Настройка шаблона сертификата сервера Configure the Server Certificate Template

Применяется к: Windows Server (Semi-Annual Channel), Windows Server 2016 Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

Эту процедуру можно использовать для настройки шаблона сертификата, который Active Directory ® служб сертификации (AD CS) используется в качестве основания для сертификатов сервера, зарегистрированных на серверах в сети. You can use this procedure to configure the certificate template that Active Directory® Certificate Services (AD CS) uses as the basis for server certificates that are enrolled to servers on your network.

При настройке этого шаблона можно указать серверы по Active Directory группе, которые должны автоматически получить сертификат сервера из AD CS. While configuring this template, you can specify the servers by Active Directory group that should automatically receive a server certificate from AD CS.

Приведенная ниже процедура содержит инструкции по настройке шаблона для выдаче сертификатов для всех следующих типов серверов: The procedure below includes instructions for configuring the template to issue certificates to all of the following server types:

• Серверы, на которых выполняется служба удаленного доступа, включая серверы шлюзов RAS, входящие в группу Серверы RAS и IAS . Servers that are running the Remote Access service, including RAS Gateway servers, that are members of the RAS and IAS Servers group.
• Серверы, на которых выполняется служба сервера политики сети (NPS), входящие в группу серверов RAS и IAS . Servers that are running the Network Policy Server (NPS) service that are members of the RAS and IAS Servers group.

Членство в группах «Администраторы предприятия » и «Администраторы домена корневого домена» является минимальным требованием для выполнения этой процедуры. Membership in both the Enterprise Admins and the root domain’s Domain Admins group is the minimum required to complete this procedure.

Настройка шаблона сертификата To configure the certificate template

В CA1 в диспетчер сервера выберите Сервис, а затем щелкните центр сертификации. On CA1, in Server Manager, click Tools, and then click Certification Authority. Откроется консоль управления (MMC) центра сертификации. The Certification Authority Microsoft Management Console (MMC) opens.

В консоли управления (MMC) дважды щелкните имя ЦС, щелкните правой кнопкой мыши шаблоны сертификатов, а затем выберите пункт Управление. In the MMC, double-click the CA name, right-click Certificate Templates, and then click Manage.

Откроется консоль Шаблоны сертификатов. The Certificate Templates console opens. Все шаблоны сертификатов отображаются в области сведений. All of the certificate templates are displayed in the details pane.

В области сведений выберите шаблон сервер RAS и IAS . In the details pane, click the RAS and IAS Server template.

В меню действие выберите пункт дублировать шаблон. Click the Action menu, and then click Duplicate Template. Откроется диалоговое окно Свойства шаблона. The template Properties dialog box opens.

Перейдите на вкладку Безопасность . Click the Security tab.

На вкладке Безопасность в поле имена групп или пользователей щелкните Серверы RAS и IAS. On the Security tab, in Group or user names, click RAS and IAS servers.

В области разрешения для серверов RAS и IAS в разделе Разрешить убедитесь, что выбран параметр Регистрация , а затем установите флажок Автоматическая регистрация . In Permissions for RAS and IAS servers, under Allow, ensure that Enroll is selected, and then select the Autoenroll check box. Нажмите кнопку ОК и закройте оснастку MMC «Шаблоны сертификатов». Click OK, and close the Certificate Templates MMC.

В консоли MMC центр сертификации щелкните шаблоны сертификатов. In the Certification Authority MMC, click Certificate Templates. В меню действие наведите указатель на пункт создать и выберите пункт Выдаваемый шаблон сертификата. On the Action menu, point to New, and then click Certificate Template to Issue. Откроется диалоговое окно Включение шаблонов сертификатов . The Enable Certificate Templates dialog box opens.

В окне Включение шаблонов сертификатов щелкните имя только что настроенного шаблона сертификата и нажмите кнопку ОК. In Enable Certificate Templates, click the name of the certificate template that you just configured, and then click OK. Например, если вы не изменили имя шаблона сертификата по умолчанию, щелкните Копия RAS-сервера и IAS-сервер, а затем нажмите кнопку ОК. For example, if you did not change the default certificate template name, click Copy of RAS and IAS Server, and then click OK.

Configure the Server Certificate Template

Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

You can use this procedure to configure the certificate template that Active DirectoryВ® Certificate Services (AD CS) uses as the basis for server certificates that are enrolled to servers on your network.

