Настройка NPS с сертификатом, действительным как для компьютеров AD, так и для компьютеров без AD
Я пытаюсь настроить сервер AD, на котором запущена служба NPS, таким образом, чтобы как компьютеры AD, так и не-AD видели сертификат действительным при аутентификации в беспроводной сети. Я получил сертификат от GoDaddy, и машины без AD довольны им, но машина AD, с которой я тестирую, жалуется, что это недействительный сертификат.
Как настроить NPS так, чтобы как члены AD, так и не члены AD были довольны сертификатом?
РЕДАКТИРОВАТЬ: я получаю сообщение об ошибке, упомянутое здесь: http://support.microsoft.com/kb/2518158"Сервер" "представил действительный сертификат, выданный" ", но" "не настроен в качестве действительного якоря доверия для этого профиля."
Я бы предпочел не менять всех клиентов AD, чтобы сделать эту работу. Я бы предпочел решение, которое работает путем изменения сервера.
1 ответ
Вам необходимо распространить корневой сертификат (и все промежуточные сертификаты) всем клиентам вашего домена через групповую политику.
Кроме того, клиентам вашего домена потребуется возможность проверять статус отзыва этих сертификатов через CDP (точку распространения CRL), указанную в сертификатах. Если клиенты вашего домена не имеют доступа к CDP (то есть не имеют доступа к Интернету), они не смогут проверить статус отзыва сертификата Godaddy.
Именно для этого предназначен сетевой ответчик (использующий протокол состояния онлайн-сертификата), позволяющий машинам в сложных сетевых сценариях, которые не могут получить прямой доступ к списку отзыва сертификатов, использовать сетевой ответчик в качестве прокси-сервера для проверки списка отзыва сертификатов.
http://technet.microsoft.com/en-us/library/cc770413(v=WS.10).aspx