信任自签名CA证书的802.1x PEAP GPO

我正在为我们的无线客户端开发Freeradius支持的802.1Xauthentication基础结构。 我在EAP-PEAP上使用了一个相当通用的Freeradiusconfiguration。 我们的客户主要是Windows XP SP3机器，但也有一些Windows 7 32和64位笔记本电脑。 我们的域位于Windows Server 2003的function级别。 802.1xauthentication与手动configuration的testing客户端一起工作。

我想创build一个GPO，通过以下方式自动configuration客户端：1）将自签名CA证书作为受信任根证书部署，2）将ESSID设置为具有相应802.1xconfiguration的首选networking。

我没有很难部署使用GPO的客户的自签名CA证书。 但是，我无法弄清楚如何在GPO中configuration证书作为受信任的根证书。

这是从Computer Configuration - Polices - Security Settings - Wireless Network (IEEE 802.11) Polices下的GPO设置Computer Configuration - Polices - Security Settings - Wireless Network (IEEE 802.11) Polices ：

• 在freeradius radius server中使用SHA1用户密码字段
• 设置RADIUS服务器以供VPN设备使用
• configuration路由器，交换机和防火墙的RADIUS身份validation时需要采取哪些措施
• 802.1x证书，EAP-TLS，RADIUS和Windows机器
• WPA2企业 – validation身份

受信任的根证书颁发机构下的select中没有我自签名的CA证书。 由于“validation服务器证书”设置，在802.1x PEAP设置中尝试validation客户端，而我的自签名证书不被信任。 当然，如果我手动configuration客户端来信任我的证书，则可以正确validationradius服务器的证书，然后802.1x工作。

我的目标是能够将一台机器分配到OU，在这个GPO将被应用，并且所有得到的802.1X和CA设置将被做，而不必我必须接触客户端机器。

如何为802.1x PEAP设置生成一个GPO，以便设置客户端信任我的自签名CA证书？

编辑：

由于成本问题，Microsoft NPS或NAP服务器在这一点上对于我的组织来说不是真正的select。 描述我们的环境的最佳方式是集中的位置，运行我们的核心服务，并通过速度和可靠性不同的WAN链路连接了二十多个远程站点。 我们对这些远程站点实施积极的物理或策略控制方面具有不同的能力和成功，因此它们是我无线和最终有线802.1xauthentication的主要关注点。 如果我们丢失广域网链路（这种情况不常发生），我仍然需要远程站点的客户端才能访问networking，因此在这些位置的大部分情况下都需要RADIUS服务器。 另一个窗口服务器的请求将被拒绝。

从历史上看，我们所有的Linux服务器和networking设备都与我们的域基础设施保持独立。 这意味着像独立的DNS服务，独立的身份validation基础设施等等的分割DNS范围。 虽然我认识到它们对于域集成PKI基础设施有一定的优势，但我需要一个很好的例子来说明为什么我应该这样做，或者为什么我不应该使用独立的PKI基础设施。