Tutorial: Bereitstellen von Always On VPN – Konfigurieren von Zertifizierungsstellenvorlagen

• Zurück: 1: Einrichten der Infrastruktur für Always On VPN
• Nächster Schritt: 3: Konfigurieren des Always On VPN-Profils für Windows 10+ Clients

In diesem Teil des Tutorials“ Bereitstellen von Always On VPN“ erstellen Sie Zertifikatvorlagen und registrieren oder überprüfen Sie Zertifikate für die Active Directory-Gruppen (AD), die Sie unter Bereitstellen von Always On VPN – Einrichten der Umgebung erstellt haben:

Sie erstellen die folgenden Vorlagen:

• Benutzerauthentifizierungsvorlage. Mit einer Benutzerauthentifizierungsvorlage können Sie die Zertifikatsicherheit verbessern, indem Sie aktualisierte Kompatibilitätsstufen auswählen und den Microsoft Platform Crypto Provider auswählen. Mit dem Microsoft Platform Crypto Provider können Sie ein Trusted Platform Module (TPM) auf Clientcomputern verwenden, um das Zertifikat zu schützen. Eine Übersicht über TPM finden Sie unter Übersicht über die Technologie des Trusted Platform Module. Die Benutzervorlage wird für die automatische Registrierung konfiguriert.

• VPN-Serverauthentifizierungsvorlage. Mit einer VPN-Serverauthentifizierungsvorlage fügen Sie die Anwendungsrichtlinie IP-Sicherheits-IKE, dazwischenliegend (IPsec) hinzu. Die Anwendungsrichtlinie IP-Sicherheits-IKE, dazwischenliegend (IPsec) bestimmt, wie das Zertifikat verwendet werden kann. Sie kann es dem Server ermöglichen, Zertifikate zu filtern, wenn mehr als ein Zertifikat verfügbar ist. Da VPN-Clients über das öffentliche Internet auf diesen Server zugreifen, unterscheiden sich der Antragstellername und der alternative Name vom internen Servernamen. Infolgedessen werden Sie das VPN-Serverzertifikat nicht für die automatische Registrierung konfigurieren.

• NPS-Serverauthentifizierungsvorlage. Mit einer NPS-Serverauthentifizierungsvorlage kopieren Sie die Standardvorlage für RAS- und IAS-Server, und passen sie für Ihren NPS-Server an. Die neue NPS-Servervorlage enthält die Anwendungsrichtlinie für die Serverauthentifizierung.

Voraussetzungen

1. Schließen Sie Bereitstellen von Always On VPN: Einrichten der Umgebung ab.

Erstellen der Benutzerauthentifizierungsvorlage

1. Öffnen Sie auf dem Zertifizierungsstellenserver, bei dem es sich in diesem Tutorial um den Domänencontroller handelt, das Zertifizierungsstellen-Snap-In.

2. Klicken Sie im linken Bereich mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie Verwalten aus.

3. Klicken Sie in der Konsole „Zertifikatvorlagen“ mit der rechten Maustaste auf Benutzer, und wählen Sie Doppelte Vorlage aus.

   Warnung

   Klicken Sie erst dann auf Anwenden oder OK, wenn Sie die Eingabe von Informationen für alle Registerkarten abgeschlossen haben. Einige Optionen können nur bei der Vorlagenerstellung konfiguriert werden. Wenn Sie diese Schaltflächen auswählen, bevor Sie ALLE Parameter eingeben, können Sie sie nicht ändern. Wenn beispielsweise auf der Registerkarte KryptografieLegacy Cryptographic Storage Provider im Feld „Anbieterkategorie“ angezeigt wird, wird die Option deaktiviert, wodurch weitere Änderungen verhindert werden. Die einzige Alternative besteht darin, die Vorlage zu löschen und neu zu erstellen.

4. Führen Sie im Dialogfeld „Eigenschaften der neuen Vorlage“ auf der Registerkarte Allgemein die folgenden Schritte aus:

   1. Geben Sie VPN-Benutzerauthentifizierung unter Anzeigename der Vorlageein.

   2. Deaktivieren Sie das Kontrollkästchen Zertifikat in Active Directory veröffentlichen.

5. Führen Sie auf der Registerkarte Sicherheit die folgenden Schritte aus:

   1. Wählen Sie Hinzufügen.

   2. Geben Sie im Dialogfeld „Benutzer, Computer, Dienstkonten oder Gruppen auswählen“ VPN-Benutzer ein, und wählen Sie dann OK aus.

   3. Wählen Sie unter Gruppen- oder Benutzernamen die Option VPN-Benutzer aus.

   4. Wählen Sie unter Berechtigungen für VPN-Benutzer die Kontrollkästchen Registrieren und Automatisch registrieren in der Spalte Zulassen.

