我正在尝试设置运行 NPS 服务的 AD 服务器,以便 AD 和非 AD 机器在对无线网络进行身份验证时都将证书视为有效。我从 GoDaddy 拿到了一个证书,非 AD 机器对它很满意,但我正在测试的 AD 机器抱怨它不是一个有效的证书。
如何配置 NPS 以便 AD 成员和非 AD 成员都对证书感到满意?
编辑:我收到此处提到的错误消息:http: //support.microsoft.com/kb/2518158 “服务器”提供了由“”颁发的有效证书,但“”未配置为有效的信任锚对于此个人资料。”
我宁愿不更改所有的 AD 客户端来完成这项工作。我更喜欢通过更改服务器来工作的解决方案。
您需要通过组策略将根证书(以及所有中间证书)分发给所有域客户端。
此外,您的域客户端将需要能够通过证书上列出的 CDP(CRL 分发点)检查这些证书的吊销状态。如果您的域客户无法访问 CDP(即他们无法访问 Internet),他们将无法检查 Godaddy 证书的撤销状态。
这就是在线响应程序(使用在线证书状态协议)的用途——允许无法直接访问 CRL 的复杂网络场景中的机器将在线响应程序用作 CRL 检查代理服务器。
http://technet.microsoft.com/en-us/library/cc770413(v=WS.10).aspx