Compartir a través de

Tutorial: Configuración de plantillas de entidad de certificación para VPN AlwaysOn

En este tutorial se muestra cómo configurar las plantillas de entidad de certificación (CA) para la implementación de VPN AlwaysOn. Continúa la serie para implementar VPN AlwaysOn en un entorno de ejemplo. Anteriormente en la serie, implementó una infraestructura de ejemplo.

Las plantillas de CA se usan para emitir certificados al servidor VPN, al servidor NPS y a los usuarios. Los certificados se usan para autenticar el servidor VPN y el servidor NPS en los clientes y para autenticar a los usuarios en el servidor VPN.

En este tutorial ha:

  • Cree una plantilla de autenticación de usuario.
  • Cree una plantilla de autenticación de servidor VPN.
  • Cree una plantilla de autenticación de servidor NPS.
  • Inscriba y valide el certificado de usuario.
  • Inscriba y valide el certificado de servidor VPN.
  • Inscriba y valide el certificado de servidor NPS.

Esta es una descripción de las distintas plantillas:

Template Description
Plantilla de autenticación de usuario Esta plantilla se usa para emitir certificados de usuario para clientes VPN. El certificado de usuario se usa para autenticar al usuario en el servidor VPN.

Con una plantilla de autenticación de usuario, puede mejorar la seguridad de los certificados seleccionando los niveles de compatibilidad actualizados y eligiendo el proveedor criptográfico de plataforma de Microsoft. Con el proveedor criptográfico de plataforma de Microsoft, puede usar un módulo de plataforma segura (TPM) en equipos cliente para proteger el certificado. La plantilla de usuario está configurada para la inscripción automática.
Plantilla de autenticación del servidor VPN Esta plantilla se usa para emitir un certificado de servidor para el servidor VPN. El certificado de servidor se usa para autenticar el servidor VPN en el cliente.

Con una plantilla de autenticación de servidor VPN, agregue la directiva de aplicación IKE intermedia de seguridad ip (IPsec). La directiva de aplicación IKE Intermedia de seguridad IP (IPsec) determina cómo se puede usar el certificado. Puede permitir al servidor filtrar los certificados si hay más de uno disponible. Dado que los clientes VPN acceden a este servidor desde la red pública de Internet, el asunto y los nombres alternativos son diferentes del nombre interno del servidor. Como resultado, no configura el certificado de servidor VPN para la inscripción automática.
Plantilla de autenticación del servidor NPS Esta plantilla se usa para emitir un certificado de servidor para el servidor NPS. El certificado de servidor NPS se usa para autenticar el servidor NPS en el servidor VPN.

Con una plantilla de autenticación de servidor NPS, copia la plantilla de servidores RAS e IAS estándar y la limita para el servidor NPS. La nueva plantilla del servidor NPS incluye la directiva de aplicación de autenticación del servidor.

Para más información sobre VPN AlwaysOn, incluidas las integraciones admitidas, las características de seguridad y conectividad, consulte Introducción a VPN AlwaysOn.

Prerrequisitos

Para completar los pasos de este tutorial, necesita:

  • Para completar todos los pasos del tutorial anterior: Implementación de la infraestructura de VPN AlwaysOn.

  • Un dispositivo cliente de Windows que ejecuta una versión compatible de Windows para conectarse a la VPN AlwaysOn que está unida al dominio de Active Directory.

Creación de la plantilla de autenticación de usuario

  1. En el servidor con Servicios de certificados de Active Directory instalados, que en este tutorial es el controlador de dominio, abra el complemento Entidad de certificación.

  2. En el panel izquierdo, haga clic con el botón derecho en Plantillas de certificado y seleccione Administrar.

  3. En la consola de Plantillas de certificado, haga clic con el botón derecho en Usuario y seleccione Duplicar plantilla. No seleccione Aplicar o Aceptar hasta que termine de escribir información para todas las pestañas. Algunas opciones solo se pueden configurar en la creación de plantillas; Si selecciona estos botones antes de escribir todos los parámetros, no puede cambiarlos; de lo contrario, debe eliminar la plantilla y volver a crearla.