      Wichtig

      Stellen Sie sicher, dass das Kontrollkästchen „Leseberechtigung“ aktiviert bleibt. Sie benötigen Leseberechtigungen für die Registrierung.

   5. Wählen Sie unter Gruppen- oder Benutzernamen die Option Domänenbenutzer und dann Entfernen aus.

6. Führen Sie auf der Registerkarte Kompatibilität die folgenden Schritte aus:

   1. Wählen Sie unter Zertifizierungsstelle die Option Windows Server 2016 aus.

   2. Wählen Sie im Dialogfeld Resultierende ÄnderungenOK aus.

   3. Wählen Sie unter Zertifikatempfänger die Option Windows 10/Windows Server 2016 aus.

   4. Wählen Sie im Dialogfeld Resultierende ÄnderungenOK aus.

7. Deaktivieren Sie auf der Registerkarte Anforderungsverarbeitung das Kontrollkästchen Exportieren von privatem Schlüssel zulassen.

8. Führen Sie auf der Registerkarte Kryptografie die folgenden Schritte aus:

   1. Wählen Sie unter Anbieterkategorie die Option Schlüsselspeicheranbieter aus.

   2. Wählen Sie Anforderungen muss einen der folgenden Anbieter verwenden.

   3. Wählen Sie sowohl Microsoft Platform Crypto Provider als auch Microsoft Software Key Storage Provider aus.

9. Deaktivieren Sie auf der Registerkarte Antragstellername die Optionen E-Mail-Name im Antragstellernamen und E-Mail-Name.

10. Wählen Sie OK aus, um die Zertifikatvorlage für die VPN-Benutzerauthentifizierung zu speichern.

11. Schließen Sie die Zertifikatvorlagenkonsole.

12. Klicken Sie im linken Bereich des Zertifizierungsstellen-Snap-Ins mit der rechten Maustaste auf Zertifikatvorlagen, wählen Sie Neu und dann Auszustellende Zertifikatvorlage aus.

13. Wählen Sie VPN-Serverauthentifizierung und dann OK aus.

Erstellen der VPN-Serverauthentifizierungsvorlage

1. Klicken Sie im linken Bereich des Zertifizierungsstellen-Snap-Ins mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie Verwalten aus, um die Konsole „Zertifikatvorlagen“ zu öffnen.

2. Klicken Sie in der Konsole „Zertifikatvorlagen“ mit der rechten Maustaste auf RAS und IAS-Server, und wählen Sie Doppelte Vorlage aus.

   Warnung

   Klicken Sie erst dann auf Anwenden oder OK, wenn Sie die Eingabe von Informationen für alle Registerkarten abgeschlossen haben. Einige Optionen können nur bei der Vorlagenerstellung konfiguriert werden. Wenn Sie diese Schaltflächen auswählen, bevor Sie ALLE Parameter eingeben, können Sie sie nicht ändern. Wenn beispielsweise auf der Registerkarte KryptografieLegacy Cryptographic Storage Provider im Feld „Anbieterkategorie“ angezeigt wird, wird die Option deaktiviert, wodurch weitere Änderungen verhindert werden. Die einzige Alternative besteht darin, die Vorlage zu löschen und neu zu erstellen.

3. Geben Sie im Dialogfeld „Eigenschaften der neuen Vorlage“ auf der Registerkarte Allgemein unter Anzeigename der VorlageVPN-Server-Authentifizierung ein.

4. Führen Sie auf der Registerkarte Erweiterungen die folgenden Schritte aus:

   1. Wählen Sie Anwendungsrichtlinien und dann Bearbeiten aus.

   2. Klicken Sie im Dialogfeld Anwendungsrichtlinienerweiterung bearbeiten auf OK.

   3. Wählen Sie im Dialogfeld Anwendungsrichtlinie hinzufügen die Option IP-Sicherheits-IKE, dazwischenliegend und dann OK aus.

   4. Wählen Sie OK aus, um zum Dialogfeld Eigenschaften der neuen Vorlage zurückzukehren.

5. Führen Sie auf der Registerkarte Sicherheit die folgenden Schritte aus:

   1. Wählen Sie Hinzufügen.

   2. Geben Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählenVPN-Server ein, und wählen Sie dann OK aus.

   3. Wählen Sie unter Gruppen- oder Benutzernamen die Option VPN-Server aus.

   4. Wählen Sie unter Berechtigungen für VPN-Server die Option Registrieren in der Spalte Zulassen aus.

   5. Wählen Sie unter Gruppen- oder Benutzernamen die Option RAS- und IAS-Server und dann Entfernen aus.

6. Führen Sie auf der Registerkarte Antragstellername die folgenden Schritte aus:

   1. Wählen Sie Informationen werden in der Anforderung angegeben.

   2. Wählen Sie im Warndialogfeld ZertifikatvorlagenOK aus.

7. Wählen Sie OK, um die VPN-Server-Zertifikatvorlage zu speichern.

8. Schließen Sie die Zertifikatvorlagenkonsole.

9. Klicken Sie im linken Bereich des Snap-Ins „Zertifizierungsstelle“ mit der rechten Maustaste auf Zertifikatvorlagen. Wählen Sie Neu und dann Ausstellende Zertifikatvorlageaus.

