Condividi tramite

Configurare la registrazione automatica dei certificati per Network Policy Server (NPS)

La registrazione automatica dei certificati semplifica il processo di distribuzione e gestione dei certificati nei server in esecuzione su Server dei Criteri di Rete in un ambiente Active Directory. Questo articolo descrive come configurare la registrazione automatica per i certificati server e utente tramite Criteri di gruppo. Seguendo questa procedura, è possibile assicurarsi che i certificati vengano rilasciati, rinnovati e gestiti automaticamente per i server e gli utenti dell'organizzazione.

Prerequisites

Prima di iniziare, verificare che siano soddisfatti i prerequisiti seguenti:

  • Servizi certificati di Active Directory (AD CS) è installato e configurato con almeno un'Autorità di certificazione aziendale (CA).

  • È stato configurato il modello di certificato server per la registrazione automatica. Per altre informazioni, vedere Configurare un modello di certificato server per la registrazione automatica.

  • Si dispone di un account di utilizzo membro sia dei gruppi di sicurezza Enterprise Admins che dei gruppi di sicurezza Domain Admins del dominio radice.

  • Accesso alle console di gestione seguenti:

    • Gestione Criteri di gruppo
    • Server dei criteri di rete.

Configurare la registrazione automatica del certificato utente e del server

Per configurare la registrazione automatica per i certificati server, seguire questa procedura:

  1. Aprire la console Gestione Criteri di gruppo.

  2. Espandi i nodi per la foresta e il dominio di Active Directory e individua i Criteri predefiniti del dominio. Fare clic con il pulsante destro del mouse su Criteri di dominio predefiniti e scegliere Modifica, che apre l'Editor Gestione Criteri di gruppo.

  3. Passare al percorso seguente nell'Editor Gestione Criteri di gruppo:Criteri>di configurazione> computerImpostazioni di Windows Impostazioni>> impostazioniChiave pubblica Criteri di sicurezza.

  4. Nel riquadro dei dettagli fare doppio clic su Client Servizi certificati - registrazione automatica. Verrà visualizzata la finestra di dialogo Proprietà . Configurare gli elementi seguenti:

    1. Per Modello di configurazione selezionare Abilitato.
    2. Selezionare la casella Rinnova certificati scaduti, aggiornare i certificati in sospeso e rimuovere i certificati revocati.
    3. Selezionare la casella Aggiorna certificati che usano modelli di certificato.

  5. Seleziona OK. Mantenere aperta la console editor Gestione Criteri di gruppo per configurare la registrazione automatica del certificato utente.

  6. Passare al percorso seguente:Criteri>di configurazione> utenteImpostazioni di windows Impostazioni>>di sicurezzaCriteri di sicurezza Criteri di chiave pubblica.

  7. Nel riquadro dei dettagli fare doppio clic su Client Servizi certificati - registrazione automatica. Verrà visualizzata la finestra di dialogo Proprietà . Configurare gli elementi seguenti:

    1. Per Modello di configurazione selezionare Abilitato.
    2. Selezionare la casella Rinnova certificati scaduti, aggiornare i certificati in sospeso e rimuovere i certificati revocati.
    3. Selezionare la casella Aggiorna certificati che usano modelli di certificato.

  8. Selezionare OK, quindi chiudere la console Editor Gestione Criteri di gruppo.

  9. Aggiorna le impostazioni di Criteri di gruppo sui server NPS per applicare le impostazioni di registrazione automatica. È possibile forzare un aggiornamento immediato eseguendo il comando seguente in un prompt dei comandi con privilegi elevati:

    gpupdate /force

Verificare la registrazione dei certificati server per Server dei criteri di rete

Dopo aver configurato la registrazione automatica e aver aggiornato Criteri di gruppo, è possibile verificare che il certificato del server sia registrato correttamente. Per verificare che un certificato server sia configurato correttamente e sia iscritto nel NPS, creare un criterio di rete di test e consentire al NPS di verificare che possa utilizzare il certificato per l'autenticazione. Non hai completato la procedura guidata, quindi i criteri di rete di test non vengono creati in NPS, ma puoi verificare che il certificato del server sia iscritto.

Per verificare l'iscrizione NPS di un certificato server:

  1. Aprire la console server dei criteri di rete .

  2. Espandere Criteri e selezionare Criteri di rete.

  3. Fare clic con il pulsante destro del mouse su Criteri di rete, quindi scegliere Nuovo. Verrà visualizzata la procedura guidata Nuovi criteri di rete .

  4. Per Specificare il nome dei criteri di rete e il tipo di connessione, in Nome criterio immettere un nome, ad esempio Testare i criteri di registrazione automatica. Verificare che Il tipo di server di accesso alla rete abbia il valore Non specificato, quindi selezionare Avanti.

  5. Per Specificare condizioni selezionare Aggiungi. Selezionare Gruppi di Windows e quindi Aggiungi.

  6. Per Gruppi di Windows selezionare Aggiungi gruppi. Immettere un gruppo valido, ad esempio Utenti di dominio, quindi selezionare OK. Selezionare di nuovo OK per Gruppi di Windows. Verificare che il gruppo sia elencato come condizione, quindi selezionare Avanti.

  7. Per Specificare l'autorizzazione di accesso verificare che l'opzione Accesso concesso sia selezionata e quindi selezionare Avanti.

  8. Per Configura metodi di autenticazione, selezionare Aggiungi. Per Aggiungi EAP selezionare Microsoft: Protected EAP (PEAP) e quindi selezionare OK.

  9. In Tipi EAP selezionare Microsoft: Protected EAP (PEAP) e quindi selezionare Modifica.

  10. Nella finestra di dialogo Modifica proprietà EAP protette in Certificato rilasciato a, il server dei criteri di rete visualizza il nome del certificato del server come nome di dominio completo (FQDN). Ad esempio, se il server dei criteri di rete è denominato NPS-01 e il dominio è example.com, server dei criteri di rete visualizza il certificato NPS-01.example.com. Inoltre, in Autorità emittente viene visualizzato il nome dell'autorità di certificazione e, in Data di scadenza, viene visualizzata la data di scadenza del certificato del server.

    Important

    Se NPS non visualizza un certificato server valido e fornisce il messaggio che indica che un tale certificato non può essere trovato nel computer locale, ci sono due possibili ragioni:

    1. I criteri di gruppo non sono stati aggiornati correttamente e il server NPS non ha registrato un certificato dalla CA. In questa circostanza, riavviare il server dei criteri di rete. Quando il server viene riavviato, i Criteri di gruppo vengono aggiornati ed è possibile riprovare a verificare che il certificato del server sia registrato.

    2. Il modello di certificato, la registrazione automatica del certificato o entrambi non sono configurati correttamente. Per risolvere questi problemi, verificare di aver seguito correttamente tutti i passaggi descritti in questo articolo per assicurarsi che le impostazioni specificate siano accurate.

  11. Dopo aver verificato la presenza di un certificato server valido, è possibile selezionare OK e Annulla per uscire dalla procedura guidata. Poiché non si completa la procedura guidata, i criteri di rete di test non vengono creati in NPS.

Questo processo dimostra che il tuo NPS ha registrato un certificato server valido che può usare per dimostrare la propria identità ai computer client che tentano di accedere alla rete tramite i server di accesso alla rete, come i server di rete privata virtuale (VPN), i punti di accesso wireless con supporto per 802.1X, i server Gateway Desktop remoto e i commutatori Ethernet con supporto per 802.1X.

  • Last updated on