  4. En el cuadro de diálogo Propiedades de nueva plantilla , en la pestaña General , complete los pasos siguientes:

    1. En Nombre para mostrar de plantilla, escriba Autenticación de usuario de VPN.

    2. Desactive la casilla Publicar certificado en Active Directory .

  5. En la pestaña Seguridad , complete los pasos siguientes:

    1. Selecciona Agregar.

    2. En el cuadro de diálogo Seleccionar usuarios, equipos, cuentas de servicio o grupos, escriba Usuarios de VPN y, a continuación, seleccione Aceptar.

    3. En Nombres de grupo o de usuario, seleccione Usuarios de VPN.

    4. En Permisos para usuarios de VPN, active las casillas Inscribir y inscribir automáticamente en la columna Permitir .

      Importante

      Asegúrese de mantener activada la casilla Leer permiso. Necesita permisos de lectura para la inscripción.

    5. En Nombres de grupo o de usuario, seleccione Usuarios de dominio y, a continuación, seleccione Quitar.

  6. En la pestaña Compatibilidad , complete los pasos siguientes:

    1. En Entidad de certificación, seleccione Windows Server 2016.

    2. En el cuadro de diálogo Cambios resultantes, seleccione Aceptar.

    3. En Destinatario del certificado, seleccione Windows 10/Windows Server 2016.

    4. En el cuadro de diálogo Cambios resultantes, seleccione Aceptar.

  7. En la pestaña Control de solicitudes , desactive Permitir que se exporte la clave privada.

  8. En la pestaña Criptografía , complete los pasos siguientes:

    1. En Categoría de proveedor, seleccione Proveedor de almacenamiento de claves.

    2. Seleccione Las solicitudes deben usar uno de los siguientes proveedores.

    3. Seleccione Proveedor criptográfico de plataforma de Microsoft y Proveedor de almacenamiento de claves de software de Microsoft.

  9. En la pestaña Nombre del firmante , desactive incluir el nombre de correo electrónico en el nombre del firmante y el nombre del correo electrónico.

  10. Seleccione Aceptar para guardar la plantilla de certificado de autenticación de usuario de VPN.

  11. Cierre la consola de plantillas de certificado.

  12. En el panel izquierdo del complemento Entidad de certificación, haga clic con el botón derecho en Plantillas de certificado, seleccione Nuevo y, a continuación, seleccione Plantilla de certificado para emitir.

  13. Seleccione Vpn User Authentication (Autenticación de usuario de VPN) y, a continuación, seleccione Aceptar.

Creación de la plantilla de autenticación del servidor VPN

  1. En el panel izquierdo del complemento Entidad de certificación, haga clic con el botón derecho en Plantillas de certificado y seleccione Administrar para abrir la consola Plantillas de certificado.

  2. En la consola Plantillas de certificado, haga clic con el botón derecho en RAS e IAS Server y seleccione Duplicar plantilla. No seleccione Aplicar o Aceptar hasta que termine de escribir información para todas las pestañas. Algunas opciones solo se pueden configurar en la creación de plantillas; Si selecciona estos botones antes de escribir todos los parámetros, no puede cambiarlos; de lo contrario, debe eliminar la plantilla y volver a crearla.

  3. En el cuadro de diálogo Propiedades de nueva plantilla , en la pestaña General , en Nombre para mostrar de plantilla, escriba Autenticación de servidor VPN.

  4. En la pestaña Extensiones , complete los pasos siguientes:

    1. Seleccione Directivas de aplicación y, después, Editar.

    2. En el cuadro de diálogo Editar extensión de políticas de aplicación, seleccione Agregar.

    3. En el cuadro de diálogo Agregar directiva de aplicación , seleccione IKE intermedio de seguridad IP y, a continuación, seleccione Aceptar.

