Tutoriel : Déployer VPN Always On - Configurer des modèles d’autorité de certification
- Précédent : 1 - Configurer l’infrastructure pour VPN Always On
- Suivant : 3 - Configurer un profil VPN Always On pour les clients Windows 10+
Dans cette partie du tutoriel Déployer VPN Always On, vous allez créer des modèles de certificat et inscrire ou valider des certificats pour les groupes Active Directory (AD) que vous avez créés dans Déployer VPN Always On - Configurer l’environnement :
Vous allez créer les modèles suivants :
Modèle d’authentification utilisateur. Avec un modèle d’authentification utilisateur, vous pouvez améliorer la sécurité des certificats en sélectionnant les niveaux de compatibilité mis à niveau et en choisissant le fournisseur de chiffrement de plateforme Microsoft. Avec le fournisseur de chiffrement de plateforme Microsoft, vous pouvez utiliser un module de plateforme sécurisée (TPM) sur les ordinateurs clients pour sécuriser le certificat. Pour une vue d'ensemble du TPM, voir Vue d’ensemble de la technologie de module de plateforme sécurisée. Le modèle utilisateur sera configuré pour l’inscription automatique.
Modèle d’authentification de serveur VPN. Avec un modèle d’authentification de serveur VPN, vous allez ajouter la stratégie d’application intermédiaire IKE (IPsec) de sécurité IP. La stratégie d’application intermédiaire IKE de sécurité IP (IPsec) détermine la façon dont le certificat peut être utilisé. Elle peut autoriser le serveur à filtrer les certificats si plusieurs certificats sont disponibles. Étant donné que les clients VPN accèdent à ce serveur à partir de l’Internet public, le sujet et les autres noms sont différents du nom du serveur interne. Par conséquent, vous ne configurerez pas le certificat de serveur VPN pour l’inscription automatique.
Modèle d’authentification serveur NPS. Avec un modèle d’authentification serveur NPS, vous allez copier le modèle standard de Serveurs RAS et IAS et l’étendre à votre serveur NPS. Le nouveau modèle de serveur NPS inclut la stratégie d’application d’authentification du serveur.
Prérequis
Créer le modèle d’authentification utilisateur
Sur le serveur d’autorité de certification, qui est le contrôleur de domaine dans ce tutoriel, ouvrez le composant logiciel enfichable Autorité de certification.
Dans le volet gauche, cliquez avec le bouton droit sur Modèles de certificat, puis sélectionnez Gérer.
Dans la console Modèles de certificats, cliquez avec le bouton droit sur Utilisateur, puis sélectionnez Dupliquer le modèle.
Avertissement
Ne sélectionnez pas Appliquer ou OK tant que vous n’avez pas terminé la saisie des informations pour tous les onglets. Certains choix ne peuvent être configurés qu’au moment de la création du modèle. Si vous sélectionnez ces boutons avant d’entrer TOUS les paramètres, vous ne pouvez pas les modifier. Par exemple, sous l’onglet Chiffrement, si le fournisseur de stockage de chiffrement hérité s’affiche dans le champ Catégorie de fournisseur, il est désactivé, empêchant toute autre modification. La seule alternative consiste à supprimer le modèle et à le recréer.
Dans la boîte de dialogue Propriétés du nouveau modèle, dans l’onglet Général, effectuez les étapes suivantes :
Dans Nom complet du modèle, entrez Authentification utilisateur VPN.
Décochez la case Publier un certificat dans Active Directory.
Sous l'onglet Sécurité, procédez comme suit :
Sélectionnez Ajouter.
Dans la boîte de dialogue Sélectionner des utilisateurs, des ordinateurs, des comptes de service ou des groupes, entrez Utilisateurs VPN, puis sélectionnez OK.
Dans Noms de groupe ou d’utilisateur, sélectionnez Utilisateurs VPN.
Dans Autorisations pour les utilisateurs VPN, cochez les cases Inscrire et Inscrire automatiquement dans la colonne Autoriser.
