部署 802.1 X 有線和無線部署的伺服器憑證

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016

您可以參考本指南,將伺服器憑證部署至遠端存取和網路原則伺服器 (NPS) 基礎結構伺服器。

本指南涵蓋下列各節。

數位伺服器憑證

本指南提供有關使用 Active Directory 憑證服務 (AD CS) 自動向遠端存取和 NPS 基礎結構伺服器註冊憑證的指示。 AD CS 可以讓您為組織建立公開金鑰基礎結構 (PKI),並提供公開金鑰密碼編譯、數位憑證以及數位簽章功能。

使用數位伺服器憑證在網路上的電腦之間進行驗證時,這些憑證會提供:

  1. 使用加密技術以確保機密性。
  2. 使用數位簽章以提供完整性。
  3. 透過將憑證金鑰與電腦網路上的電腦、使用者或裝置帳戶產生關聯來進行驗證。

伺服器類型

您可以參考本指南,將伺服器憑證部署到下列類型的伺服器上。

  • 執行遠端存取服務的伺服器、DirectAccess 或標準虛擬私人網路 (VPN) 伺服器,以及屬於 RAS 與 IAS 伺服器群組成員的伺服器。
  • 執行網路原則伺服器 (NPS) 服務的伺服器,這些伺服器是 RAS 與 IAS 伺服器群組的成員。

憑證自動註冊的優點

「自動註冊伺服器憑證」(也稱為「自動註冊」) 擁有以下幾個優點。

  • AD CS 憑證授權單位 (CA) 會自動向所有 NPS 和遠端存取伺服器註冊伺服器憑證。
  • 此網域中的所有電腦都會自動收到 CA 憑證,該憑證會安裝在每個網域成員電腦上的受信任根憑證授權單位 (CA) 存放區中。 因此,網域中的所有電腦都會信任 CA 所核發的憑證。 此信任關係可供您的驗證伺服器向彼此證明其身分識別,並參與安全的通訊。
  • 除了重新整理群組原則外,不需要手動重新設定每部伺服器。
  • 每個伺服器憑證都必須在增強金鑰使用方法 (EKU) 延伸模組中包含伺服器驗證目的和用戶端驗證目的。
  • 延展性。 參考本指南部署企業根 CA 之後,您可以藉由新增企業次級 CA 來擴充公開金鑰基礎結構 (PKI)。
  • 管理性。 您可以使用 AD CS 主控台或使用 Windows PowerShell 命令和指令碼來管理 AD CS。
  • 簡單: 您可以使用 Active Directory 群組帳戶和群組成員資格來指定註冊伺服器憑證的伺服器。
  • 部署伺服器憑證時,這些憑證會以本指南的指示所設定的範本為基礎。 這表示您可以針對特定伺服器類型自訂不同的憑證範本,或針對您想要核發的所有伺服器憑證使用相同範本。

使用本指南的必要條件

本指南提供如何在 Windows Server 2016 中使用 AD CS 和 Web 伺服器 (IIS) 伺服器角色來部署伺服器憑證的指示。 以下是執行本指南所述程序的必要條件。

  • 您必須參考《Windows Server 2016 核心網路指南》以部署核心網路,或您的網路上必須已安裝《核心網路指南》中提供的技術且可正常運作。 這些技術包括 TCP/IP v4、DHCP、Active Directory 網域服務 (AD DS)、DNS 和 NPS。

    注意

    《Windows Server 2016 核心網路指南》可在 Windows Server 2016 技術程式庫中取得。 如需詳細資訊,請參閱核心網路指南

  • 您必須參閱本指南的「規劃」一節,以確保在執行部署之前為此部署做好準備。

  • 您必須依照本指南的操作步驟,依序執行這些步驟。 請勿在未執行會部署伺服器步驟的情況下直接跳至部署 CA,否則部署將會失敗。

  • 您必須準備好在網路上部署兩部新伺服器:一部伺服器供您安裝 AD CS 作為企業根 CA,另一部伺服器則可供您安裝 Web 伺服器 (IIS),以便您的 CA 可以發佈憑證撤銷清單 (CRL) 到 Web 伺服器。

注意

您已準備好將靜態 IP 位址指派給您參考本指南部署的 Web 和 AD CS 伺服器,以及根據您組織的命名慣例來命名這些電腦。 此外,您必須將電腦加入網域。

本指南中未提供的內容

本指南不提供使用 AD CS 來設計和部署公開金鑰基礎結構 (PKI) 的完整指示。 建議您先檢閱 AD CS 文件和 PKI 設計文件,再部署本指南中的技術。

技術概觀

以下是 AD CS 和 Web 伺服器 (IIS) 的技術概觀。

Active Directory 憑證服務

Windows Server 2016 中的 AD CS 提供可自訂的服務,以建立和管理採用公開金鑰技術的軟體安全性系統所使用的 X.509 憑證。 藉由繫結個人、裝置或服務的識別身分到對應的公開金鑰,組織可以使用 AD CS 來加強安全性。 AD CS 也包含其他功能,可供您管理各種可擴充環境中的憑證註冊和憑證撤銷。

如需詳細資訊,請參閱 Active Directory 憑證服務概觀公開金鑰基礎結構設計指導方針

網頁伺服器 (IIS)

Windows Server 2016 中的 Web 伺服器 (IIS) 角色提供安全、易管理、模組化和可延伸的平台,能夠可靠地主控網站、服務和應用程式。 使用 IIS 能讓您與使用者在網際網路、內部網路或外部網路共用資訊。 IIS 是一個整合 IIS、ASP.NET、FTP 服務、PHP 和 Windows Communication Foundation (WCF) 的整合式 Web 平台。

如需詳細資訊,請參閱 Web 伺服器 (IIS) 概觀