurowaniu automatycznej rejestracji i odświeżonych zasad grupy można sprawdzić, czy certyfikat serwera został pomyślnie zarejestrowany. Aby sprawdzić, czy certyfikat serwera jest poprawnie skonfigurowany i jest zarejestrowany w usłudze NPS, należy utworzyć testowe zasady sieciowe i zezwolić serwerowi NPS na sprawdzenie, czy serwer NPS może używać certyfikatu do uwierzytelniania. Nie ukończyłeś kreatora, więc testowa polityka sieciowa nie jest tworzona w usłudze NPS, ale możesz sprawdzić, czy certyfikat serwera został przypisany.

Aby zweryfikować rejestrację NPS związaną z certyfikatem serwera:

  1. Otwórz konsolę serwera zasad sieciowych .

  2. Rozwiń opcję Zasady i wybierz Zasady sieciowe.

  3. Kliknij prawym przyciskiem myszy pozycję Zasady sieciowe, a następnie wybierz pozycję Nowy. Zostanie otwarty kreator Nowe zasady sieciowe .

  4. W polu Określ nazwę zasad sieciowych i typ połączenia w polu Nazwa zasad wprowadź nazwę, na przykład Przetestuj zasady automatycznej rejestracji. Upewnij się, że typ serwera dostępu do sieci ma wartość Nieokreślony, a następnie wybierz przycisk Dalej.

  5. W obszarze Określ warunki wybierz pozycję Dodaj. Wybierz pozycję Grupy systemu Windows, a następnie wybierz pozycję Dodaj.

  6. W obszarze Grupy systemu Windows wybierz pozycję Dodaj grupy. Wprowadź prawidłową grupę, taką jak Użytkownicy domeny, a następnie wybierz przycisk OK. Ponownie wybierz przycisk OK dla grup systemu Windows. Sprawdź, czy grupa jest wymieniona jako warunek, a następnie wybierz pozycję Dalej.

  7. W obszarze Określ uprawnienie dostępu upewnij się, że wybrano opcję Udzielono dostępu , a następnie wybierz przycisk Dalej.

  8. W obszarze Konfigurowanie metod uwierzytelniania wybierz pozycję Dodaj. W obszarze Dodaj protokół EAP wybierz pozycję Microsoft: Chronione EAP (PEAP), a następnie wybierz przycisk OK.

  9. W obszarze Typy protokołu EAP wybierz pozycję Microsoft: Chroniony protokół EAP (PEAP), a następnie wybierz pozycję Edytuj.

  10. W oknie dialogowym Edytowanie właściwości chronionego protokołu EAP, w sekcji Certyfikat wystawiony dla, NPS wyświetla nazwę certyfikatu serwera jako w pełni kwalifikowaną nazwę domeny (FQDN). Jeśli na przykład serwer NPS ma nazwę NPS-01, a domena jest example.com, serwer NPS wyświetla NPS-01.example.com certyfikatu. Ponadto w sekcji Wystawca wyświetlana jest nazwa urzędu certyfikacji, a w sekcji Data wygaśnięcia pokazana jest data wygaśnięcia certyfikatu serwera.

    Ważne

    Jeśli serwer NPS nie wyświetla prawidłowego certyfikatu serwera i jeśli zostanie wyświetlony komunikat informujący, że nie można odnaleźć takiego certyfikatu na komputerze lokalnym, istnieją dwa możliwe przyczyny:

    1. Zasady grupy nie zostały prawidłowo odświeżone, a serwer NPS nie zarejestrował certyfikatu z urzędu certyfikacji. W takiej sytuacji uruchom ponownie serwer NPS. Po ponownym uruchomieniu serwera zasady grupy są odświeżane i można spróbować ponownie sprawdzić, czy certyfikat serwera jest zarejestrowany.

    2. Szablon certyfikatu, automatyczna rejestracja certyfikatu lub oba te elementy nie są poprawnie skonfigurowane. Aby rozwiązać te problemy, sprawdź, czy wszystkie kroki opisane w tym artykule zostały wykonane prawidłowo, aby upewnić się, że podane ustawienia są dokładne.

  11. Po zweryfikowaniu obecności prawidłowego certyfikatu serwera możesz wybrać przycisk OK i przycisk Anuluj , aby zamknąć kreatora. Ponieważ nie ukończysz kreatora, zasady sieci testowej nie zostaną utworzone w usłudze NPS.

Ten proces pokazuje, że serwer NPS zarejestrował prawidłowy certyfikat serwera, którego może użyć do udowodnienia tożsamości komputerom klienckim, które próbują uzyskać dostęp do sieci za pośrednictwem serwerów dostępu do sieci, takich jak serwery wirtualnej sieci prywatnej (VPN), 802.1X-obsługujące punkty dostępu bezprzewodowego, serwery bramy usług pulpitu zdalnego i przełączniki Ethernet z obsługą standardu 802.1X.