为 802.1X 有线和无线部署部署服务器证书

适用范围：Windows Server 2022、Windows Server 2019、Windows Server 2016

可以使用本指南将服务器证书部署到远程访问和网络策略服务器 (NPS) 基础结构服务器。

本指南包含下列各节。

• 使用本指南的先决条件

• 本指南未提供的内容

• 技术概述

• 服务器证书部署概述

• 服务器证书部署规划

• 服务器证书部署

数字服务器证书

本指南提供了有关使用 Active Directory 证书服务 (AD CS) 向远程访问和 NPS 基础结构服务器自动注册证书的说明。 AD CS 允许构建公钥基础结构 (PKI) 并为组织提供公钥加密、数字证书和数字签名功能。

使用数字服务器证书在网络上的计算机之间进行身份验证时，证书将会：

1. 通过加密提供机密性。
2. 通过数字签名提供完整性。
3. 通过将证书密钥和计算机、用户或网络上的设备帐户相关联进行身份验证。

服务器类型

通过使用本指南，可以将服务器证书部署到以下类型的服务器。

• 运行远程访问服务的服务器、DirectAccess 或标准虚拟专用网络 (VPN) 服务器以及 RAS 和 IAS 服务器组的成员服务器。
• 运行网络策略服务器 (NPS) 服务且为 RAS 和 IAS 服务器组成员的服务器。

证书自动注册的优点

自动注册服务器证书（也称为自动注册）具有以下优势。

• AD CS 证书颁发机构 (CA) 会自动向所有 NPS 和远程访问服务器注册服务器证书。
• 域中的所有计算机会自动接收 CA 证书，并安装在每个域成员计算机上的受信任的根证书颁发机构存储中。 因此，域中的所有计算机都信任 CA 颁发的证书。 此信任允许身份验证服务器相互证明自身身份并参与安全通信。
• 除了刷新组策略之外，不需要手动重新配置每个服务器。
• 每个服务器证书都包括增强型密钥用法 (EKU) 扩展中的服务器身份验证用途和客户端身份验证用途。
• 可伸缩性。 使用本指南部署企业根 CA 后，可以通过添加企业从属 CA 来扩展公钥基础结构 (PKI)。
• 可管理性。 可以使用 AD CS 控制台或 Windows PowerShell 命令和脚本来管理 AD CS。
• 简单。 使用 Active Directory 组帐户和组成员身份指定注册服务器证书的服务器。
• 部署服务器证书时，证书基于一个按本指南说明配置的模板。 这意味着可以为特定服务器类型自定义不同的证书模板，也可以为要颁发的所有服务器证书使用相同的模板。

使用本指南的先决条件

本指南提供有关如何在 Windows Server 2016 中使用 AD CS 和 Web Server (IIS) 服务器角色部署服务器证书的说明。 以下是执行本指南所述步骤所需的先决条件。

• 须使用 Windows Server 2016 核心网络指南，部署一个核心网络，或须已在网络上安装核心网络指南中提供的技术且已在网络中正常运行。 这些技术包括 TCP/IP v4、DHCP、Active Directory 域服务 (AD DS)、DNS 和 NPS。

  注意

  Windows Server 2016 技术库中提供了 Windows Server 2016 核心网络指南。 有关详细信息，请参阅核心网络指南。

• 请务必阅读本指南的规划部分，以确保在执行部署之前已为此部署做好准备。

• 请务必按照步骤的显示顺序执行本指南中的步骤。 请勿跳过有关部署服务器的准备步骤而直接部署 CA，否则部署将失败。

• 请务必作好在网络上部署两个新服务器的准备 - 在一台上安装 AD CS 作为企业根 CA，在另一台上安装 Web 服务器 (IIS)，以便 CA 可以将证书吊销列表 (CRL) 发布到 Web 服务器。

注意

已做好准备，可将静态 IP 地址分配到使用本指南部署的 Web 和 AD CS 服务器，并根据组织命名约定为计算机命名。 此外，须将计算机加入域。

本指南未提供的内容

本指南不提供有关使用 AD CS 设计和部署公钥基础结构 (PKI) 的全面说明。 建议在部署本指南中的技术之前查看 AD CS 文档和 PKI 设计文档。

技术概述

以下是 AD CS 和 Web 服务器 (IIS) 的技术概述。

Active Directory 证书服务

Windows Server 2016 中的 AD CS 提供可自定义的服务，用于创建和管理在采用公钥技术的软件安全系统中使用的 X.509 证书。 通过将个人、设备或服务的标识与相应的公钥进行绑定，组织可使用 AD CS 来增强安全性。 AD CS 还包括允许在各种可伸缩环境中管理证书注册及吊销的功能。

有关详细信息，请参阅 Active Directory 证书服务概述和公钥基础结构设计指南。

Web 服务器 (IIS)

Windows Server 2016 中的 Web 服务器 (IIS) 角色提供一个安全、易于管理的模块化和可扩展的平台，以可靠地托管网站、服务和应用程序。 通过使用 IIS，可与 Internet、Intranet 或 Extranet 上的用户分享信息。 IIS 是一个集 IIS、ASP.NET、FTP 服务、PHP 和 Windows Communication Foundation (WCF) 于一体的 Web 平台。

有关详细信息，请参阅 Web 服务器 (IIS) 概览。