Windows Server 2008 或 Windows Server 2003 以及 AD DS 的域成员,则可以配置计算机和用户证书的自动注册。配置并启用自动注册后,当下次刷新组策略时,所有的域成员计算机都会收到计算机证书,无论是使用gpupdate命令还是通过登录到域来手动触发刷新。
如果您的计算机是未安装 AD DS 的域的成员,则通过“证书 MMC”管理单元请求证书,可以手动安装计算机证书。
备注 运行 Windows 2000 的计算机只能自动注册计算机证书。 非域成员证书注册
不能使用自动注册来执行非域成员的计算机的证书注册。将计算机已加入到域时,即建立了信任,允许在没有管理员干预的情况下自动注册。如果未将计算机加入到域,则不会建立信任,且不会颁发证书。必须使用以下方法之一建立信任:
? ?
管理员(定义为信任方)必须使用 CA Web 注册工具来请求计算机或用户证书。
管理员必须将计算机或用户证书保存到软盘并将其安装在非域成员计算机上。或者,当管理员无法访问计算机(例如,使用 L2TP/IPsec VPN 连接连接到组织网络的家庭计算机)时,管理员信任的域用户可以安装证书。
?
管理员可以在智能卡上分发用户证书(不会在智能卡上分发计算机证书)。
许多网络基础结构包含的 VPN 和 NPS 服务器不是域成员。例如,出于安全原因,外围网络中的 VPN 服务器可能不是域成员。在这种情况下,必须将 EKU 扩展中包含的具有“服务器身份验证”目的的客户端证书安装在非域成员 VPN 服务器上,之后才能成功地与客户端协商基于 L2TP/IPsec 的 VPN 连接。如果使用非域成员 VPN 服务器作为一个 VPN 与另一个 VPN 服务器连接的终结点,则 EKU 扩展必须包含“服务器身份验证”和“客户端身份验证”目的。 如果在运行 Windows Server 2008 或 Windows Server 2003,Standard Edition 的计算机上运行企业证书颁发机构 (CA),则可以使用下表来确定符合要求的最佳证书注册方法:
证书对象和域成员身份 模板 证书目的 首选的证书注册方法 备用的证书注册方法 VPN、IAS 或 NPS 服务器、域成员 计算机 服务器身份验证 自动注册 使用证书管理单元请求证书 具备站点到站点连接的 VPN 服务器,域成员 Windows Vista 或 Windows XP 客户端,域成员 计算机 计算机 服务器身份验证和客户端身份验证 客户端身份验证 自动注册 使用证书管理单元请求证书 自动注册 使用证书管理单元请求证书 VPN、IAS 或 NPS 服务器、非域成员 计算机 服务器身份验证 CA Web 注册工具 从软盘安装 具备站点到站点连接的 VPN 服务器,非域成员 Windows Vista 或 Windows XP 客户端,非域成员 用户,域用户 计算机 计算机 用户 服务器身份验证和客户端身份验证 客户端身份验证 CA Web 注册工具 CA Web 注册工具 从软盘安装 从软盘安装 客户端身份验证 自动注册 使用智能卡或 CA Web 注册工具 如果您的 CA 位于运行以下操作系统之一的计算机上,则可以使用 RAS 和 IAS 服务器和工作站身份验证模板:
? ? ? ? ? ? ?
Windows Server 2003 Enterprise Edition
Windows Server 2003 Datacenter Edition
用于基于 Itanium 系统的 Windows Server 2003 Enterprise Edition
用于基于 Itanium 系统的 Windows Server 2003 Datacenter Edition
Windows Server 2003 Enterprise x64 Edition
Windows Server 2003 Datacenter x64 Edition
Windows Server 2008
使用下表来确定何时使用这些模板。
首选的证书注对象和域成员身份 证书模板 证书目的 册方法 备用的证书注册方法 VPN、IAS 或 NPS 服务器、域成员 RAS 和 IAS 服务器 服务器身份验证 客户端身份验证 服务器身份验证 客户端身自动注册 使用证书管理单元请求证书 Windows Vista 或 Windows XP 客户端,域成员 VPN、IAS 或 NPS 服务器、非域成员 工作站身份验证 RAS 和 IAS 服务器 自动注册 使用证书管理单元请求证书 CA Web 注册工具 CA Web 注册从软盘安装 Windows Vista 或 Windows XP 客户工作站身份验从软盘安装 端,非域成员 证 份验证 工具 重要事项 如果运行 NPS 的服务器不是域控制器,而是具有 Windows 2000 混合功能级别的域的成员,则必须将该服务器添加到 RAS 和 IAS 服务器证书模板的访问控制列表 (ACL) 中。还必须配置进行自动注册的正确权限。向 ACL 中添加单个服务器与多组服务器的过程有所不同。 向 RAS 和 IAS 服务器证书模板的 ACL 中添加单个服务器的步骤
