使用對 AD 和非 AD 電腦都有效的證書設置 NPS

我正在嘗試設置執行 NPS 服務的 AD 伺服器，以便 AD 和非 AD 機器在對無線網路進行身份驗證時都將證書視為有效。我從 GoDaddy 拿到了一個證書，非 AD 機器對它很滿意，但我正在測試的 AD 機器抱怨它不是一個有效的證書。

如何配置 NPS 以便 AD 成員和非 AD 成員都對證書感到滿意？

編輯：我收到此處提到的錯誤消息：http: //support.microsoft.com/kb/2518158 “伺服器”提供了由“”頒發的有效證書，但“”未配置為有效的信任錨對於此個人資料。”

我寧願不更改所有的 AD 客戶端來完成這項工作。我更喜歡通過更改伺服器來工作的解決方案。

您需要通過組策略將根證書（以及所有中間證書）分發給所有域客戶端。

此外，您的域客戶端將需要能夠通過證書上列出的 CDP（CRL 分發點）檢查這些證書的吊銷狀態。如果您的域客戶無法訪問 CDP（即他們無法訪問 Internet），他們將無法檢查 Godaddy 證書的撤銷狀態。

這就是線上響應程序（使用線上證書狀態協議）的用途——允許無法直接訪問 CRL 的複雜網路場景中的機器將線上響應程序用作 CRL 檢查代理伺服器。

http://technet.microsoft.com/en-us/library/cc770413(v=WS.10).aspx

引用自：https://serverfault.com/questions/624218