NPS 身份验证方法

10. 在“设置私钥”页上，确保选中了“新建私钥”，然后单击“下一步”。

11. 在“为 CA 配置加密”页上，保留默认设置或根据需要进行更改。注意，“密钥字符长度”的默认值为 2048，

该值是以前默认密钥字符长度 1024 的两倍。根据您的网络规模和流量，可能需要调整密钥字符长度。单击“下一步”。

12. 在“配置 CA 名称”页上，保留 CA 的建议公用名，或根据要求更改名称，然后单击“下一步”。

13. 在“设置有效期”页的“选择为此 CA 生成的证书的有效期”，键入数值并选择时间值（年、月、周或日），

该值确定由 CA 颁发的证书的过期日期。建议的默认设置为五年。单击“下一步”。

14. 在“配置证书数据库”页的“证书数据库位置”和“证书数据库日志位置”中，指定这些项目的文件夹位置。如果

指定默认位置之外的位置，请确保使用阻止未经授权的用户或计算机访问 CA 数据库和日志文件的访问控制列表 (ACL) 来保护文件夹。单击“下一步”，然后单击“完成”，或继续安装所选的任何其他角色服务。

NPS 服务器证书：配置模板和自动注册

应用到: Windows Server 2008

可以使用此过程配置证书模板，Active Directory(R) 证书服务 (AD CS) 将该模板用作向运行网络策略服务器 (NPS) 的服务器注册服务器证书的基础。

若要完成此过程，至少要具有Enterprise Admins组和根域的Domain Admins组的成员身份。 配置证书模板和自动注册的步骤

单击“开始”，单击“运行”，键入mmc，然后单击“确定”。 1. 在安装 Active Directory 证书服务的计算机上，

2. 在“文件”菜单上，单击“添加/删除管理单元”。此时将打开“添加或删除管理单元”对话框。

3. 在“可用的管理单元”中，双击“证书颁发机构”。选择要管理的 CA，然后单击“完成”。此时将关闭“证书颁

发机构”对话框，返回到“添加或删除管理单元”对话框。

4. 在“可用的管理单元”中，双击“证书模板”，然后单击“确定”。

5. 在控制台树中，单击“证书模板”。所有证书模板将显示在细节窗格中。

6. 在细节窗格中，单击“RAS 和 IAS 服务器”模板。

7. 在“操作”菜单上，单击“复制模板”。在“复制模板”对话框中，选择适合您的部署的模板版本，然后单击“确

定”。此时将打开新的模板属性对话框。

8. 在“常规”选项卡上的“显示名称”中，键入证书模板的新名称，或保留默认名称。

9. 单击“安全”选项卡。在“组或用户名”中，单击“RAS 和 IAS 服务器”。

10. 在“RAS 和 IAS 服务器的权限”中的“允许”下，选中“注册”和“自动注册”权限复选框，然后单击“确定”。

11. 双击“证书颁发机构”，双击 CA 名称，然后单击“证书模板”。在“操作”菜单上，指向“新建”，然后单击“要

颁发的证书模板”。此时将打开“启用证书模板”对话框。

12. 在“启用证书模板”中，单击刚才配置的证书模板的名称，然后单击“确定”。例如，如果未更改默认的证书模

板名称，则单击“RAS 和 IAS 服务器的副本”，然后单击“确定”。

13. 在安装 Active Directory 域服务 (AD DS) 的计算机上，单击“开始”，单击“运行”，键入mmc，然后单

击“确定”。

14. 在“文件”菜单上，单击“添加/删除管理单元”。此时将打开“添加或删除管理单元”对话框。

15. 在“可用的管理单元”中，双击“组策略管理编辑器”。此时将打开“选择组策略对象”向导。单击“浏览”，然后

选择“默认域策略”。单击“确定”，单击“完成”，然后再单击“确定”。

16. 双击“默认域策略”。依次打开“计算机配置”、“策略”、“Windows 设置”、“安全设置”，然后选择“公钥

策略”。

双击“证书服务客户端 - 自动注册”。此时将打开“证书服务客户端 - 自动注册属性”对话框。 17. 在细节窗格中，

18. 在“证书服务客户端 – 自动注册属性”对话框的“配置型号”中，选择“已启用”。

19. 选中“续订过期证书、更新未决证书并删除吊销的证书”复选框。

20. 选中“更新使用证书模板的证书”复选框，然后单击“确定”。

其他注意事项

完成此步骤之后，当刷新组策略时，运行 NPS 的服务器会自动注册服务器证书。若要刷新组策略，请重新启动服务器，或者在命令提示符下运行gpupdate。