部署 CA 和 NPS 服务器证书

TechNet 库
Windows Server
Windows Server 2008 R2 und Windows Server 2008
按类别提供的 Windows Server 内容
按类别提供的 Windows Server 2008 R2 内容
已安装的 Windows Server 2008 R2 产品帮助
Network Policy and Access Services
网络策略服务器
PEAP 和 EAP 的证书要求
为 PEAP 和 EAP 部署证书
部署 CA 和 NPS 服务器证书
NPS 服务器证书：CA 安装
NPS 服务器证书：配置模板和自动注册

部署 CA 和 NPS 服务器证书

应用到: Windows Server 2008 R2

可以使用以下过程来安装 Active Directory(R) 证书服务 (AD CS) 并在运行网络策略服务器 (NPS) 的服务器上注册服务器证书。如果部署基于证书的身份验证，则运行 NPS 的服务器必须具有服务器证书。在身份验证过程中，这些服务器会将其服务器证书作为身份证明发送到客户端计算机。

配置 NPS 服务器证书注册的过程分为三个阶段：

安装 AD CS 服务器角色。只有当尚未在网络上部署证书颁发机构 (CA) 时，才需要执行此步骤。

配置服务器证书模板和自动注册。CA 将根据证书模板来颁发证书，因此在 CA 颁发证书之前，您必须配置 NPS 服务器证书的模板。如果配置了自动注册，则在运行 NPS 的服务上刷新组策略时，网络上运行 NPS 的所有服务器都将自动收到服务器证书。如果以后添加更多服务器，则这些服务器也会自动收到服务器证书。

在运行 NPS 的服务器上刷新组策略。刷新组策略时，运行 NPS 的服务器将收到两个证书。一个是基于在上一步中配置的模板的服务器证书。此证书由 NPS 用于向试图连接到网络的客户端计算机证明其身份。另一个是“受信任根证书颁发机构证书”存储中运行 NPS 的服务器上自动安装的颁发 CA 证书。NPS 使用此证书来确定是否信任它从其他计算机收到的证书。例如，如果部署了可扩展身份验证协议-传输层安全 (EAP-TLS)，则客户端计算机将使用证书向运行 NPS 的服务器证明其身份。当服务器从客户端计算机收到证书时，将建立对该证书的信任，因为运行 NPS 的服务器将在其各自的“受信任根证书颁发机构证书”存储中找到即将颁发的 CA 证书。

除了自动注册 NPS 服务器证书以外，您可能需要使用以下方法之一注册证书：

将 NPS 服务器证书从软盘或光盘导入 NPS 证书存储中。

使用证书服务 Web 注册工具获取 NPS 服务器证书。

由于 NPS 服务器证书是计算机证书，因此必须将该证书导入“本地计算机”（而不是“当前用户”）的证书存储中。

小心
如果 NPS 服务器证书错误地安装在“当前用户”证书存储中，则 NPS 无法将该证书用于 EAP 或受保护的 EAP (PEAP) 身份验证，因为该证书的私钥具有错误配置的访问控制列表 (ACL)，这将阻止本地系统的密钥访问。可以使用“证书 Microsoft 管理控制台 (MMC)”管理单元来验证 NPS 服务器证书的位置。如果 NPS 服务器证书位于不正确的位置，请不要试图将该证书从“当前用户”证书存储拖放到“本地计算机”证书存储。该证书的私钥将仍然具有错误配置的 ACL。请使用 AD CS 吊销该证书并将新的服务器证书颁发给运行 NPS 的服务器。

若要部署 CA 并自动注册 NPS 服务器证书，请执行以下过程：

NPS 服务器证书：CA 安装

NPS 服务器证书：配置模板和自动注册