Dela via

Konfigurera automatisk registrering av certifikat för nätverksprincipserver

Automatisk registrering av certifikat förenklar distributionen och hanteringen av certifikat till servrar som kör NPS (Network Policy Server) i en Active Directory-miljö. Den här artikeln beskriver hur du konfigurerar automatisk registrering för både server- och användarcertifikat med grupprincip. Genom att följa dessa steg kan du se till att certifikat utfärdas, förnyas och hanteras automatiskt för organisationens servrar och användare.

Prerequisites

Innan du börjar bör du se till att följande krav uppfylls:

  • Active Directory Certificate Services (AD CS) installeras och konfigureras med minst en certifikatutfärdare för företag (CA).

  • Du har konfigurerat servercertifikatmallen för automatisk registrering. Mer information finns i Konfigurera en servercertifikatmall för automatisk registrering.

  • Du har ett användningskonto som är medlem i säkerhetsgrupperna Företagsadministratörer och rotdomänens domänadministratörer .

  • Åtkomst till följande hanteringskonsoler:

    • Grupprinciphantering.
    • Nätverkspolicyserver.

Konfigurera automatisk registrering av server- och användarcertifikat

Följ dessa steg för att konfigurera automatisk registrering för servercertifikat:

  1. Öppna grupprincip-hanteringskonsolen.

  2. Expandera noderna för Active Directory-skogen och domänen och leta upp Standarddomänprincipen. Högerklicka på standarddomänprincipen och välj Redigera, som öppnar redigeraren för grupprinciphantering.

  3. Gå till följande sökväg i Redigeraren för grupprinciphantering: Datorkonfigurationsprinciper>>Windows-inställningar>Säkerhetsinställningar>Principer för offentlig nyckel.

  4. Dubbelklicka på Certifikattjänstklient – automatisk registrering i informationsfönstret. Dialogrutan Egenskaper öppnas. Konfigurera följande objekt:

    1. Som Konfigurationsmodell väljer du Aktiverad.
    2. Markera kryssrutan Förnya utgångna certifikat, uppdatera väntande certifikat och ta bort återkallade certifikat.
    3. Markera kryssrutan för Uppdatera certifikat som använder certifikatmallar.

  5. Välj OK. Håll konsolen För grupprinciphanteringsredigeraren öppen för att konfigurera automatisk registrering av användarcertifikat.

  6. Gå till följande sökväg: Användarkonfigurationsprinciper>>Windows-inställningar>Säkerhetsinställningar>Principer för offentlig nyckel.

  7. Dubbelklicka på Certifikattjänstklient – automatisk registrering i informationsfönstret. Dialogrutan Egenskaper öppnas. Konfigurera följande objekt:

    1. Som Konfigurationsmodell väljer du Aktiverad.
    2. Markera kryssrutan Förnya utgångna certifikat, uppdatera väntande certifikat och ta bort återkallade certifikat.
    3. Markera kryssrutan för Uppdatera certifikat som använder certifikatmallar.

  8. Välj OK och stäng sedan redigerarkonsolen för grupprinciphantering.

  9. Uppdatera grupprincipinställningarna på NPS-servrarna för att tillämpa inställningarna för automatisk registrering. Du kan framtvinga en omedelbar uppdatering genom att köra följande kommando i en kommandotolk med administratörsrättigheter:

    gpupdate /force

Verifiera servercertifikatregistrering för NPS

När du har konfigurerat automatisk registrering och uppdaterat grupprincipen kan du kontrollera att servercertifikatet har registrerats. För att kontrollera att ett servercertifikat är korrekt konfigurerat och har registrerats för NPS skapar du en nätverksprincip för test och tillåter NPS att verifiera att NPS kan använda certifikatet för autentisering. Du slutför inte guiden, så testnätverksprincipen skapas inte i NPS, men du kan kontrollera att servercertifikatet har registrerats.

Så här verifierar du NPS-registreringen av ett servercertifikat:

  1. Öppna konsolen för Network Policy Server.

  2. Expandera Principer och välj Nätverksprinciper.

  3. Högerklicka på Nätverksprinciper och välj sedan Nytt. Installationsguiden Ny nätverkspolicy öppnas.

  4. För Ange namn på nätverksprincip och anslutningstyp anger du ett namn i Principnamn, till exempel Testa princip för automatisk registrering. Kontrollera att typen av nätverksåtkomstserver har värdet Ospecificerat och välj sedan Nästa.

  5. För Ange villkor väljer du Lägg till. Välj Windows-grupper och välj sedan Lägg till.

  6. För Windows-grupper väljer du Lägg till grupper. Ange en giltig grupp, till exempel Domänanvändare, och välj sedan OK. Välj OK igen för Windows-grupper. Kontrollera att gruppen visas som ett villkor och välj sedan Nästa.

  7. För Ange åtkomstbehörighet kontrollerar du att Åtkomst beviljas är markerad och väljer sedan Nästa.

  8. För Konfigurera autentiseringsmetoder väljer du Lägg till. För Lägg till EAP väljer du Microsoft: Skyddad EAP (PEAP) och sedan OK.

  9. I EAP-typer väljer du Microsoft: Skyddad EAP (PEAP) och sedan Redigera.

  10. I dialogrutan Redigera skyddade EAP-egenskaper i Certifikat utfärdat till visar NPS namnet på servercertifikatet som ett fullständigt domännamn (FQDN). Om nps till exempel heter NPS-01 och domänen är example.com, visar NPS certifikatet NPS-01.example.com. I Utfärdaren visas dessutom namnet på certifikatutfärdaren, och i Förfallodatum visas datumet då servercertifikatet upphör att gälla.

    Important

    Om NPS inte visar ett giltigt servercertifikat och om det ger meddelandet att ett sådant certifikat inte kan hittas på den lokala datorn finns det två möjliga orsaker:

    1. Grupprincipen uppdaterades inte korrekt och NPS-servern registrerade inte ett certifikat från certifikatutfärdaren. I så fall startar du om NPS-servern. När servern startas om uppdateras grupprincipen och du kan försöka igen för att kontrollera att servercertifikatet har registrerats.

    2. Antingen är certifikatmallen, den automatiska certifikatregistreringen eller båda inte korrekt konfigurerade. För att lösa dessa problem kontrollerar du att du har följt alla steg i den här artikeln korrekt för att säkerställa att de inställningar som du angav är korrekta.

  11. När du har verifierat förekomsten av ett giltigt servercertifikat kan du välja OK och Avbryt för att avsluta guiden. Eftersom du inte slutför guiden skapas inte testnätverksprincipen i NPS.

Den här processen visar att NPS har registrerat ett giltigt servercertifikat som det kan använda för att bevisa sin identitet för klientdatorer som försöker komma åt nätverket via dina nätverksåtkomstservrar, till exempel vpn-servrar (virtual private network), 802.1X-kompatibla trådlösa åtkomstpunkter, Fjärrskrivbordsgatewayservrar och 802.1X-kompatibla Ethernet-växlar.