Настройка автоматической регистрации сертификатов для сервера политики сети

Автоматическая регистрация сертификатов упрощает процесс развертывания сертификатов и управления ими на серверах, на которых выполняется сервер политики сети (NPS) в среде Active Directory. В этой статье описывается настройка автоматической регистрации для сертификатов сервера и пользователей с помощью групповой политики. Следуя этим инструкциям, вы можете убедиться, что сертификаты автоматически выдаются, обновляются и управляются для серверов и пользователей вашей организации.

Prerequisites

Перед началом работы убедитесь, что выполнены следующие предварительные требования:

  • Службы сертификатов Active Directory (AD CS) устанавливаются и настраиваются с как минимум одним корпоративным центром сертификации (ЦС).

  • Вы настроили шаблон сертификата сервера для автоматической регистрации. Дополнительные сведения см. в разделе "Настройка шаблона сертификата сервера" для автоматической регистрации.

  • У вас есть учетная запись использования, которая входит как в группы безопасности администраторов корпоративных администраторов , так и в группах безопасности администраторов домена корневого домена.

  • Доступ к следующим консоли управления:

    • Управление групповой политикой
    • Сервер политики сети.

Настройка автоматической регистрации сертификата сервера и пользователя

Чтобы настроить автоматическую регистрацию сертификатов сервера, выполните следующие действия.

  1. Откройте консоль управления групповыми политиками.

  2. Разверните узлы для вашего леса и домена Active Directory и найдите Политику домена по умолчанию. Щелкните правой кнопкой мыши политику домена по умолчанию и выберите пункт "Изменить", который открывает редактор управления групповыми политиками.

  3. Перейдите к следующему пути в редакторе управления групповыми политиками:политики>конфигурации> компьютера WindowsSettings Security Settings>>Public Key Policies.

  4. На панели подробностей дважды щелкните параметр Клиент службы сертификации: автоматическая регистрация. Откроется диалоговое окно "Свойства ". Настройте следующие элементы:

    1. Для модели конфигурации выберите "Включено".
    2. Установите флажок для обновления сертификатов с истекшим сроком действия, обновления ожидающих сертификатов и удаления отозванных сертификатов.
    3. Установите флажок "Обновить сертификаты", использующие шаблоны сертификатов.

  5. Нажмите ОК. Не закрывайте консоль редактора управления групповыми политиками, чтобы настроить автоматическую регистрацию сертификата пользователя.

  6. Перейдите к следующему пути:Политикиконфигурации> пользователейWindows SettingsSecurity Settings>>Public Key Policies.>

  7. На панели подробностей дважды щелкните параметр Клиент службы сертификации: автоматическая регистрация. Откроется диалоговое окно "Свойства ". Настройте следующие элементы:

    1. Для модели конфигурации выберите "Включено".
    2. Установите флажок для обновления сертификатов с истекшим сроком действия, обновления ожидающих сертификатов и удаления отозванных сертификатов.
    3. Установите флажок "Обновить сертификаты", использующие шаблоны сертификатов.

  8. Нажмите кнопку "ОК", а затем закройте консоль редактора управления групповыми политиками.

  9. Обновите параметры групповой политики на серверах NPS, чтобы применить параметры автоматической регистрации. Вы можете принудительно обновить, выполнив следующую команду в командной строке с повышенными привилегиями:

    gpupdate /force

Проверка регистрации сертификатов сервера для NPS

После настройки автоматической регистрации и обновления групповой политики можно убедиться, что сертификат сервера успешно зарегистрирован. Чтобы убедиться, что сертификат сервера настроен правильно и зарегистрирован в NPS, создайте тестовую политику сети и разрешите NPS проверить, может ли NPS использовать сертификат для проверки подлинности. Вы не завершаете работу мастера настройки, поэтому тестовая сетевая политика не создана в NPS, но вы можете убедиться, что сертификат сервера выпущен.

Чтобы проверить регистрацию сертификата сервера в NPS, выполните следующее:

  1. Откройте консоль сервера политики сети .

  2. Разверните политики и выберите политики сети.

  3. Щелкните правой кнопкой мыши политики сети, а затем выберите "Создать". Откроется мастер создания политики сети .

  4. В поле "Указать имя политики сети" и "Тип подключения" введите имя, например "Проверка политики автоматической регистрации". Убедитесь, что тип сервера сетевого доступа имеет значение "Не указано", а затем нажмите кнопку "Далее".

  5. Для указания условий нажмите кнопку "Добавить". Выберите группы Windows, а затем нажмите кнопку "Добавить".

  6. Для групп Windows выберите "Добавить группы". Введите допустимую группу, например "Пользователи домена", а затем нажмите кнопку "ОК". Нажмите кнопку "ОК" для групп Windows. Убедитесь, что группа указана как условие, а затем нажмите кнопку "Далее".

  7. Чтобы указать разрешение доступа, убедитесь, что выбран предоставленный доступ, затем выберите Далее.

  8. Для настройки методов проверки подлинности нажмите кнопку "Добавить". Для добавления EAP выберите Microsoft: Protected EAP (PEAP) и нажмите кнопку "ОК".

  9. В типах EAP выберите Microsoft: Protected EAP (PEAP), а затем нажмите кнопку "Изменить".

  10. В диалоговом окне «Изменить защищенные свойства EAP», в сертификате, выданном NPS отображает имя вашего серверного сертификата в качестве полного доменного имени (FQDN). Например, если NPS называется NPS-01, а домен example.com, NPS отображает сертификат NPS-01.example.com. Кроме того, в издателе отображается имя центра сертификации и дата окончания срока действия сертификата сервера.

    Important

    Если NPS не отображает действительный сертификат сервера и если он предоставляет сообщение о том, что такой сертификат не удается найти на локальном компьютере, существует две возможные причины:

    1. Групповая политика не обновилась должным образом, и сервер NPS не получил сертификат от ЦС. В этом случае перезапустите сервер NPS. При перезапуске сервера групповая политика обновляется, и вы можете повторить попытку, чтобы убедиться, что сертификат сервера зарегистрирован.

    2. Шаблон сертификата, автоматическая регистрация сертификата или оба не настроены правильно. Чтобы устранить эти проблемы, убедитесь, что вы выполнили все действия, описанные в этой статье, чтобы убедиться, что предоставленные параметры являются точными.

  11. После проверки наличия допустимого сертификата сервера можно нажать кнопку "ОК " и " Отмена ", чтобы выйти из мастера. Поскольку вы не завершаете работу мастера, политика тестовой сети не создается в NPS.

В этом процессе демонстрируется, что ваш NPS зарегистрировал действительный сертификат сервера, который может использоваться для подтверждения его подлинности перед клиентскими компьютерами, которые пытаются получить доступ к сети через серверы доступа к сети, такие как серверы виртуальной частной сети (VPN), точки доступа Wi-Fi с поддержкой 802.1X, серверы шлюзов удаленного рабочего стола и коммутаторы Ethernet с поддержкой 802.1X.

  • Last updated on