Important
Veillez à garder la case Autorisation de lecture cochée. Vous aurez besoin d’autorisations de lecture pour l’inscription.
Dans Noms de groupe ou d’utilisateur, sélectionnez Utilisateurs de domaine, puis Supprimer.
Dans l’onglet Compatibilité, procédez comme suit :
Dans Autorité de certification, sélectionnez Windows Server 2016.
Dans la boîte de dialogue Modifications obtenues, sélectionnez OK.
Sous Destinataire du certificatde sécurité, sélectionnez Windows 10/Windows Server 2016.
Dans la boîte de dialogue Modifications obtenues, sélectionnez OK.
Cliquez sur l'onglet Traitement de la demande et désélectionnez Autoriser l'exportation de la clé privée.
Sous l’onglet Chiffrement, effectuez les étapes suivantes :
Dans Catégorie de fournisseur, sélectionnez Fournisseur de stockage de clés.
Sélectionnez Les demandes doivent utiliser l’un des fournisseurs suivants.
Sélectionnez à la fois Fournisseur de chiffrement de plateforme Microsoft et Fournisseur de stockage de clés logicielles Microsoft.
Dans l’onglet Nom de sujet, décochez Inclure le nom de messagerie électronique dans nom d’objet et Nom d’e-mail.
Sélectionnez OK pour enregistrer le modèle de certificat d’authentification d’utilisateur VPN.
Fermez la console Modèles de certificat.
Dans le volet gauche du composant logiciel enfichable Autorité de certification, cliquez avec le bouton droit sur Modèles de certificat, sélectionnez Nouveau, puis Modèle de certificat à émettre.
Sélectionnez Authentification utilisateur VPN, puis OK.
Créer le modèle d’authentification du serveur VPN
Dans le volet gauche du composant logiciel enfichable Autorité de certification, cliquez avec le bouton droit sur Modèles de certificat, et sélectionnez Gérer pour ouvrir la console Modèles de certificat.
Dans la console Modèles de certificats, cliquez avec le bouton droit sur SERVEUR RAS et IAS, puis sélectionnez Dupliquer le modèle.
Avertissement
Ne sélectionnez pas Appliquer ou OK tant que vous n’avez pas terminé la saisie des informations pour tous les onglets. Certains choix ne peuvent être configurés qu’au moment de la création du modèle. Si vous sélectionnez ces boutons avant d’entrer TOUS les paramètres, vous ne pouvez pas les modifier. Par exemple, sous l’onglet Chiffrement, si le fournisseur de stockage de chiffrement hérité s’affiche dans le champ Catégorie de fournisseur, il est désactivé, empêchant toute autre modification. La seule alternative consiste à supprimer le modèle et à le recréer.
Dans la boîte de dialogue Propriétés du nouveau modèle, sous l’onglet Général, dans Nom complet du modèle, entrez Authentification du serveur VPN.
Sous l’onglet Extensions, procédez comme suit :
Sélectionnez Stratégies d’application, puis Modifier.
Dans la boîte de dialogue Modifier l’extension des stratégies d’application, sélectionnez Ajouter.
Dans la boîte de dialogue Ajouter une stratégie d’application, sélectionnez Sécurité IP IKE intermédiaire, puis OK.
Sélectionnez OK pour revenir à la boîte de dialogue Propriétés du nouveau modèle.
Sous l'onglet Sécurité, procédez comme suit :
Sélectionnez Ajouter.
Dans la boîte de dialogue Sélectionner des utilisateurs, des ordinateurs, des comptes de service ou des groupes, entrez Serveurs VPN, puis sélectionnez OK.
Dans Noms de groupe ou d’utilisateur, sélectionnez Serveurs VPN.
Dans Autorisations pour les serveurs VPN, sélectionnez Inscrire dans la colonne Autoriser.
Dans Noms de groupe ou d’utilisateur, sélectionnez Serveurs RAS et IAS, puis Supprimer.
