Active-Directory

使用對 AD 和非 AD 電腦都有效的證書設置 NPS

  • August 26, 2014

我正在嘗試設置執行 NPS 服務的 AD 伺服器,以便 AD 和非 AD 機器在對無線網路進行身份驗證時都將證書視為有效。我從 GoDaddy 拿到了一個證書,非 AD 機器對它很滿意,但我正在測試的 AD 機器抱怨它不是一個有效的證書。

如何配置 NPS 以便 AD 成員和非 AD 成員都對證書感到滿意?

編輯:我收到此處提到的錯誤消息:http: //support.microsoft.com/kb/2518158 “伺服器”提供了由“”頒發的有效證書,但“”未配置為有效的信任錨對於此個人資料。”

我寧願不更改所有的 AD 客戶端來完成這項工作。我更喜歡通過更改伺服器來工作的解決方案。

您需要通過組策略將根證書(以及所有中間證書)分發給所有域客戶端。

進口證書

此外,您的域客戶端將需要能夠通過證書上列出的 CDP(CRL 分發點)檢查這些證書的吊銷狀態。如果您的域客戶無法訪問 CDP(即他們無法訪問 Internet),他們將無法檢查 Godaddy 證書的撤銷狀態。

在此處輸入圖像描述

這就是線上響應程序(使用線上證書狀態協議)的用途——允許無法直接訪問 CRL 的複雜網路場景中的機器將線上響應程序用作 CRL 檢查代理伺服器。

http://technet.microsoft.com/en-us/library/cc770413(v=WS.10).aspx

引用自:https://serverfault.com/questions/624218