Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Lernprogramm erfahren Sie, wie Sie die Zertifizierungsstelle-Vorlagen für die Always On VPN-Bereitstellung konfigurieren. Sie setzt die Serie fort, um Always On VPN in einer Beispielumgebung bereitzustellen. Zuvor in der Reihe haben Sie eine Beispielinfrastruktur bereitgestellt.
Die Zertifizierungsstellenvorlagen werden verwendet, um Zertifikate an den VPN-Server, den NPS-Server und die Benutzer auszustellen. Die Zertifikate werden verwendet, um den VPN-Server und den NPS-Server für Clients zu authentifizieren und Benutzer beim VPN-Server zu authentifizieren.
In diesem Tutorial erfahren Sie:
- Erstellen Sie eine Benutzerauthentifizierungsvorlage.
- Erstellen Sie eine VPN-Serverauthentifizierungsvorlage.
- Erstellen Sie eine NPS-Serverauthentifizierungsvorlage.
- Registrieren und Überprüfen des Benutzerzertifikats
- Registrieren und Überprüfen des VPN-Serverzertifikats.
- Registrieren und Überprüfen des NPS-Serverzertifikats.
Hier ist eine Beschreibung der verschiedenen Vorlagen:
| Schablone | BESCHREIBUNG |
|---|---|
| Benutzerauthentifizierungsvorlage | Diese Vorlage wird verwendet, um Benutzerzertifikate für VPN-Clients auszustellen. Das Benutzerzertifikat wird verwendet, um den Benutzer beim VPN-Server zu authentifizieren. Mit einer Benutzerauthentifizierungsvorlage können Sie die Zertifikatsicherheit verbessern, indem Sie aktualisierte Kompatibilitätsstufen auswählen und den Microsoft Platform Crypto Provider auswählen. Mit dem Microsoft Platform Crypto Provider können Sie ein Trusted Platform Module (TPM) auf Clientcomputern verwenden, um das Zertifikat zu sichern. Die Benutzervorlage ist für die automatische Registrierung konfiguriert. |
| VPN-Serverauthentifizierungsvorlage | Diese Vorlage wird verwendet, um ein Serverzertifikat für den VPN-Server auszugeben. Das Serverzertifikat wird verwendet, um den VPN-Server beim Client zu authentifizieren. Mit einer VPN-Serverauthentifizierungsvorlage fügen Sie die IKE Intermediate-Anwendungsrichtlinie (IP Security, IPsec) hinzu. Die IPsec-IKE-Zwischenanwendungsrichtlinie (IP Security) bestimmt, wie das Zertifikat verwendet werden kann, es kann dem Server erlauben, Zertifikate zu filtern, wenn mehr als ein Zertifikat verfügbar ist. Da VPN-Clients vom öffentlichen Internet auf diesen Server zugreifen, unterscheiden sich der Betreff und die alternativen Namen von dem internen Servernamen. Daher konfigurieren Sie das VPN-Serverzertifikat nicht für die automatische Registrierung. |
| NPS-Serverauthentifizierungsvorlage | Diese Vorlage wird verwendet, um ein Serverzertifikat für den NPS-Server auszugeben. Das NPS-Serverzertifikat wird verwendet, um den NPS-Server auf dem VPN-Server zu authentifizieren. Mit einer NPS-Serverauthentifizierungsvorlage kopieren Sie die Standardvorlage für RAS- und IAS-Server und legen sie für Ihren NPS-Server fest. Die neue NPS-Servervorlage enthält die Serverauthentifizierungsanwendungsrichtlinie. |
Weitere Informationen zu Always On VPN, einschließlich unterstützter Integrationen, Sicherheits- und Konnektivitätsfunktionen, finden Sie unter Always On VPN Overview.
Voraussetzungen
Zum Durchführen der Schritte in diesem Tutorial benötigen Sie Folgendes:
Führen Sie alle Schritte im vorherigen Tutorial aus: Bereitstellen der Always On VPN-Infrastruktur.
