Данные процедуры могут использоваться для установки служб сертификации Active Directory® и подачи заявки на сертификат сервера для серверов, на которых выполняется сервер политики сети. При развертывании проверки подлинности на основе сертификатов серверы, на которых выполняется сервер политики сети, должны обладать сертификатом сервера. В процессе проверки подлинности такие серверы отправляют свои сертификаты сервера на клиентские компьютеры как доказательство своих полномочий.

Процедура настройки подачи заявки на сертификат сервера для сервера политики сети выполняется в три этапа:

  1. Установка роли сервера служб сертификации Active Directory. Это действие необходимо только в том случае, если в сети еще не развернут центр сертификации.

  2. Настройка шаблона сертификата сервера и автоматической подачи заявок. Центр сертификации выдает сертификаты на основе шаблона сертификата, поэтому для выдачи сертификата необходимо предварительно настроить шаблон сертификата сервера для сервера политики сети. При настройке автоматической подачи заявок все серверы в сети, на которых выполняется сервер политики сети, автоматически получат сертификат сервера при обновлении групповой политики на таком сервере. При добавлении в дальнейшем новых серверов они будут автоматически получать сертификат сервера.

  3. Обновление групповой политики на серверах, где выполняется сервер политики сети. При обновлении групповой политики серверы, на которых выполняется сервер политики сети, получают два сертификата. Один сертификат является сертификатом сервера, основанным на шаблоне, который был настроен в предыдущем действии. Этот сертификат используется сервером политики сети для доказательства своей подлинности клиентским компьютерам, предпринимающим попытку подключиться к сети. Другой сертификат относится к центру сертификации. Он автоматически устанавливается на серверах, на которых выполняется сервер политики сети, в хранилище сертификатов доверенных корневых центров сертификации. Сервер политики сети использует данный сертификат для определения того, следует ли доверять сертификатам, полученным от других компьютеров. Например, при развертывании EAP-TLS клиентские компьютеры используют сертификат в качестве доказательства своей подлинности для сервера, на котором выполняется сервер политики сети. Когда сервер получает сертификат от клиентского компьютера, доверие для этого сертификата предоставляется в том случае, если сервер, на котором выполняется сервер политики сети, обнаружит в своем хранилище сертификатов доверенных корневых центров сертификации сертификат этого центра сертификации.

Вместо автоматической подачи заявок на сертификат для сервера политики сети, возможно, потребуется подавать заявки на сертификат одним из следующих способов:

  • Вручную путем импорта сертификата для сервера политики сети с гибкого диска или компакт-диска в хранилище сертификатов сервера политики сети.

  • С использованием средства веб-заявок служб сертификации для получения сертификата сервера для сервера политики сети.

Поскольку сертификат сервера для сервера политики сети является сертификатом компьютера, необходимо импортировать этот сертификат в хранилище сертификатов локального компьютера, а не текущего пользователя.

Внимание!

Если сертификат для сервера политики сети ошибочно установлен в хранилище сертификатов текущего пользователя, сервер политики сети не сможет использовать его для проверки подлинности по протоколу PEAP или EAP, так как закрытые ключи сертификата имеют неправильно настроенный список управления доступом, который блокирует доступ к ключу для локальной системы. Расположение сертификата для сервера политики сети можно проверить с помощью оснастки консоли управления (MMC) под названием «Сертификаты». Если сертификат для сервера политики сети находится в неверном расположении, не следует пытаться переместить его из хранилища сертификатов текущего пользователя в хранилище сертификатов локального компьютера. Закрытые ключи данного сертификата все равно будут иметь неправильно настроенный список управления доступом. Вместо этого следует отозвать сертификат с использованием служб сертификации Active Directory и выдать новый сертификат сервера для сервера, на котором выполняется сервер политики сети.

Чтобы развернуть центр сертификации и автоматическую подачу заявок на сертификаты сервера для сервера политики сети, выполните следующие процедуры: