Bagikan melalui

Tutorial: Mengonfigurasi templat Otoritas Sertifikat untuk VPN AlwaysOn

Tutorial ini menunjukkan kepada Anda cara mengonfigurasi templat Otoritas Sertifikat (CA) untuk penyebaran VPN AlwaysOn. Ini melanjutkan seri untuk menyebarkan Always On VPN di lingkungan sampel. Sebelumnya dalam seri ini, Anda menyebarkan infrastruktur sampel.

Templat CA digunakan untuk menerbitkan sertifikat ke server VPN, server NPS, dan pengguna. Sertifikat digunakan untuk mengautentikasi server VPN dan server NPS ke klien, dan untuk mengautentikasi pengguna ke server VPN.

Di tutorial ini, Anda akan:

  • Membuat templat autentikasi pengguna.
  • Buat templat autentikasi server VPN.
  • Buat templat autentikasi server NPS.
  • Mendaftar dan memvalidasi sertifikat pengguna.
  • Daftarkan dan validasi sertifikat server VPN.
  • Mendaftarkan dan memvalidasi sertifikat server NPS.

Berikut adalah deskripsi templat yang berbeda:

Templat Deskripsi
Templat autentikasi pengguna Templat ini digunakan untuk mengeluarkan sertifikat pengguna untuk klien VPN. Sertifikat pengguna digunakan untuk mengautentikasi pengguna ke server VPN.

Dengan templat autentikasi pengguna, Anda dapat meningkatkan keamanan sertifikat dengan memilih tingkat kompatibilitas yang ditingkatkan dan memilih Penyedia Kripto Platform Microsoft. Dengan Penyedia Kripto Platform Microsoft, Anda dapat menggunakan Modul Platform Tepercaya (TPM) di komputer klien untuk mengamankan sertifikat. Templat pengguna dikonfigurasi untuk pendaftaran otomatis.
Templat autentikasi server VPN Templat ini digunakan untuk mengeluarkan sertifikat server untuk server VPN. Sertifikat server digunakan untuk mengautentikasi server VPN ke klien.

Dengan templat autentikasi server VPN, Anda menambahkan kebijakan aplikasi IP Security (IPsec) IKE Menengah. Kebijakan aplikasi Menengah IKE Ip Security (IPsec) menentukan bagaimana sertifikat dapat digunakan, dapat memungkinkan server untuk memfilter sertifikat jika lebih dari satu sertifikat tersedia. Karena klien VPN mengakses server ini dari internet publik, subjek dan nama alternatif berbeda dari nama server internal. Akibatnya, Anda tidak mengonfigurasi sertifikat server VPN untuk pendaftaran otomatis.
Templat autentikasi server NPS Templat ini digunakan untuk mengeluarkan sertifikat server untuk server NPS. Sertifikat server NPS digunakan untuk mengautentikasi server NPS ke server VPN.

Dengan templat autentikasi server NPS, Anda menyalin templat server RAS dan IAS standar, kemudian menetapkannya sebagai ruang lingkup untuk server NPS Anda. Templat server NPS baru menyertakan kebijakan aplikasi autentikasi server.

Untuk mempelajari selengkapnya tentang AlwaysOn VPN, termasuk integrasi, fitur keamanan, dan konektivitas yang didukung, lihat Gambaran Umum VPN AlwaysOn.

Prasyarat

Untuk menyelesaikan langkah-langkah dalam tutorial ini, Anda perlu:

  • Untuk menyelesaikan semua langkah dalam tutorial sebelumnya: Sebarkan Infrastruktur VPN AlwaysOn.

  • Perangkat klien Windows yang menjalankan versi Windows yang didukung untuk terhubung ke Always On VPN dan tergabung dalam domain Active Directory.

Membuat templat autentikasi pengguna

  1. Di server dengan Layanan Sertifikat Direktori Aktif terinstal, yang dalam tutorial ini adalah pengendali domain, buka snap-in Otoritas Sertifikasi.

