Установка NPS с сертификатом, который действителен и к AD и к неAD машинам
Я пытаюсь установить AD сервер, выполняющий сервис NPS так, чтобы и AD и неAD машины рассматривали сертификат как допустимый при аутентификации к беспроводной сети. Я поднял сертификат с GoDaddy, и неAD машины довольны им, но AD машина, с которой я тестирую, жалуется, что это не действительный сертификат.
Как я настраиваю NPS так, чтобы и AD участники и неAD участники были довольны сертификатом?
Править: Я упоминал сообщение об ошибке здесь: http://support.microsoft.com/kb/2518158 "Сервер “” представил действительный сертификат, выпущенный “”, но “” не настроен как допустимая доверительная привязка для этого профиля".
Я не изменил бы все AD клиенты для создания этой работы. Я предпочел бы решение, которое работает путем изменения сервера.
Вы необходимо распространить корневой сертификат (и все промежуточные сертификаты) для всех клиентов вашего домена через групповую политику.
Кроме того, клиентам вашего домена потребуется возможность проверять статус отзыва этих сертификатов через CDP (точку распространения CRL) указаны в сертификатах. Если клиенты вашего домена не имеют доступа к CDP (т. Е. У них нет доступа к Интернету), они не смогут проверить статус отзыва сертификата Godaddy.
Это то, что сетевой ответчик (с использованием онлайн-сертификата Протокол состояния) предназначен для - позволяет машинам в сложных сетевых сценариях, которые не могут получить доступ к CRL напрямую, использовать сетевой ответчик в качестве прокси-сервера для проверки CRL.
http://technet.microsoft.com/en-us /library/cc770413(v=WS.10).aspx