10. 在“设置私钥”页上,确保选中了“新建私钥”,然后单击“下一步”。
11. 在“为 CA 配置加密”页上,保留默认设置或根据需要进行更改。注意,“密钥字符长度”的默认值为 2048,
该值是以前默认密钥字符长度 1024 的两倍。根据您的网络规模和流量,可能需要调整密钥字符长度。单击“下一步”。
12. 在“配置 CA 名称”页上,保留 CA 的建议公用名,或根据要求更改名称,然后单击“下一步”。
13. 在“设置有效期”页的“选择为此 CA 生成的证书的有效期”,键入数值并选择时间值(年、月、周或日),
该值确定由 CA 颁发的证书的过期日期。建议的默认设置为五年。单击“下一步”。
14. 在“配置证书数据库”页的“证书数据库位置”和“证书数据库日志位置”中,指定这些项目的文件夹位置。如果
指定默认位置之外的位置,请确保使用阻止未经授权的用户或计算机访问 CA 数据库和日志文件的访问控制列表 (ACL) 来保护文件夹。单击“下一步”,然后单击“完成”,或继续安装所选的任何其他角色服务。
NPS 服务器证书:配置模板和自动注册
应用到: Windows Server 2008
可以使用此过程配置证书模板,Active Directory(R) 证书服务 (AD CS) 将该模板用作向运行网络策略服务器 (NPS) 的服务器注册服务器证书的基础。
若要完成此过程,至少要具有Enterprise Admins组和根域的Domain Admins组的成员身份。 配置证书模板和自动注册的步骤
单击“开始”,单击“运行”,键入mmc,然后单击“确定”。 1. 在安装 Active Directory 证书服务的计算机上,
2. 在“文件”菜单上,单击“添加/删除管理单元”。此时将打开“添加或删除管理单元”对话框。
3. 在“可用的管理单元”中,双击“证书颁发机构”。选择要管理的 CA,然后单击“完成”。此时将关闭“证书颁
发机构”对话框,返回到“添加或删除管理单元”对话框。
4. 在“可用的管理单元”中,双击“证书模板”,然后单击“确定”。
5. 在控制台树中,单击“证书模板”。所有证书模板将显示在细节窗格中。
6. 在细节窗格中,单击“RAS 和 IAS 服务器”模板。
7. 在“操作”菜单上,单击“复制模板”。在“复制模板”对话框中,选择适合您的部署的模板版本,然后单击“确
定”。此时将打开新的模板属性对话框。
8. 在“常规”选项卡上的“显示名称”中,键入证书模板的新名称,或保留默认名称。
9. 单击“安全”选项卡。在“组或用户名”中,单击“RAS 和 IAS 服务器”。
10. 在“RAS 和 IAS 服务器的权限”中的“允许”下,选中“注册”和“自动注册”权限复选框,然后单击“确定”。
11. 双击“证书颁发机构”,双击 CA 名称,然后单击“证书模板”。在“操作”菜单上,指向“新建”,然后单击“要
颁发的证书模板”。此时将打开“启用证书模板”对话框。
12. 在“启用证书模板”中,单击刚才配置的证书模板的名称,然后单击“确定”。例如,如果未更改默认的证书模
板名称,则单击“RAS 和 IAS 服务器的副本”,然后单击“确定”。
13. 在安装 Active Directory 域服务 (AD DS) 的计算机上,单击“开始”,单击“运行”,键入mmc,然后单
击“确定”。
14. 在“文件”菜单上,单击“添加/删除管理单元”。此时将打开“添加或删除管理单元”对话框。
15. 在“可用的管理单元”中,双击“组策略管理编辑器”。此时将打开“选择组策略对象”向导。单击“浏览”,然后
选择“默认域策略”。单击“确定”,单击“完成”,然后再单击“确定”。
16. 双击“默认域策略”。依次打开“计算机配置”、“策略”、“Windows 设置”、“安全设置”,然后选择“公钥
策略”。
双击“证书服务客户端 - 自动注册”。此时将打开“证书服务客户端 - 自动注册属性”对话框。 17. 在细节窗格中,
18. 在“证书服务客户端 – 自动注册属性”对话框的“配置型号”中,选择“已启用”。
19. 选中“续订过期证书、更新未决证书并删除吊销的证书”复选框。
20. 选中“更新使用证书模板的证书”复选框,然后单击“确定”。
其他注意事项
完成此步骤之后,当刷新组策略时,运行 NPS 的服务器会自动注册服务器证书。若要刷新组策略,请重新启动服务器,或者在命令提示符下运行gpupdate。