10. Wählen Sie VPN-Serverauthentifizierung und dann OK aus.

11. Starten Sie den VPN-Server neu.

Erstellen der NPS-Serverauthentifizierungsvorlage

1. Klicken Sie im linken Bereich des Zertifizierungsstellen-Snap-Ins mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie Verwalten aus, um die Konsole „Zertifikatvorlagen“ zu öffnen.

2. Klicken Sie in der Konsole „Zertifikatvorlagen“ mit der rechten Maustaste auf RAS und IAS-Server, und wählen Sie Doppelte Vorlage aus.

   Warnung

   Klicken Sie erst dann auf Anwenden oder OK, wenn Sie die Eingabe von Informationen für alle Registerkarten abgeschlossen haben. Einige Optionen können nur bei der Vorlagenerstellung konfiguriert werden. Wenn Sie diese Schaltflächen auswählen, bevor Sie ALLE Parameter eingeben, können Sie sie nicht ändern. Wenn beispielsweise auf der Registerkarte KryptografieLegacy Cryptographic Storage Provider im Feld „Anbieterkategorie“ angezeigt wird, wird die Option deaktiviert, wodurch weitere Änderungen verhindert werden. Die einzige Alternative besteht darin, die Vorlage zu löschen und neu zu erstellen.

3. Geben Sie im Dialogfeld „Eigenschaften der neuen Vorlage“ auf der Registerkarte Allgemein unter Anzeigename der VorlageNPS-Serverauthentifizierung ein.

4. Führen Sie auf der Registerkarte Sicherheit die folgenden Schritte aus:

   1. Wählen Sie Hinzufügen.

   2. Geben Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählenNPS-Server ein, und wählen Sie dann OK aus.

   3. Wählen Sie unter Gruppen- oder Benutzernamen die Option NPS-Server aus.

   4. Wählen Sie unter Berechtigungen für NPS-Server die Option Registrieren in der Spalte Zulassen aus.

   5. Wählen Sie unter Gruppen- oder Benutzernamen die Option RAS- und IAS-Server und dann Entfernen aus.

5. Wählen Sie OK, um die VPN-Server-Zertifikatvorlage zu speichern.

6. Schließen Sie die Zertifikatvorlagenkonsole.

7. Klicken Sie im linken Bereich des Snap-Ins „Zertifizierungsstelle“ mit der rechten Maustaste auf Zertifikatvorlagen. Wählen Sie Neu und dann Ausstellende Zertifikatvorlageaus.

8. Wählen Sie NPS-Serverauthentifizierung und dann OK aus.

Registrieren und Überprüfen des Benutzerzertifikats

Da Sie Gruppenrichtlinie zum automatischen Registrieren von Benutzerzertifikaten verwenden, müssen Sie nur die Richtlinie aktualisieren, und Windows 10 registriert automatisch das Benutzerkonto für das richtige Zertifikat. Anschließend können Sie das Zertifikat in der Zertifikatkonsole überprüfen.

So überprüfen Sie das Benutzerzertifikat:

1. Melden Sie sich beim VPN-Windows-Client als der Benutzer an, den Sie für die Gruppe VPN-Benutzer erstellt haben.

2. Drücken Sie die Windows-Taste + R, geben Sie gpupdate /force ein, und drücken Sie die EINGABETASTE.

3. Geben Sie im Startmenü certmgr.msc ein, und drücken Sie die EINGABETASTE.

4. Wählen Sie im Zertifikate-Snap-In unter Persönlich die Option Zertifikate aus. Ihre Zertifikate werden im Detailbereich angezeigt.

5. Klicken Sie mit der rechten Maustaste auf das Zertifikat, das Ihren aktuellen Domänenbenutzernamen enthält, und wählen Sie dann Öffnen aus.

6. Vergewissern Sie sich auf der Registerkarte Allgemein, dass das unter Gültig ab aufgeführte Datum das heutige Datum ist. Wenn dies nicht der Fall ist, haben Sie möglicherweise das falsche Zertifikat ausgewählt.

7. Wählen Sie OK aus, und schließen Sie das Zertifikate-Snap-In.

Registrieren und Überprüfen des VPN-Serverzertifikats

Im Gegensatz zum Benutzerzertifikat müssen Sie das Zertifikat des VPN-Servers manuell registrieren.

