验证服务器证书的服务器注册

  • 项目

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016

可以使用此程序验证网络策略服务器 (NPS) 是否已从证书颁发机构 (CA) 注册了服务器证书。

注意

Domain Admins 组中的成员身份是完成这些过程所需的最低要求。

验证网络策略服务器 (NPS) 是否已注册服务器证书

由于 NPS 用于对网络连接请求进行身份验证和授权,因此请务必确保颁发给 NPS 的服务器证书在网络策略中使用时有效。

若要验证服务器证书是否已正确配置并注册到 NPS,必须配置测试网络策略并允许 NPS 验证 NPS 是否可以使用该证书进行身份验证。

验证 NPS 是否已注册服务器证书

  1. 在“服务器管理器”中,单击“工具”,然后单击“网络策略服务器”。 此时会打开网络策略服务器 Microsoft 管理控制台 (MMC)。

  2. 双击“策略”,右键单击“网络策略”,然后单击“新建”。 将打开新建网络策略向导。

  3. 在“指定网络策略名称和连接类型”中,在“策略名称”中键入“测试策略”。 确保“网络访问服务器的类型”的值为“未指定”,然后单击“下一步”。

  4. 在“指定条件”页面中,单击“添加”。 在“选择条件”中,单击“Windows 组”,然后单击“添加”。

  5. 在“组”中,单击“添加组”。 在“选择组”中,键入“域用户”,然后按 Enter。 单击“确定”,然后单击“下一步”

  6. 在“指定访问权限”中,确保已选择“授予的访问权限”,然后单击“下一步”。

  7. 在“配置身份验证方法”中,单击“添加”。 在“添加 EAP”中,单击“Microsoft: 受保护的 EAP (PEAP)”,然后单击“确定”。 在“EAP 类型”中,选择“Microsoft: 受保护的 EAP (PEAP)”,然后单击“编辑”。 此时会打开“编辑受保护的 EAP 属性”对话框。

  8. 在“编辑受保护的 EAP 属性”对话框的“证书颁发给”中,NPS 以 计算机名. 格式显示服务器证书的名称。 例如,如果 NPS 名为 NPS-01,并且域为 example.com,则 NPS 将显示证书 NPS-01.example.com。 此外,在“颁发者”中,会显示证书颁发机构的名称,并在“到期日期”中显示服务器证书的到期日期。 这表明 NPS 已注册有效的服务器证书,可用于向尝试通过网络访问服务器访问网络的客户端计算机证明其身份,例如虚拟专用网络 (VPN) 服务器、支持 802.1X 的无线接入点、远程桌面网关服务器和支持 802.1X 的以太网交换机。

    重要

    如果 NPS 未显示有效的服务器证书,并且显示在本地计算机上找不到此类证书的消息,那么可能有两个原因导致了此问题。 组策略可能未正确刷新,并且 NPS 尚未从 CA 注册证书。 在这种情况下,请重启 NPS。 当计算机重启时,会刷新组策略,你可以再次执行此过程来验证服务器证书是否已注册。 如果刷新组策略无法解决此问题,则表示证书模板和/或证书自动注册未正确配置。 若要解决这些问题,请从本指南开头开始,然后再次执行所有步骤,以确保所提供的设置准确无误。

  9. 验证是否存在有效的服务器证书后,可以单击“确定”和“取消”退出“新建网络策略”向导。

    注意

    由于你还没有完成向导,因此不会在 NPS 中创建测试网络策略。