Ein Windows-Clientgerät, auf dem eine unterstützte Version von Windows ausgeführt wird, um eine Verbindung mit Always On VPN herzustellen, die mit der Active Directory-Domäne verbunden ist.
Erstellen der Benutzerauthentifizierungsvorlage
Öffnen Sie auf dem Server mit installierten Active Directory-Zertifikatdiensten, bei dem es sich in diesem Lernprogramm um den Domänencontroller handelt, das Snap-In der Zertifizierungsstelle.
Klicken Sie im linken Bereich mit der rechten Maustaste auf Zertifikatvorlagen , und wählen Sie "Verwalten" aus.
Klicken Sie in der Konsole "Zertifikatvorlagen" mit der rechten Maustaste auf "Benutzer ", und wählen Sie "Vorlage duplizieren" aus. Wählen Sie " Übernehmen" oder "OK " erst aus, wenn Sie die Eingabe von Informationen für alle Registerkarten abgeschlossen haben. Einige Optionen können nur bei der Vorlagenerstellung konfiguriert werden. wenn Sie diese Schaltflächen auswählen, bevor Sie alle Parameter eingeben, können Sie sie nicht ändern, andernfalls müssen Sie die Vorlage löschen und neu erstellen.
Führen Sie im Dialogfeld "Eigenschaften der neuen Vorlage " auf der Registerkarte " Allgemein " die folgenden Schritte aus:
Geben Sie im Anzeigenamen der Vorlagedie VPN-Benutzerauthentifizierung ein.
Deaktivieren Sie das Kontrollkästchen "Zertifikat veröffentlichen" in Active Directory .
Führen Sie auf der Registerkarte "Sicherheit " die folgenden Schritte aus:
Wählen Sie Hinzufügen aus.
Geben Sie im Dialogfeld "Benutzer, Computer, Dienstkonten oder Gruppen auswählen" VPN-Benutzer ein, und wählen Sie dann "OK" aus.
Wählen Sie unter "Gruppen- oder Benutzernamen" VPN-Benutzer aus.
Aktivieren Sie in "Berechtigungen für VPN-Benutzer" die Kontrollkästchen "Registrieren " und " Automatische Registrierung " in der Spalte "Zulassen" .
Von Bedeutung
Stellen Sie sicher, dass das Kontrollkästchen " Leseberechtigung " aktiviert bleibt. Sie benötigen Leseberechtigungen für die Registrierung.
Wählen Sie in "Gruppe" oder "Benutzernamen" "Domänenbenutzer" und dann "Entfernen" aus.
Führen Sie auf der Registerkarte "Kompatibilität " die folgenden Schritte aus:
Wählen Sie in der ZertifizierungsstelleWindows Server 2016 aus.
Wählen Sie im Dialogfeld "Resultierende Änderungen " "OK" aus.
Wählen Sie im ZertifikatempfängerWindows 10/Windows Server 2016 aus.
Wählen Sie im Dialogfeld "Resultierende Änderungen " "OK" aus.
Deaktivieren Sie auf der Registerkarte "Anforderungsbehandlung" die Option "Erlauben, dass der private Schlüssel exportiert werden darf".
Führen Sie auf der Registerkarte "Kryptografie " die folgenden Schritte aus:
Wählen Sie in der Anbieterkategorieden Schlüsselspeicheranbieter aus.
Wählen Sie "Anfragen müssen einen der folgenden Anbieter verwenden".
Wählen Sie sowohl Microsoft Platform Crypto Provider als auch Microsoft Software Key Storage Provider aus.
Deaktivieren Sie auf der Registerkarte Betreffname die Optionen E-Mail-Namen in Betreffnamen aufnehmen und E-Mail-Namen.
Wählen Sie "OK" aus, um die Zertifikatvorlage für die VPN-Benutzerauthentifizierung zu speichern.
Schließen Sie die Konsole für Zertifikatvorlagen.
Klicken Sie im linken Bereich des Snap-Ins der Zertifizierungsstelle mit der rechten Maustaste auf "Zertifikatvorlagen", wählen Sie "Neu" aus, und wählen Sie dann die zu problemende Zertifikatvorlage aus.