    4. Seleccione Aceptar para volver al cuadro de diálogo Propiedades de nueva plantilla .

  5. En la pestaña Seguridad , complete los pasos siguientes:

    1. Selecciona Agregar.

    2. En el cuadro de diálogo Seleccionar usuarios, equipos, cuentas de servicio o grupos , escriba Servidores VPN y seleccione Aceptar.

    3. En Nombres de grupo o de usuario, seleccione Servidores VPN.

    4. En Permisos para servidores VPN, seleccione Inscribir en la columna Permitir .

    5. En Nombres de grupo o de usuario, seleccione SERVIDORES RAS e IAS y, a continuación, seleccione Quitar.

  6. En la pestaña Nombre del firmante , complete los pasos siguientes:

    1. Seleccione Proporcionar en la solicitud.

    2. En el cuadro de diálogo de advertencia Plantillas de certificado , seleccione Aceptar.

  7. Seleccione Aceptar para guardar la plantilla de certificado del servidor VPN.

  8. Cierre la consola de plantillas de certificado.

  9. En el panel izquierdo del complemento Entidad de certificación, haga clic con el botón derecho en Plantillas de certificado. Seleccione Nuevo y, a continuación, seleccione Plantilla de certificado para emitir.

  10. Seleccione Autenticación de servidor VPN y, después, Aceptar.

  11. Reinicie el servidor VPN.

Creación de la plantilla de autenticación del servidor NPS

  1. En el panel izquierdo del complemento Entidad de certificación, haga clic con el botón derecho en Plantillas de certificado y seleccione Administrar para abrir la consola Plantillas de certificado.

  2. En la consola Plantillas de certificado, haga clic con el botón derecho en RAS e IAS Server y seleccione Duplicar plantilla. No seleccione Aplicar o Aceptar hasta que termine de escribir información para todas las pestañas. Algunas opciones solo se pueden configurar en la creación de plantillas; Si selecciona estos botones antes de escribir todos los parámetros, no puede cambiarlos; de lo contrario, debe eliminar la plantilla y volver a crearla.

  3. En el cuadro de diálogo Propiedades de nueva plantilla, en la pestaña General , en Nombre para mostrar de plantilla, escriba Autenticación del servidor NPS.

  4. En la pestaña Seguridad , complete los pasos siguientes:

    1. Selecciona Agregar.

    2. En el cuadro de diálogo Seleccionar usuarios, equipos, cuentas de servicio o grupos , escriba Servidores NPS y, a continuación, seleccione Aceptar.

    3. En Nombres de grupo o usuario, seleccione Servidores NPS.

    4. En Permisos para servidores NPS, seleccione Inscribir en la columna Permitir .

    5. En Nombres de grupo o de usuario, seleccione SERVIDORES RAS e IAS y, a continuación, seleccione Quitar.

  5. Seleccione Aceptar para guardar la plantilla de certificado del servidor NPS.

  6. Cierre la consola de plantillas de certificado.

  7. En el panel izquierdo del complemento Entidad de certificación, haga clic con el botón derecho en Plantillas de certificado. Seleccione Nuevo y, a continuación, seleccione Plantilla de certificado para emitir.

  8. Seleccione Autenticación del servidor NPS y, a continuación, seleccione Aceptar.

Ahora ha creado las plantillas de certificado que necesita para inscribir y validar los certificados.

Inscripción y validación del certificado de usuario

La directiva de grupo está configurada para inscribir automáticamente los certificados de usuario, por lo que una vez que la directiva se aplica a los dispositivos cliente de Windows, inscriben automáticamente la cuenta de usuario para el certificado correcto. A continuación, puede validar el certificado en la consola certificados del dispositivo local.

Para comprobar que la directiva se aplica y el certificado está inscrito:

  1. Inicie sesión en el dispositivo cliente de Windows como el usuario que creó para el grupo Usuarios de VPN .

  2. Abra el símbolo del sistema y ejecute el siguiente comando. Como alternativa, reinicie el dispositivo cliente windows.

    gpupdate /force

  3. En el menú Inicio, escriba certmgr.msc y presione ENTRAR.

  4. En el complemento Certificados, en Personal, seleccione Certificados. Los certificados aparecen en el panel de detalles.