While configuring this template, you can specify the servers by Active Directory group that should automatically receive a server certificate from AD CS.

The procedure below includes instructions for configuring the template to issue certificates to all of the following server types:

• Servers that are running the Remote Access service, including RAS Gateway servers, that are members of the RAS and IAS Servers group.
• Servers that are running the Network Policy Server (NPS) service that are members of the RAS and IAS Servers group.

Membership in both the Enterprise Admins and the root domain’s Domain Admins group is the minimum required to complete this procedure.

To configure the certificate template

On CA1, in Server Manager, click Tools, and then click Certification Authority. The Certification Authority Microsoft Management Console (MMC) opens.

In the MMC, double-click the CA name, right-click Certificate Templates, and then click Manage.

The Certificate Templates console opens. All of the certificate templates are displayed in the details pane.

In the details pane, click the RAS and IAS Server template.

Click the Action menu, and then click Duplicate Template. The template Properties dialog box opens.

Click the Security tab.

On the Security tab, in Group or user names, click RAS and IAS servers.

In Permissions for RAS and IAS servers, under Allow, ensure that Enroll is selected, and then select the Autoenroll check box. Click OK, and close the Certificate Templates MMC.

In the Certification Authority MMC, click Certificate Templates. On the Action menu, point to New, and then click Certificate Template to Issue. The Enable Certificate Templates dialog box opens.

In Enable Certificate Templates, click the name of the certificate template that you just configured, and then click OK. For example, if you did not change the default certificate template name, click Copy of RAS and IAS Server, and then click OK.

Настройка шаблонов сертификатов для требований PEAP и EAP Configure Certificate Templates for PEAP and EAP Requirements

Применяется к: Windows Server (Semi-Annual Channel), Windows Server 2016 Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

Все сертификаты, используемые для проверки подлинности доступа к сети с использованием протокола расширенной проверки подлинности протокол TLS — ( EAP — ) , защищенный протокол — ( PEAP — TLS ) и — протокол проверки подлинности подтверждения связи Майкрософт ( (SSPI) версии 2 MS — CHAP v2, ) должны соответствовать требованиям для сертификатов X. 509 и работать для подключений, использующих защищенный уровень сокета/протокол безопасности (SSL/TLS). All certificates that are used for network access authentication with Extensible Authentication Protocol-Transport Layer Security (EAP-TLS), Protected Extensible Authentication Protocol-Transport Layer Security (PEAP-TLS), and PEAP-Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2) must meet the requirements for X.509 certificates and work for connections that use Secure Socket Layer/Transport Level Security (SSL/TLS). Сертификаты клиента и сервера имеют дополнительные требования. Both client and server certificates have additional requirements.

В этом разделе приводятся инструкции по настройке шаблонов сертификатов. This topic provides instructions for configuring certificate templates. Чтобы использовать эти инструкции, необходимо развернуть собственную инфраструктуру открытого ключа ( PKI ) с Active Directory служб сертификации ( AD CS ) . To use these instructions, it is required that you have deployed your own Public Key Infrastructure (PKI) with Active Directory Certificate Services (AD CS).

Минимальные требования к сертификатам сервера Minimum server certificate requirements

При использовании протокола PEAP — MS — CHAP v2, PEAP — TLS или — EAP TLS в качестве метода проверки подлинности сервер политики сети должен использовать сертификат сервера, который соответствует минимальным требованиям к сертификату сервера. With PEAP-MS-CHAP v2, PEAP-TLS, or EAP-TLS as the authentication method, the NPS must use a server certificate that meets the minimum server certificate requirements.

Клиентские компьютеры можно настроить для проверки сертификатов сервера с помощью параметра проверить сертификат сервера на клиентском компьютере или в групповая политика. Client computers can be configured to validate server certificates by using the Validate server certificate option on the client computer or in Group Policy.

