Настройка NPS с сертификатом, действительным как для компьютеров AD, так и для компьютеров без AD
Я пытаюсь настроить сервер AD, на котором запущена служба NPS, чтобы компьютеры AD и машины, не относящиеся к AD, считали сертификат действительным при аутентификации в беспроводной сети. Я получил сертификат от GoDaddy, и машины, не поддерживающие AD, довольны им, но машина AD, на которой я тестирую, жалуется, что это недействительный сертификат.
Как настроить сервер политики сети, чтобы сертификат был доволен как членами AD, так и не членами AD?
РЕДАКТИРОВАТЬ: я получаю сообщение об ошибке, упомянутое здесь: http://support.microsoft.com/kb/2518158 «Сервер« »представил действительный сертификат, выданный« », но« »не настроен в качестве допустимого якоря доверия для этого профиля».
Я бы предпочел не менять всех клиентов AD, чтобы эта работа работала. Я бы предпочел решение, которое работает путем смены сервера.
Вам необходимо распространить корневой сертификат (и все промежуточные сертификаты) всем клиентам вашего домена через групповую политику.
Кроме того, клиентам вашего домена потребуется возможность проверить статус отзыва этих сертификатов через CDP (точку распространения CRL), указанную в сертификатах. Если клиенты вашего домена не имеют доступа к CDP (т.е. у них нет доступа в Интернет), они не смогут проверить статус отзыва сертификата Godaddy.
Для этого предназначен сетевой ответчик (использующий протокол состояния онлайн-сертификатов) - позволяющий машинам в сложных сетевых сценариях, которые не могут получить прямой доступ к CRL, использовать сетевой ответчик в качестве прокси-сервера для проверки CRL.
http://technet.microsoft.com/en-us/library/cc770413(v=WS.10).aspx