  5. Haga clic con el botón derecho en el certificado que tiene el nombre de usuario del dominio actual y, a continuación, seleccione Abrir.

  6. En la pestaña General , confirme que la fecha que aparece en Válido es la fecha de hoy. Si no es así, es posible que haya seleccionado el certificado incorrecto.

  7. Seleccione Aceptar y cierre el complemento Certificados.

Inscripción y validación del certificado de servidor VPN

Para inscribir el certificado del servidor VPN:

  1. En el menú Inicio del servidor VPN, escriba certlm.msc para abrir el complemento Certificados y presione ENTRAR.

  2. Haga clic con el botón derecho en Personal, seleccione Todas las tareas y, a continuación, seleccione Solicitar nuevo certificado para iniciar el Asistente para inscripción de certificados.

  3. En la página Antes de comenzar, seleccione Siguiente.

  4. En la página Seleccionar directiva de inscripción de certificados, seleccione Siguiente.

  5. En la página Solicitar certificados, seleccione Autenticación de servidor VPN.

  6. En la casilla de verificación del servidor VPN, seleccione Se requiere más información para abrir el cuadro de diálogo Propiedades del certificado.

  7. Seleccione la pestaña Asunto y escriba la siguiente información en la sección Nombre del firmante :

    1. En Tipo , seleccione Nombre común.
    2. En Valor, escriba el nombre del dominio externo que usan los clientes para conectarse a la VPN (por ejemplo, vpn.contoso.com).
    3. Selecciona Agregar.

  8. Seleccione Aceptar para cerrar Las propiedades del certificado.

  9. Seleccione Inscribir.

  10. Selecciona Finalizar.

Para validar el certificado de servidor VPN:

  1. En el complemento Certificados, en Personal, seleccione Certificados. Los certificados enumerados deben aparecer en el panel de detalles.

  2. Haga clic con el botón derecho en el certificado que tiene el nombre del servidor VPN y, a continuación, seleccione Abrir.

  3. En la pestaña General , confirme que la fecha que aparece en Válido es la fecha de hoy. Si no es así, es posible que haya seleccionado el certificado incorrecto.

  4. En la pestaña Detalles , seleccione Uso mejorado de claves y compruebe que la autenticación intermedia de IKE de seguridad IP y la autenticación del servidor se muestran en la lista.

  5. Seleccione Aceptar para cerrar el certificado.

Inscripción y validación del certificado NPS

Para inscribir el certificado NPS:

  1. En el menú Inicio del servidor NPS, escriba certlm.msc para abrir el complemento "Certificates" y presione ENTER.

  2. Haga clic con el botón derecho en Personal, seleccione Todas las tareas y, a continuación, seleccione Solicitar nuevo certificado para iniciar el Asistente para inscripción de certificados.

  3. En la página Antes de comenzar, seleccione Siguiente.

  4. En la página Seleccionar directiva de inscripción de certificados, seleccione Siguiente.

  5. En la página Solicitar certificados, seleccione Autenticación del servidor NPS.

  6. Seleccione Inscribir.

  7. Selecciona Finalizar.

Para validar el certificado NPS:

  1. En el complemento Certificados, en Personal, seleccione Certificados. Los certificados enumerados deben aparecer en el panel de detalles.

  2. Haga clic con el botón derecho en el certificado que tiene el nombre del servidor NPS y seleccione Abrir.

  3. En la pestaña General , confirme que la fecha que aparece en Válido es la fecha de hoy. Si no es así, es posible que haya seleccionado el certificado incorrecto.

  4. Seleccione Aceptar y cierre el complemento Certificados.

Paso siguiente

Ahora ha creado las plantillas de certificado y ha inscrito los certificados, puede configurar un dispositivo cliente de Windows para que use la conexión VPN AlwaysOn.

Tutorial: Creación de una conexión VPN AlwaysOn para dispositivos cliente Windows

  • Last updated on