Sous l’onglet Nom de l’objet, effectuez les étapes suivantes :
Sélectionnez Fournir dans la demande.
Dans la boîte de dialogue Modèles de certificats, sélectionnez OK.
Sélectionnez OK pour enregistrer le modèle de certificat de Serveur VPN.
Fermez la console Modèles de certificat.
Dans le volet gauche du composant logiciel enfichable Autorité de certification, cliquez avec le bouton droit sur Modèles de certificat. Sélectionnez Nouveau, puis Modèle de certificat à émettre.
Sélectionnez Authentification du serveur VPN, puis OK.
Redémarrez le serveur VPN.
Créer le modèle d’authentification du serveur NPS
Dans le volet gauche du composant logiciel enfichable Autorité de certification, cliquez avec le bouton droit sur Modèles de certificat, et sélectionnez Gérer pour ouvrir la console Modèles de certificat.
Dans la console Modèles de certificats, cliquez avec le bouton droit sur SERVEUR RAS et IAS, puis sélectionnez Dupliquer le modèle.
Avertissement
Ne sélectionnez pas Appliquer ou OK tant que vous n’avez pas terminé la saisie des informations pour tous les onglets. Certains choix ne peuvent être configurés qu’au moment de la création du modèle. Si vous sélectionnez ces boutons avant d’entrer TOUS les paramètres, vous ne pouvez pas les modifier. Par exemple, sous l’onglet Chiffrement, si le fournisseur de stockage de chiffrement hérité s’affiche dans le champ Catégorie de fournisseur, il est désactivé, empêchant toute autre modification. La seule alternative consiste à supprimer le modèle et à le recréer.
Dans la boîte de dialogue Propriétés du nouveau modèle, sous l’onglet Général, dans Nom complet du modèle, entrez Authentification serveur NPS.
Sous l'onglet Sécurité, procédez comme suit :
Sélectionnez Ajouter.
Dans la boîte de dialogue Sélectionner des utilisateurs, des ordinateurs, des comptes de service ou des groupes, entrez Serveurs NPS, puis sélectionnez OK.
Dans Noms de groupes ou d’utilisateurs, sélectionnez Serveurs NPS.
Dans Autorisations pour les serveurs NPS, sélectionnez Inscrire dans la colonne Autoriser.
Dans Noms de groupe ou d’utilisateur, sélectionnez Serveurs RAS et IAS, puis Supprimer.
Sélectionnez OK pour enregistrer le modèle de certificat de serveur NPS.
Fermez la console Modèles de certificat.
Dans le volet gauche du composant logiciel enfichable Autorité de certification, cliquez avec le bouton droit sur Modèles de certificat. Sélectionnez Nouveau, puis Modèle de certificat à émettre.
Sélectionnez Authentification serveur NPS, puis OK.
Inscrire et valider le certificat utilisateur
Étant donné que vous utilisez la stratégie de groupe pour inscrire automatiquement des certificats utilisateur, il vous suffit de mettre à jour la stratégie et Windows 10 inscrira automatiquement le compte d’utilisateur pour le certificat approprié. Vous pouvez ensuite valider le certificat dans la console Certificats.
Pour valider le certificat utilisateur :
Connectez-vous au client VPN Windows en tant qu’utilisateur que vous avez créé pour le groupe Utilisateurs VPN.
Appuyez sur la touche Windows + R, tapez gpupdate /force, puis appuyez sur ENTRÉE.
Dans le menu Démarrer, tapez certmgr.msc, puis appuyez sur ENTRÉE.
Dans le composant logiciel enfichable Certificats, sous Personnel, sélectionnez Certificats. Vos certificats s’affichent dans le volet d’informations.
Cliquez avec le bouton droit sur le certificat contenant votre nom d’utilisateur de domaine actuel, puis sélectionnez Ouvrir.
Sous l’onglet Général, vérifiez que la date répertoriée sous Valide à est la date du jour. Si ce n’est pas le cas, vous avez peut-être sélectionné le mauvais certificat.
