Bereitstellen einer Zertifizierungsstelle und eines NPS-Serverzertifikats

Mithilfe dieser Verfahren können Sie die Active Directory®-Zertifikatsdienste (Active Directory Certificate Services, AD CS) installieren und ein Serverzertifikat für Server registrieren, auf denen Netzwerkrichtlinienserver (Network Policy Server, NPS) ausgeführt wird. Wenn Sie zertifikatbasierte Authentifizierung bereitstellen, ist für Netzwerkrichtlinienserver ein Serverzertifikat erforderlich. Während des Authentifizierungsvorgangs senden diese Server ihr Serverzertifikat als Identitätsnachweis an Clientcomputer.

Der Konfigurationsvorgang für die NPS-Serverzertifikatregistrierung besteht aus folgenden drei Phasen:

1. Installieren Sie die AD DS-Serverrolle. Dieser Schritt ist nur erforderlich, wenn Sie in Ihrem Netzwerk noch keine Zertifizierungsstelle (Certification Authority, CA) bereitgestellt haben.
   
   
2. Konfigurieren Sie eine Serverzertifikatvorlage und die automatische Registrierung. Die Zertifizierungsstelle stellt Zertifikate basierend auf einer Zertifikatvorlage aus. Deshalb müssen Sie vorher die Vorlage für das NPS-Serverzertifikat konfigurieren, damit von der Zertifizierungsstelle ein Zertifikat ausgestellt werden kann. Wenn Sie die automatische Registrierung konfigurieren, erhalten alle Server mit NPS in Ihrem Netzwerk automatisch ein Serverzertifikat, wenn die Gruppenrichtlinien auf dem Server mit NPS aktualisiert werden. Falls Sie später weitere Server hinzufügen, erhalten Sie automatisch ebenfalls ein Serverzertifikat.
   
   
3. Aktualisieren Sie die Gruppenrichtlinien auf Netzwerkrichtlinienservern. Wenn die Gruppenrichtlinien aktualisiert werden, erhalten die Server mit NPS zwei Zertifikate. Ein Zertifikat ist das Serverzertifikat auf der Grundlage der im vorherigen Schritt konfigurierten Vorlage. Anhand dieses Zertifikats weist NPS seine Identität gegenüber Clientcomputern nach, die versuchen eine Verbindung mit Ihrem Netzwerk herzustellen. Das andere Zertifikat ist das Zertifikat der ausstellenden Zertifizierungsstelle, das automatisch auf den Netzwerkrichtlinienservern im Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen installiert wird. NPS bestimmt anhand dieses Zertifikats, ob von anderen Computern empfangene Zertifikate vertrauenswürdig sind. Wenn Sie beispielsweise EAP-TLS (Extensible Authentication-Protokoll-Transport Layer Security) bereitstellen, verwenden Clientcomputer ein Zertifikat als Nachweis ihrer Identität gegenüber dem Netzwerkrichtlinienserver. Wenn der Server ein Zertifikat von einem Clientcomputer empfängt, wird eine Vertrauensstellung für das Zertifikat eingerichtet, da der Server mit NPS das Zertifikat der ausstellenden Zertifizierungsstelle im eigenen Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen findet.
   
   

Anstelle der automatischen Registrierung eines NPS-Serverzertifikats können Sie das Zertifikat auch mithilfe einer der folgenden Methoden registrieren:

• Importieren Sie ein NPS-Serverzertifikat manuell von einer Diskette oder einer CD in den NPS-Zertifikatspeicher.
  
  
• Verwenden Sie das Webregistrierungstool der Zertifikatsdienste zum Abrufen des NPS-Serverzertifikats.
  
  

Beim NPS-Serverzertifikat handelt es sich um ein Computerzertifikat. Deshalb müssen Sie das Zertifikat in den Zertifikatspeicher für Lokaler Computer und nicht Aktueller Benutzer importieren.

Vorsicht

Falls das NPS-Serverzertifikat versehentlich im Zertifikatspeicher Aktueller Benutzer installiert wird, kann es vom Netzwerkrichtlinienserver nicht für die EAP- oder PEAP-Authentifizierung (Protected EAP) verwendet werden, da die privaten Schlüssel des Zertifikats eine falsch konfigurierte Zugriffssteuerungsliste (Access Control List, ACL) aufweisen, die den Zugriff durch das lokale System verhindert. Den Speicherort des NPS-Serverzertifikats können Sie mithilfe des MMC-Snap-Ins (Microsoft Management Console) Zertifikate überprüfen. Falls sich das NPS-Serverzertifikat im falschen Speicherort befindet, versuchen Sie nicht, es per Drag & Drop aus dem Zertifikatspeicher Aktueller Benutzer in den Zertifikatspeicher Lokaler Computer zu verschieben. Die privaten Schlüssel für das Zertifikat weisen weiterhin eine falsch konfigurierte Zugriffssteuerungsliste auf. Sperren Sie stattdessen das Zertifikat mithilfe von AD CS, und stellen Sie ein neues Serverzertifikat für den Server mit NPS aus.

Führen Sie die folgenden Schritte aus, um eine Zertifizierungsstelle bereitzustellen und NPS-Serverzertifikate automatisch zu registrieren:

• NPS-Zertifikat: Installation der Zertifizierungsstelle
  
  
• NPS-Zertifikat: Konfigurieren der Vorlage und der automatischen Registrierung