Wählen Sie "VPN-Benutzerauthentifizierung" und dann "OK" aus.
Erstellen der VPN-Serverauthentifizierungsvorlage
Klicken Sie im linken Bereich des Snap-Ins der Zertifizierungsstelle mit der rechten Maustaste auf Zertifikatvorlagen , und wählen Sie "Verwalten" aus, um die Zertifikatvorlagenkonsole zu öffnen.
Klicken Sie in der Konsole "Zertifikatvorlagen" mit der rechten Maustaste auf RAS und IAS-Server , und wählen Sie "Vorlage duplizieren" aus. Wählen Sie " Übernehmen" oder "OK " erst aus, wenn Sie die Eingabe von Informationen für alle Registerkarten abgeschlossen haben. Einige Optionen können nur bei der Vorlagenerstellung konfiguriert werden. wenn Sie diese Schaltflächen auswählen, bevor Sie alle Parameter eingeben, können Sie sie nicht ändern, andernfalls müssen Sie die Vorlage löschen und neu erstellen.
Geben Sie im Dialogfeld "Eigenschaften der neuen Vorlage " auf der Registerkarte " Allgemein " im Anzeigenamen "Vorlage" die VPN-Serverauthentifizierung ein.
Führen Sie auf der Registerkarte "Erweiterungen " die folgenden Schritte aus:
Wählen Sie "Anwendungsrichtlinien" und dann "Bearbeiten" aus.
Wählen Sie im Dialogfeld "Anwendungsrichtlinienerweiterung bearbeiten" die Option "Hinzufügen" aus.
Wählen Sie im Dialogfeld Anwendungsrichtlinie hinzufügen die Option IP-Sicherheits-IKE, dazwischenliegend und dann OK aus.
Wählen Sie 'OK ' aus, um zum Dialogfeld "Neue Vorlage" zurückzukehren.
Führen Sie auf der Registerkarte "Sicherheit " die folgenden Schritte aus:
Wählen Sie Hinzufügen aus.
Geben Sie im Dialogfeld "Benutzer, Computer, Dienstkonten oder Gruppen auswählen " VPN-Server ein, und wählen Sie dann "OK" aus.
Wählen Sie in Gruppen- oder BenutzernamenVPN-Server aus.
Wählen Sie unter "Berechtigungen für VPN-Server" die Option " Registrieren" in der Spalte "Zulassen " aus.
Wählen Sie unter "Gruppen- oder Benutzernamen" RAS und IAS-Server und dann "Entfernen" aus.
Führen Sie auf der Registerkarte " Antragstellername " die folgenden Schritte aus:
Wählen Sie Informationen werden in der Anforderung angegeben aus.
Wählen Sie im Dialogfeld " Zertifikatvorlagenwarnung " "OK" aus.
Wählen Sie "OK" aus, um die VPN Server-Zertifikatvorlage zu speichern.
Schließen Sie die Konsole für Zertifikatvorlagen.
Klicken Sie im linken Bereich des Snap-Ins der Zertifizierungsstelle mit der rechten Maustaste auf Zertifikatvorlagen. Wählen Sie Neu und dann Auszustellende Zertifikatvorlage aus.
Wählen Sie die VPN-Serverauthentifizierung und dann "OK" aus.
Starten Sie den VPN-Server neu.
Erstellen der NPS-Serverauthentifizierungsvorlage
Klicken Sie im linken Bereich des Snap-Ins der Zertifizierungsstelle mit der rechten Maustaste auf Zertifikatvorlagen , und wählen Sie "Verwalten" aus, um die Zertifikatvorlagenkonsole zu öffnen.
Klicken Sie in der Konsole "Zertifikatvorlagen" mit der rechten Maustaste auf RAS und IAS-Server , und wählen Sie "Vorlage duplizieren" aus. Wählen Sie " Übernehmen" oder "OK " erst aus, wenn Sie die Eingabe von Informationen für alle Registerkarten abgeschlossen haben. Einige Optionen können nur bei der Vorlagenerstellung konfiguriert werden. wenn Sie diese Schaltflächen auswählen, bevor Sie alle Parameter eingeben, können Sie sie nicht ändern, andernfalls müssen Sie die Vorlage löschen und neu erstellen.