Sélectionnez OK, puis fermez le composant logiciel enfichable Certificats.
Inscrire et valider le certificat de serveur VPN
Contrairement au certificat utilisateur, vous devez inscrire manuellement le certificat du serveur VPN.
Pour inscrire le certificat du serveur VPN :
Dans le menu Démarrer du serveur VPN, tapez certlm.msc pour ouvrir le composant logiciel enfichable Certificats, puis appuyez sur ENTRÉE.
Cliquez avec le bouton droit sur Personnel, sélectionnez Toutes les tâches, puis sélectionnez Demander un nouveau certificat pour démarrer l’Assistant Inscription de certificat.
Dans la page Avant de commencer, sélectionnez Suivant.
Dans la page Sélectionner la stratégie d'inscription de certificats, cliquez sur Suivant.
Dans la page Demander des certificats, sélectionnez Authentification du serveur VPN.
Sous la case Serveur VPN, sélectionnez Plus d’informations sont nécessaires pour ouvrir la boîte de dialogue Propriétés du certificat.
Sélectionnez l’onglet Objet et entrez les informations suivantes :
Dans la section Nom de l’objet :
- Pour Type, sélectionnez Nom commun.
- Pour Valeur, entrez le nom du domaine externe que les clients utilisent pour se connecter au VPN (par exemple, vpn.contoso.com).
- Sélectionnez Ajouter.
Sélectionnez OK pour fermer les Propriétés du certificat.
Sélectionnez Inscrire.
Sélectionnez Terminer.
Pour valider le certificat de serveur VPN :
Dans le composant logiciel enfichable Certificats, sous Personnel, sélectionnez Certificats.
Vos certificats répertoriés doivent apparaître dans le volet d’informations.
Cliquez avec le bouton droit sur le certificat qui porte le nom de votre serveur VPN, puis sélectionnez Ouvrir.
Sous l’onglet Général, vérifiez que la date répertoriée sous Valide à est la date du jour. Si ce n’est pas le cas, vous avez peut-être sélectionné le mauvais certificat.
Sous l’onglet Détails, sélectionnez Utilisation améliorée de la clé, puis vérifiez que la sécurité IP IKE intermédiaire et l’Authentification du serveur s’affichent dans la liste.
Cliquez sur OK pour fermer la page.
Inscrire et valider le certificat NPS
Étant donné que vous utilisez la Stratégie de groupe pour inscrire automatiquement des certificats NPS, il vous suffit de mettre à jour la stratégie et le serveur Windows inscrira automatiquement le serveur NPS pour obtenir le certificat approprié. Vous pouvez ensuite valider le certificat dans la console Certificats.
Pour inscrire le certificat NPS :
Dans le menu Démarrer du serveur NPS, tapez certlm.msc pour ouvrir le composant logiciel enfichable Certificats, puis appuyez sur ENTRÉE.
Cliquez avec le bouton droit sur Personnel, sélectionnez Toutes les tâches, puis sélectionnez Demander un nouveau certificat pour démarrer l’Assistant Inscription de certificat.
Dans la page Avant de commencer, sélectionnez Suivant.
Dans la page Sélectionner la stratégie d'inscription de certificats, cliquez sur Suivant.
Dans la page Demander des certificats, sélectionnez Authentification du serveur NPS.
Sélectionnez Inscrire.
Sélectionnez Terminer.
Pour valider le certificat NPS :
Dans le composant logiciel enfichable Certificats, sous Personnel, sélectionnez Certificats.
Vos certificats répertoriés doivent apparaître dans le volet d’informations.
Cliquez avec le bouton droit sur le certificat qui porte le nom de votre serveur NPS, puis sélectionnez Ouvrir.
Sous l’onglet Général, vérifiez que la date répertoriée sous Valide à est la date du jour. Si ce n’est pas le cas, vous avez peut-être sélectionné le mauvais certificat.
Sélectionnez OK, puis fermez le composant logiciel enfichable Certificats.