我正在尝试设置运行 NPS 服务的 AD 服务器,以便 AD 和非 AD 计算机在对无线网络进行身份验证时都将证书视为有效。我从 GoDaddy 获得了一份证书,非 AD 计算机对此很满意,但我用来测试的 AD 计算机却抱怨这不是有效证书。
如何配置 NPS 以便 AD 成员和非 AD 成员都对证书满意?
编辑:我收到了这里提到的错误消息:http://support.microsoft.com/kb/2518158 “服务器“”提供了由“”颁发的有效证书,但“”未配置为此配置文件的有效信任锚。”
我宁愿不更改所有 AD 客户端来实现这一点。我更喜欢通过更改服务器来实现的解决方案。
答案1
您需要通过组策略将根证书(和所有中间证书)分发给所有域客户端。
此外,您的域客户需要能够通过证书上列出的 CDP(CRL 分发点)检查这些证书的撤销状态。如果您的域客户无法访问 CDP(即无法访问互联网),他们将无法检查 GoDaddy 证书的撤销状态。
这就是在线响应器(使用在线证书状态协议)的用途——允许无法直接访问 CRL 的复杂网络场景中的机器使用在线响应器作为 CRL 检查代理服务器。
http://technet.microsoft.com/en-us/library/cc770413(v=WS.10).aspx