共用方式為

設定網路原則伺服器的憑證自動登錄

憑證自動註冊可簡化在 Active Directory 環境中運行網路原則伺服器(NPS)的伺服器上的憑證部署和管理過程。 本文說明如何使用組策略設定伺服器和用戶憑證的自動註冊。 遵循這些步驟,您可以協助確保憑證會自動發行、更新及管理組織的伺服器和使用者。

先決條件

開始之前,請確定符合下列必要條件:

  • Active Directory 憑證服務(AD CS)已安裝並設定至少一個企業證書頒發機構(CA)。

  • 您已設定伺服器證書範本以進行自動申請。 如需詳細資訊,請參閱 設定自動註冊的伺服器證書範本

  • 您有一個使用帳戶,該帳戶同時是 Enterprise Admins 和根域的 Domain Admins 安全組的成員。

  • 存取下列管理主控台:

    • 群組原則管理。
    • 網路原則伺服器。

設定伺服器和用戶憑證自動註冊

若要設定伺服器憑證的自動註冊,請遵循下列步驟:

  1. 開啟組策略管理主控台。

  2. 展開 Active Directory 樹系和網域的節點,然後找出 預設網域原則。 以滑鼠右鍵按兩下 [預設網域原則 ],然後選取 [ 編輯],這會開啟組策略管理編輯器。

  3. 在組策略管理編輯器中流覽至下列路徑:計算機>設定原則>Windows 設定>安全性設定>公鑰原則

  4. 在詳細資料窗格中,按兩下 [憑證服務用戶端 - 自動註冊]。 此時會開啟 [屬性] 對話方塊。 設定下列項目:

    1. 針對 組態模型,選取 已啟用
    2. 勾選方塊以續訂過期憑證、更新擱置的憑證,以及移除已撤銷的憑證。
    3. 核取 [ 更新使用證書範本的憑證] 方塊。

  5. 請選擇 [確定]。 讓組策略管理編輯器主控台保持開啟,以設定用戶憑證自動註冊。

  6. 流覽至下列路徑: 用戶設定>原則>Windows 設定>安全性設定>公鑰原則

  7. 在詳細資料窗格中,按兩下 [憑證服務用戶端 - 自動註冊]。 此時會開啟 [屬性] 對話方塊。 設定下列項目:

    1. 針對 組態模型,選取 已啟用
    2. 勾選方塊以續訂過期憑證、更新擱置的憑證,以及移除已撤銷的憑證。
    3. 核取 [ 更新使用證書範本的憑證] 方塊。

  8. 選取 [確定],然後關閉 [組策略管理編輯器] 控制台。

  9. 重新整理 NPS 伺服器上的組策略設定,以套用自動註冊設定。 您可以在具有管理權限的命令提示字元中執行下列命令,以強制立即刷新:

    gpupdate /force

確認 NPS 的伺服器證書註冊

設定自動註冊並重新整理組策略后,您可以確認已成功註冊伺服器證書。 若要確認伺服器證書已正確設定並註冊至 NPS,請建立測試網路原則並允許 NPS 確認 NPS 可以使用憑證進行驗證。 您未完成精靈,因此不會在 NPS 中建立測試網路原則,但您可以確認伺服器證書已註冊。

若要驗證伺服器憑證的 NPS 註冊:

  1. 開啟 網路原則伺服器 控制台。

  2. 展開 [ 原則 ],然後選取 [ 網络原則]。

  3. 以滑鼠右鍵按兩下 [網络原則],然後選取 [ 新增]。 [ 新增網络原則 精靈] 隨即開啟。

  4. 針對 [指定網络原則名稱] 和 [連線類型],在 [原則 名稱] 中輸入名稱,例如 測試自動註冊原則。 確定 [網络存取伺服器類型 ] 具有 [未指定] 值,然後選取 [ 下一步]。

  5. 針對 [指定條件],選取 [新增]。 選取 [Windows 群組],然後選取 [ 新增]。

  6. 針對 [Windows 群組],選取 [新增群組]。 輸入有效的群組,例如 網域用戶,然後選取 [ 確定]。 再次選取[確定]以適用於Windows 群組。 確認您的群組列為條件,然後選取 [ 下一步]。

  7. 針對 [指定訪問許可權],確定已選取 [授與存取 權],然後選取 [ 下一步]。

  8. 針對 [設定驗證方法],選取 [ 新增]。 針對 新增 EAP,選取 Microsoft:受保護的 EAP(PEAP),然後選取 確定

  9. [EAP 類型] 中,選取 [Microsoft:受保護的 EAP (PEAP),然後選取 [ 編輯]。

  10. 編輯受保護的 EAP 屬性 對話方塊中的 頒發給的憑證,NPS 會將伺服器憑證的名稱顯示為完整網域名稱(FQDN)。 例如,如果您的 NPS 名為 NPS-01,且您的網域 example.com,NPS 會顯示憑證 NPS-01.example.com。 此外,在 [簽發者] 中,會顯示憑證授權單位單位的名稱,並在 [到期日] 中顯示伺服器憑證到期日。

    這很重要

    如果 NPS 未顯示有效的伺服器證書,而且它提供訊息指出本機電腦上找不到這類憑證,則有兩個可能的原因:

    1. 組策略未正確重新整理,且 NPS 伺服器未從 CA 註冊憑證。 在此情況下,請重新啟動 NPS 伺服器。 當伺服器重新啟動時,組策略會重新整理,您可以再次嘗試確認伺服器證書已註冊。

    2. 證書範本、憑證自動註冊或兩者都未正確設定。 若要解決這些問題,請確認您已正確遵循本文中的所有步驟,以確保您提供的設定正確無誤。

  11. 確認有效伺服器證書是否存在之後,您可以選取 [確定 ] 和 [ 取消 ] 以結束精靈。 因為您未完成精靈,因此不會在 NPS 中建立測試網路原則。

此程式示範您的 NPS 註冊了有效的伺服器證書,可用來向嘗試透過網路存取伺服器的用戶端電腦證明其身分識別,例如虛擬專用網 (VPN) 伺服器、802.1X 支援的無線存取點、遠端桌面閘道伺服器和 802.1X 可用的乙太網路交換器。