Клиентский компьютер принимает попытки проверки подлинности сервера, когда сертификат сервера соответствует следующим требованиям. The client computer accepts the authentication attempt of the server when the server certificate meets the following requirements:

Имя субъекта содержит значение. The Subject name contains a value. Если сертификат выдается серверу, на котором выполняется сервер политики сети (NPS) с пустым именем субъекта, сертификат не будет доступен для проверки подлинности NPS. If you issue a certificate to your server running Network Policy Server (NPS) that has a blank Subject name, the certificate is not available to authenticate your NPS. Чтобы настроить шаблон сертификата с именем субъекта, выполните следующие действия. To configure the certificate template with a Subject name:

1. Откройте шаблоны сертификатов. Open Certificate Templates.
2. В области сведений щелкните правой кнопкой мыши шаблон сертификата, который необходимо изменить, и выберите пункт Свойства . In the details pane, right-click the certificate template that you want to change, and then click Properties .
3. Перейдите на вкладку имя субъекта и нажмите кнопку собрать на основе сведений из этой Active Directory. Click the Subject Name tab, and then click Build from this Active Directory information.
4. В поле Формат имени субъекта выберите значение, отличное от нет. In Subject name format, select a value other than None.

Сертификат компьютера на сервере привязывается к доверенному корневому центру сертификации (ЦС) и не завершается проверкой, выполненной CryptoAPI и указанными в политике удаленного доступа или сетевой политике. The computer certificate on the server chains to a trusted root certification authority (CA) and does not fail any of the checks that are performed by CryptoAPI and that are specified in the remote access policy or network policy.

Сертификат компьютера для сервера политики сети или VPN настроен с использованием проверки подлинности сервера в расширениях расширенного использования ключа (EKU). The computer certificate for the NPS or VPN server is configured with the Server Authentication purpose in Extended Key Usage (EKU) extensions. (Идентификатор объекта для проверки подлинности сервера — 1.3.6.1.5.5.7.3.1.) (The object identifier for Server Authentication is 1.3.6.1.5.5.7.3.1.)

Настройте сертификат сервера с требуемым параметром шифрования: Configure the server certificate with the required cryptography setting:

1. Откройте шаблоны сертификатов. Open Certificate Templates.
2. В области сведений щелкните правой кнопкой мыши шаблон сертификата, который необходимо изменить, и выберите пункт Свойства. In the details pane, right-click the certificate template that you want to change, and then click Properties.
3. Перейдите на вкладку Криптография и убедитесь, что настроены следующие параметры. Click the Cryptography tab and make sure to configure the following:
   • Категория поставщика: Поставщик хранилища ключей Provider Category: Key Storage Provider
   • Имя алгоритма: RSA Algorithm Name: RSA
   • Поставщики: Поставщик криптографии платформы (Майкрософт) Providers: Microsoft Platform Crypto Provider
   • Минимальный размер ключа: 2048 Minimum key size: 2048
   • Хэш-алгоритм: SHA2 Hash Algorithm: SHA2
4. Щелкните Далее. Click Next.

Расширение альтернативного имени субъекта (SubjectAltName), если оно используется, должно содержать DNS-имя сервера. The Subject Alternative Name (SubjectAltName) extension, if used, must contain the DNS name of the server. Чтобы настроить шаблон сертификата с помощью службы доменных имен (DNS) сервера регистрации, выполните следующие действия. To configure the certificate template with the Domain Name System (DNS) name of the enrolling server:

1. Откройте шаблоны сертификатов. Open Certificate Templates.
2. В области сведений щелкните правой кнопкой мыши шаблон сертификата, который необходимо изменить, и выберите пункт Свойства . In the details pane, right-click the certificate template that you want to change, and then click Properties .
3. Перейдите на вкладку имя субъекта и нажмите кнопку собрать на основе сведений из этой Active Directory. Click the Subject Name tab, and then click Build from this Active Directory information.
4. В поле включить эту информацию в альтернативное имя субъекта выберите DNS-имя. In Include this information in alternate subject name, select DNS name.

При использовании PEAP и EAP-TLS НПСС отображает список всех установленных сертификатов в хранилище сертификатов на компьютере со следующими исключениями. When using PEAP and EAP-TLS, NPSs display a list of all installed certificates in the computer certificate store, with the following exceptions:

Сертификаты, не содержащие цель проверки подлинности сервера в расширениях EKU, не отображаются. Certificates that do not contain the Server Authentication purpose in EKU extensions are not displayed.

Сертификаты, не содержащие имени субъекта, не отображаются. Certificates that do not contain a Subject name are not displayed.

Сертификаты на основе реестра и смарт-карты не отображаются. Registry-based and smart card-logon certificates are not displayed.