Geben Sie im Dialogfeld "Eigenschaften der neuen Vorlage" auf der Registerkarte "Allgemein" im VorlagenanzeigenameNPS Server Authentication ein.
Führen Sie auf der Registerkarte "Sicherheit " die folgenden Schritte aus:
Wählen Sie Hinzufügen aus.
Geben Sie im Dialogfeld "Benutzer, Computer, Dienstkonten oder Gruppen auswählen " NPS-Server ein, und wählen Sie dann "OK" aus.
Wählen Sie in "Gruppen- oder Benutzernamen" npS-Server aus.
Wählen Sie unter "Berechtigungen für NPS-Server" die Option " Registrieren" in der Spalte "Zulassen " aus.
Wählen Sie unter "Gruppen- oder Benutzernamen" RAS und IAS-Server und dann "Entfernen" aus.
Wählen Sie 'OK' aus, um die NPS Server-Zertifikatvorlage zu speichern.
Schließen Sie die Konsole für Zertifikatvorlagen.
Klicken Sie im linken Bereich des Snap-Ins der Zertifizierungsstelle mit der rechten Maustaste auf Zertifikatvorlagen. Wählen Sie Neu und dann Auszustellende Zertifikatvorlage aus.
Wählen Sie NPS-Serverauthentifizierung und dann "OK" aus.
Jetzt haben Sie die Zertifikatvorlagen erstellt, die Sie registrieren und überprüfen müssen.
Registrieren und Überprüfen des Benutzerzertifikats
Die Gruppenrichtlinie ist so konfiguriert, dass Benutzerzertifikate automatisch registriert werden. Sobald die Richtlinie auf Windows-Clientgeräte angewendet wurde, registrieren sie automatisch das Benutzerkonto für das richtige Zertifikat. Anschließend können Sie das Zertifikat in der Zertifikatkonsole auf dem lokalen Gerät überprüfen.
So überprüfen Sie, ob die Richtlinie angewendet wird und das Zertifikat eingetragen ist:
Melden Sie sich beim Windows-Clientgerät als der Benutzer an, den Sie für die GRUPPE "VPN-Benutzer " erstellt haben.
Öffnen Sie die Eingabeaufforderung, und führen Sie den folgenden Befehl aus. Alternativ können Sie das Windows-Clientgerät neu starten.
gpupdate /forceGeben Sie im Startmenü certmgr.msc ein, und drücken Sie die EINGABETASTE.
Wählen Sie im Snap-In "Zertifikate" unter "Persönlich" die Option "Zertifikate" aus. Ihre Zertifikate werden im Detailbereich angezeigt.
Klicken Sie mit der rechten Maustaste auf das Zertifikat mit Dem aktuellen Domänenbenutzernamen, und wählen Sie dann "Öffnen" aus.
Vergewissern Sie sich auf der Registerkarte " Allgemein ", dass das unter "Gültig" aufgeführte Datum vom heutigen Datum ist. Wenn dies nicht der Fehler ist, haben Sie möglicherweise das falsche Zertifikat ausgewählt.
Wählen Sie "OK" aus, und schließen Sie das Zertifikat-Snap-In.
Registrieren und Überprüfen des VPN-Serverzertifikats
So registrieren Sie das ZERTIFIKAT des VPN-Servers:
Geben Sie im Startmenü des VPN-Servers certlm.msc ein, um das Zertifikat-Snap-In zu öffnen, und drücken Sie die EINGABETASTE.
Klicken Sie mit der rechten Maustaste auf "Persönlich", wählen Sie "Alle Aufgaben " aus, und wählen Sie dann " Neues Zertifikat anfordern " aus, um den Zertifikatregistrierungs-Assistenten zu starten.
Wählen Sie auf der Seite "Vor Beginn" die Option "Weiter" aus.