1. 在“证书模板”中,选择“RAS 和 IAS 服务器”模板,然后向模板“安全”属性中添加 NPS 服务器。
2. 向 ACL 中添加 NPS 服务器后,请授予“读取”、“注册”和“自动注册”权限。
若要管理一组服务器,请将服务器添加到一个新的全局或通用组中,然后将该组添加到证书模板的 ACL 中
1. 在“Active Directory 用户和计算机”中,为 NPS 服务器创建一个新的全局或通用组。
2. 向组中添加作为 NPS 服务器、非域控制器,以及具有 Windows 2000 混合功能级别的域成员的所有计算
机。
3. 在“证书模板”中,选择“RAS 和 IAS 服务器”模板,然后向模板“安全”属性中添加已创建的组。
4. 授予“读取”、“注册”和“自动注册”权限。
证书部署和 Active Directory 复制
应用到: Windows Server 2008
证书部署和 Active Directory 复制
某些身份验证方法(如 PEAP 和 EAP)已配置有基于证书的身份验证类型时,可以使用证书对计算机和用户进行身份验证。Active Directory(R) 复制延迟可能暂时会影响客户端或服务器从证书颁发机构 (CA) 获取证书的能力。如果配置为使用证书进行身份验证的计算机无法注册证书,则身份验证将会失败。
该 Active Directory 复制延迟可影响网络访问身份验证基础结构,原因是用于客户端和服务器身份验证的证书是由 CA 颁发给域成员计算机。将客户端或服务器计算机加入到域后,仅具有客户端或服务器计算机的域成员身份记录的 Active Directory 全局编录服务器才可能是处理加入请求的域控制器。
将计算机加入到域后,必须重新启动该计算机。计算机启动且您登录到域后,会应用组策略。如果您以前已配置自动注册客户端计算机证书(对于 NPS 服务器则为服务器证书),则此时新的域成员计算机将会从 CA 请求证书。
备注 可以通过登录到域或运行gpupdate命令手动刷新组策略。 CA 接着检查 Active Directory 域服务 (AD DS),以确定是否应将证书颁发给已请求该证书的客户端或服务器。如果已在域中复制计算机帐户,则 CA 可以确定客户端或服务器是否具有注册证书所需的安全权限。但如果尚未在域中复制计算机帐户,则 CA 可能无法验证客户端或服务器是否具有注册证书所需的安全权限。 如果发生这种情况,CA 将不会向客户端或服务器计算机注册证书。
?
如果域成员客户端计算机无法注册客户端计算机证书,则在该客户端计算机尝试通过任何网络访问服务器(该服务器在 NPS 中配置为 RADIUS 客户端,其中要求使用的身份验证方法是 EAP-TLS 或 PEAP-TLS)连接到网络时,NPS 服务器将无法成功对该客户端计算机进行身份验证。例如,如果已部署为 802.1X 无线访问点的 RADIUS 客户端,并使用 PEAP-TLS 作为身份验证方法,则没有客户端计算机证书的客户端计算机将无法进行成功身份验证,且无法通过无线连接使用网络资源。
?
如果域成员 NPS 服务器计算机无法注册服务器证书,则在该 NPS 服务器尝试通过任何网络访问服务器(该服务器在 NPS 中配置为 RADIUS 客户端,其中要求使用的身份验证方法是 EAP-TLS、PEAP-TLS 或 PEAP-MS-CHAP v2,且客户端配置有启用的“验证服务器证书”设置)连接到网络时,客户端计算机将无法成功对该 NPS 服务器进行身份验证。这些身份验证方法提供了相互身份验证功能,且 NPS 服务器必须具有服务器证书才能由客户端计算机成功进行身份验证。如果 NPS 服务器没有服务器证书,则需要使用这些身份验证方法的所有连接请求均会失败,原因是客户端计算机无法对 NPS 服务器进行身份验证。
鉴于此原因,部署基于证书的身份验证方法时,建议您设计 Active Directory 复制时间和从属 CA 的部署,以降低慢速复制可能对网络访问身份验证基础结构造成的负面影响。
PEAP 和 EAP 的证书要求
应用到: Windows Server 2008
在使用可扩展身份验证协议-传输层安全 (EAP-TLS)、受保护的可扩展身份验证协议-传输层安全 (PEAP-TLS) 和 PEAP-Microsoft 质询握手身份验证协议版本 2 (MS-CHAP v2) 进行网络访问身份验证时,使用的所有证书均须满足 并适用于使用安全套接字层/传输层安全 (SSL/TLS) 的连接。客户端和服务器证书均有额外要求。X.509 证书的要求,
最小服务器证书要求
使用 PEAP-MS-CHAP v2、PEAP-TLS 或 EAP-TLS 作为身份验证方法时,NPS 服务器必须使用满足最低服务器证书要求的服务器证书。
通过使用客户端计算机或组策略中的“验证服务器证书”选项,可以将客户端计算机配置为验证服务器证书。 当服务器证书满足以下要求时,客户端计算机接受服务器的身份验证尝试:
?
使用者名称包含一个值。如果将证书颁发到具有空白使用者名称的运行网络策略服务器 (NPS) 的服务器,则无法将此证书用于验证 NPS 服务器。通过使用者名称配置证书模板的步骤: