通过

配置用于网络策略服务器的证书自动注册

证书自动注册简化了在 Active Directory 环境中运行网络策略服务器(NPS)的服务器部署和管理证书的过程。 本文介绍如何使用组策略为服务器和用户证书配置自动注册。 通过执行这些步骤,可以帮助你确保为组织的服务器和用户自动颁发、续订和管理证书。

先决条件

在开始之前,请确保满足以下先决条件:

  • Active Directory 证书服务(AD CS)已安装并配置了至少一个企业证书颁发机构(CA)。

  • 你为自动注册配置了服务器证书模板。 有关详细信息,请参阅 配置用于自动注册的服务器证书模板

  • 你有一个使用帐户,该帐户是 企业管理员 和根域的 域管理员 安全组的成员。

  • 访问以下管理控制台:

    • 组策略管理。
    • 网络策略服务器。

配置服务器和用户证书自动注册

若要为服务器证书配置自动注册,请执行以下步骤:

  1. 打开组策略管理控制台。

  2. 展开 Active Directory 林和域的节点并找到 默认域策略。 右键单击 默认域策略 并选择“ 编辑”,这将打开组策略管理编辑器。

  3. 在组策略管理编辑器中导航到以下路径: 计算机配置>策略>Windows 设置>安全设置>公钥策略

  4. 在详细信息窗格中,双击 “证书服务客户端 - 自动注册”。 “属性”对话框打开了。 配置以下项:

    1. 对于 配置模型,请选择“ 已启用”。
    2. 选中“ 续订过期证书”、“更新挂起的证书”和“删除已吊销的证书”框。
    3. 选中“ 更新使用证书模板的证书”框。

  5. 选择“确定”。 使组策略管理编辑器控制台保持打开状态,以配置用户证书自动注册。

  6. 导航到以下路径: 用户配置>策略>Windows 设置>安全设置>公钥策略

  7. 在详细信息窗格中,双击 “证书服务客户端 - 自动注册”。 “属性”对话框打开了。 配置以下项:

    1. 对于 配置模型,请选择“ 已启用”。
    2. 选中“ 续订过期证书”、“更新挂起的证书”和“删除已吊销的证书”框。
    3. 选中“ 更新使用证书模板的证书”框。

  8. 选择 “确定”,然后关闭组策略管理编辑器控制台。

  9. 刷新 NPS 服务器上的组策略设置以应用自动注册设置。 可以通过在提升的命令提示符中运行以下命令来强制立即刷新:

    gpupdate /force

验证 NPS 的服务器证书注册

配置自动注册和刷新的组策略后,可以验证服务器证书是否已成功注册。 若要验证服务器证书是否已正确配置并注册到 NPS,请创建测试网络策略并允许 NPS 验证 NPS 是否可以使用证书进行身份验证。 未完成向导,因此不会在 NPS 中创建测试网络策略,但可以验证服务器证书是否已注册。

验证服务器证书的 NPS 注册情况:

  1. 打开 网络策略服务器 控制台。

  2. 展开 策略 并选择 “网络策略”。

  3. 右键单击 “网络策略”,然后选择“ 新建”。 此时会打开 “新建网络策略 ”向导。

  4. 对于 指定网络策略名称和连接类型,请在 策略名称中输入名称,例如 测试自动注册策略。 确保 网络访问服务器的类型 具有 “未指定”值,然后选择“ 下一步”。

  5. 对于 “指定条件”,请选择“ 添加”。 选择 Windows 组,然后选择“ 添加”。

  6. 对于 Windows 组,请选择“ 添加组”。 输入有效的组(如 域用户),然后选择“ 确定”。 对于 Windows 组,请再次选择“确定”。 请确认您的组被列为条件,然后选择“下一步”。

  7. 对于 “指定访问权限”,请确保已选择 “授予的访问权限 ”,然后选择“ 下一步”。

  8. 对于 “配置身份验证方法”,请选择“ 添加”。 对于添加 EAP,请选择Microsoft: 受保护的 EAP(PEAP),然后选择确定

  9. EAP 类型中,选择 “Microsoft:受保护的 EAP(PEAP),然后选择” 编辑”。

  10. “编辑受保护的 EAP 属性 ”对话框中,在 颁发给的证书中,NPS 将服务器证书的名称显示为完全限定的域名(FQDN)。 例如,如果 NPS 名为 NPS-01,并且域为 example.com,则 NPS 将显示证书 NPS-01.example.com。 此外,在“颁发者”中,会显示证书颁发机构的名称,并在“到期日期”中显示服务器证书的到期日期。

    重要

    如果 NPS 未显示有效的服务器证书,并且它提供在本地计算机上找不到此类证书的消息,则有两个可能的原因:

    1. 组策略未正确刷新,NPS 服务器未从 CA 注册证书。 在这种情况下,请重启 NPS 服务器。 服务器重启后,将刷新组策略,可以重试以验证服务器证书是否已注册。

    2. 证书模板、证书自动注册或两者未正确配置。 若要解决这些问题,请验证你已正确执行本文中的所有步骤,以确保提供的设置准确无误。

  11. 验证是否存在有效的服务器证书后,可以选择“ 确定 ”和 “取消” 退出向导。 由于您没有完成向导,因此在 NPS 中无法创建测试网络策略。

此过程演示了 NPS 注册了一个有效的服务器证书,该证书可用于向尝试通过网络访问服务器(例如虚拟专用网络(VPN)服务器、支持 802.1X 的无线接入点、远程桌面网关服务器和支持 802.1X 的以太网交换机等客户端计算机证明其身份。