Wählen Sie auf der Seite "Zertifikatregistrierungsrichtlinie auswählen" die Option Weiter aus.
Wählen Sie auf der Seite "Zertifikate anfordern" die Option "VPN-Serverauthentifizierung" aus.
Aktivieren Sie unter dem Kontrollkästchen "VPN-Server" die Option "Weitere Informationen" , um das Dialogfeld "Zertifikateigenschaften" zu öffnen.
Wählen Sie die Registerkarte " Betreff " aus, und geben Sie die folgenden Informationen im Abschnitt " Antragstellername " ein:
- Wählen Sie für "Typ" den Eintrag "Gemeinsamer Name" aus.
- Geben Sie für "Wert" den Namen der externen Domäne ein, die Clients zum Herstellen einer Verbindung mit dem VPN verwenden (z. B. vpn.contoso.com).
- Wählen Sie Hinzufügen aus.
Wählen Sie OK aus, um das Dialogfeld „Zertifikateigenschaften“ zu schließen.
Wählen Sie Registrieren aus.
Klicken Sie auf Fertig stellen.
So überprüfen Sie das VPN-Serverzertifikat:
Wählen Sie im Snap-In "Zertifikate" unter "Persönlich" die Option "Zertifikate" aus. Ihre aufgelisteten Zertifikate sollten im Detailbereich angezeigt werden.
Klicken Sie mit der rechten Maustaste auf das Zertifikat mit dem Namen Ihres VPN-Servers, und wählen Sie dann "Öffnen" aus.
Vergewissern Sie sich auf der Registerkarte " Allgemein ", dass das unter "Gültig" aufgeführte Datum vom heutigen Datum ist. Wenn dies nicht der Fehler ist, haben Sie möglicherweise das falsche Zertifikat ausgewählt.
Wählen Sie auf der Registerkarte "Details" die Option "Erweiterte Schlüsselverwendung" aus, und vergewissern Sie sich, dass IP-Sicherheit IKE Intermediate sowie Serverauthentifizierung in der Liste angezeigt werden.
Wählen Sie "OK" aus, um das Zertifikat zu schließen.
Registrieren und Überprüfen des NPS-Zertifikats
So registrieren Sie das NPS-Zertifikat:
Geben Sie im Startmenü des NPS-Servers certlm.msc ein, um das Zertifikat-Snap-In zu öffnen, und drücken Sie die EINGABETASTE.
Klicken Sie mit der rechten Maustaste auf "Persönlich", wählen Sie "Alle Aufgaben " aus, und wählen Sie dann " Neues Zertifikat anfordern " aus, um den Zertifikatregistrierungs-Assistenten zu starten.
Wählen Sie auf der Seite "Vor Beginn" die Option "Weiter" aus.
Wählen Sie auf der Seite "Zertifikatregistrierungsrichtlinie auswählen" die Option Weiter aus.
Wählen Sie auf der Seite "Zertifikate anfordern" die Option "NPS-Serverauthentifizierung" aus.
Wählen Sie Registrieren aus.
Klicken Sie auf Fertig stellen.
So überprüfen Sie das NPS-Zertifikat:
Wählen Sie im Snap-In "Zertifikate" unter "Persönlich" die Option "Zertifikate" aus. Ihre aufgelisteten Zertifikate sollten im Detailbereich angezeigt werden.
Klicken Sie mit der rechten Maustaste auf das Zertifikat mit dem Namen Ihres NPS-Servers, und wählen Sie dann "Öffnen" aus.
Vergewissern Sie sich auf der Registerkarte " Allgemein ", dass das unter "Gültig" aufgeführte Datum vom heutigen Datum ist. Wenn dies nicht der Fehler ist, haben Sie möglicherweise das falsche Zertifikat ausgewählt.
Wählen Sie "OK" aus, und schließen Sie das Zertifikat-Snap-In.
Nächster Schritt
Nachdem Sie die Zertifikatvorlagen erstellt und die Zertifikate registriert haben, können Sie ein Windows-Clientgerät für die Verwendung der Always On VPN-Verbindung konfigurieren.