Минимальные требования к сертификатам клиента Minimum client certificate requirements

При использовании EAP-TLS или PEAP-TLS сервер принимает попытки проверки подлинности клиента, если сертификат соответствует следующим требованиям. With EAP-TLS or PEAP-TLS, the server accepts the client authentication attempt when the certificate meets the following requirements:

Сертификат клиента выдается центром сертификации предприятия или сопоставляется с учетной записью пользователя или компьютера в службах домен Active Directory Services ( AD DS ) . The client certificate is issued by an enterprise CA or mapped to a user or computer account in Active Directory Domain Services (AD DS).

Сертификат пользователя или компьютера на клиенте, подключенный к доверенному корневому центру сертификации, включает в себя назначение проверки подлинности клиента в расширениях EKU. ( идентификатор объекта для проверки подлинности клиента — 1.3.6.1.5.5.7.3.2 ) и не выполняет проверок, выполняемых CryptoAPI и указанных в политике удаленного доступа, или в политике сети, а также в проверках идентификатора объекта сертификата, указанных в политике сети NPS. The user or computer certificate on the client chains to a trusted root CA, includes the Client Authentication purpose in EKU extensions (the object identifier for Client Authentication is 1.3.6.1.5.5.7.3.2), and fails neither the checks that are performed by CryptoAPI and that are specified in the remote access policy or network policy nor the Certificate object identifier checks that are specified in NPS network policy.

Клиент 802.1 X не использует сертификаты на основе реестра, которые являются сертификатами, защищенными с помощью смарт-карт или паролем. The 802.1X client does not use registry-based certificates that are either smart card-logon or password-protected certificates.

Для сертификатов пользователей расширение «альтернативное имя субъекта ( SubjectAltName» ) в сертификате содержит имя участника-пользователя ( UPN ) . For user certificates, the Subject Alternative Name (SubjectAltName) extension in the certificate contains the user principal name (UPN). Чтобы настроить имя участника-пользователя в шаблоне сертификата, выполните следующие действия. To configure the UPN in a certificate template:

1. Откройте шаблоны сертификатов. Open Certificate Templates.
2. В области сведений щелкните правой кнопкой мыши шаблон сертификата, который необходимо изменить, и выберите пункт Свойства. In the details pane, right-click the certificate template that you want to change, and then click Properties.
3. Перейдите на вкладку имя субъекта и нажмите кнопку собрать на основе сведений из этой Active Directory. Click the Subject Name tab, and then click Build from this Active Directory information.
4. В поле включить эту информацию в альтернативное имя субъекта выберите имя участника-пользователя ( UPN ). In Include this information in alternate subject name, select User principal name (UPN).

Для сертификатов компьютеров расширение «альтернативное имя субъекта ( SubjectAltName» ) в сертификате должно содержать полное ( доменное имя ) клиента, которое также называется DNS-именем. For computer certificates, the Subject Alternative Name (SubjectAltName) extension in the certificate must contain the fully qualified domain name (FQDN) of the client, which is also called the DNS name. Чтобы настроить это имя в шаблоне сертификата, выполните следующие действия. To configure this name in the certificate template:

1. Откройте шаблоны сертификатов. Open Certificate Templates.
2. В области сведений щелкните правой кнопкой мыши шаблон сертификата, который необходимо изменить, и выберите пункт Свойства. In the details pane, right-click the certificate template that you want to change, and then click Properties.
3. Перейдите на вкладку имя субъекта и нажмите кнопку собрать на основе сведений из этой Active Directory. Click the Subject Name tab, and then click Build from this Active Directory information.
4. В поле включить эту информацию в альтернативное имя субъекта выберите DNS-имя. In Include this information in alternate subject name, select DNS name.

При использовании PEAP — TLS и EAP — TLS клиенты отображают список всех установленных сертификатов в оснастке «Сертификаты» со следующими исключениями. With PEAP-TLS and EAP-TLS, clients display a list of all installed certificates in the Certificates snap-in, with the following exceptions:

Беспроводные клиенты не отображают сертификаты на основе реестра и смарт-карты. Wireless clients do not display registry-based and smart card-logon certificates.

Беспроводные клиенты и VPN-клиенты не отображают сертификаты, защищенные паролем. Wireless clients and VPN clients do not display password-protected certificates.

Сертификаты, не содержащие цель проверки подлинности клиента в расширениях EKU, не отображаются. Certificates that do not contain the Client Authentication purpose in EKU extensions are not displayed.

Дополнительные сведения о NPS см. в разделе сервер политики сети (NPS). For more information about NPS, see Network Policy Server (NPS).