So registrieren Sie das Zertifikat des VPN-Servers:

1. Geben Sie im Startmenü des VPN-Servers certlm.msc ein, um das Zertifikate-Snap-In zu öffnen, und drücken Sie die EINGABETASTE.

2. Klicken Sie mit der rechten Maustaste auf Persönlich, wählen Sie Alle Aufgaben und dann Neues Zertifikat anfordern aus, um den Zertifikatregistrierungsassistenten zu starten.

3. Wählen Sie auf der Seite „Vorbereitung“ die Option Weiter aus.

4. Wählen Sie auf der Seite „Zertifikatregistrierungsrichtlinie auswählen“ die Option Weiter aus.

5. Wählen Sie auf der Seite „Zertifikate anfordern“ die Option VPN-Serverauthentifizierung aus.

6. Wählen Sie unter dem Kontrollkästchen „VPN-Server“ die Option Weitere Informationen erforderlich aus, um das Dialogfeld „Zertifikateigenschaften“ zu öffnen.

7. Wählen Sie die Registerkarte Antragsteller aus, und geben Sie die folgenden Informationen ein:

   Im Abschnitt Antragstellername:

   1. Für Typwählen Sie Allgemeiner Name.
   2. Geben Sie unter Wert den Namen der externen Domäne ein, die Clients zum Herstellen einer Verbindung mit dem VPN verwenden (z. B. vpn.contoso.com).
   3. Wählen Sie Hinzufügen aus.

8. Wählen Sie OK aus, um die Zertifikateigenschaften zu schließen.

9. Wählen Sie Registrieren aus.

10. Wählen Sie Fertig stellen aus.

So überprüfen Sie das VPN-Serverzertifikat:

1. Wählen Sie im Zertifikate-Snap-In unter Persönlich die Option Zertifikate aus.

   Die aufgelisteten Zertifikate sollten im Detailbereich angezeigt werden.

2. Klicken Sie mit der rechten Maustaste auf das Zertifikat mit dem Namen Ihres VPN-Servers, und wählen Sie dann Öffnen aus.

3. Vergewissern Sie sich auf der Registerkarte Allgemein, dass das unter Gültig ab aufgeführte Datum das heutige Datum ist. Wenn dies nicht der Fall ist, haben Sie möglicherweise das falsche Zertifikat ausgewählt.

4. Wählen Sie auf der Registerkarte Details die Option Erweiterte Schlüsselverwendungaus, und überprüfen Sie, ob IP-Sicherheits-IKE, dazwischenliegend und Serverauthentifizierung in der Liste angezeigt werden.

5. Wählen Sie OK aus, um das Zertifikat zu schließen.

Registrieren und Überprüfen des NPS-Zertifikats

Da Sie die Gruppenrichtlinie zum automatischen Registrieren von NPS-Zertifikaten verwenden, müssen Sie nur die Richtlinie aktualisieren, und Windows-Server registriert automatisch den NPS-Server für das richtige Zertifikat. Anschließend können Sie das Zertifikat in der Zertifikatkonsole überprüfen.

So registrieren Sie das NPS-Zertifikat:

1. Geben Sie im Startmenü des NPS-Servers certlm.msc ein, um das Zertifikate-Snap-In zu öffnen, und drücken Sie die EINGABETASTE.

2. Klicken Sie mit der rechten Maustaste auf Persönlich, wählen Sie Alle Aufgaben und dann Neues Zertifikat anfordern aus, um den Zertifikatregistrierungsassistenten zu starten.

3. Wählen Sie auf der Seite „Vorbereitung“ die Option Weiter aus.

4. Wählen Sie auf der Seite „Zertifikatregistrierungsrichtlinie auswählen“ die Option Weiter aus.

5. Wählen Sie auf der Seite „Zertifikate anfordern“ die Option NPS-Serverauthentifizierung aus.

6. Wählen Sie Registrieren aus.

7. Wählen Sie Fertig stellen aus.

So überprüfen Sie das NPS-Zertifikat:

1. Wählen Sie im Zertifikate-Snap-In unter Persönlich die Option Zertifikate aus.

   Die aufgelisteten Zertifikate sollten im Detailbereich angezeigt werden.

2. Klicken Sie mit der rechten Maustaste auf das Zertifikat mit dem Namen Ihres NPS-Servers, und wählen Sie dann Öffnen aus.

3. Vergewissern Sie sich auf der Registerkarte Allgemein, dass das unter Gültig ab aufgeführte Datum das heutige Datum ist. Wenn dies nicht der Fall ist, haben Sie möglicherweise das falsche Zertifikat ausgewählt.

4. Wählen Sie OK aus, und schließen Sie das Zertifikate-Snap-In.

Nächste Schritte

• Tutorial – Bereitstellen von Always On VPN: Konfigurieren von Always On VPN-Verbindungen für den Windows-Client

• Problembehandlung bei Always On VPN