  2. Di panel kiri, klik kanan Templat Sertifikat dan pilih Kelola.

  3. Di konsol Templat Sertifikat, klik kanan Pengguna dan pilih Templat Duplikat. Jangan pilih Terapkan atau OK hingga Anda selesai memasukkan informasi untuk semua tab. Beberapa pilihan hanya dapat dikonfigurasi pada pembuatan templat; jika Anda memilih tombol ini sebelum memasukkan semua parameter, Anda tidak dapat mengubahnya, jika tidak, Anda perlu menghapus templat dan membuatnya kembali.

  4. Dalam kotak dialog Properti Templat Baru , pada tab Umum , selesaikan langkah-langkah berikut ini:

    1. Di Nama tampilan templat, masukkan Autentikasi Pengguna VPN.

    2. Kosongkan kotak centang Terbitkan sertifikat di Direktori Aktif .

  5. Pada tab Keamanan , selesaikan langkah-langkah berikut ini:

    1. Pilih Tambahkan.

    2. Pada dialog Pilih Pengguna, Komputer, Akun Layanan, atau Grup, masukkan Pengguna VPN, lalu pilih OK.

    3. Di Grup atau nama pengguna, pilih Pengguna VPN.

    4. Di Izin untuk Pengguna VPN, pilih kotak centang Daftar danDaftar Otomatis di kolom Izinkan .

      Penting

      Pastikan untuk tetap memilih kotak centang Izin baca . Anda memerlukan izin Baca untuk pendaftaran.

    5. Di Grup atau nama pengguna, pilih Pengguna Domain, lalu pilih Hapus.

  6. Pada tab Kompatibilitas , selesaikan langkah-langkah berikut ini:

    1. Di Otoritas Sertifikasi, pilih Windows Server 2016.

    2. Pada dialog Perubahan yang dihasilkan , pilih OK.

    3. Di Penerima sertifikat, pilih Windows 10/Windows Server 2016.

    4. Pada dialog Perubahan yang dihasilkan , pilih OK.

  7. Pada tab Penanganan Permintaan , kosongkan Izinkan kunci privat untuk diekspor.

  8. Pada tab Kriptografi , selesaikan langkah-langkah berikut:

    1. Di Kategori Penyedia, pilih Penyedia Penyimpanan Kunci.

    2. Pilih Permintaan harus menggunakan salah satu penyedia berikut.

    3. Pilih Penyedia Kripto Platform Microsoft dan Penyedia Penyimpanan Kunci Perangkat Lunak Microsoft.

  9. Pada tab Nama Subjek, hapus centang pada sertakan nama email dalam nama subjek dan Nama Email.

  10. Pilih OK untuk menyimpan templat sertifikat Autentikasi Pengguna VPN.

  11. Tutup konsol Templat Sertifikat.

  12. Di panel kiri snap-in Otoritas Sertifikat, klik kanan Templat Sertifikat, pilih Baru lalu pilih Templat Sertifikat untuk Diterbitkan.

  13. Pilih Autentikasi Pengguna VPN, lalu pilih OK.

Membuat templat autentikasi VPN Server

  1. Di panel kiri snap-in Otoritas Sertifikasi, klik kanan Templat Sertifikat dan pilih Kelola untuk membuka konsol Templat Sertifikat.

  2. Di konsol Templat Sertifikat, klik kanan RAS dan Server IAS dan pilih Templat Duplikat. Jangan pilih Terapkan atau OK hingga Anda selesai memasukkan informasi untuk semua tab. Beberapa pilihan hanya dapat dikonfigurasi pada pembuatan templat; jika Anda memilih tombol ini sebelum memasukkan semua parameter, Anda tidak dapat mengubahnya, jika tidak, Anda perlu menghapus templat dan membuatnya kembali.

  3. Pada kotak dialog Properti Templat Baru , pada tab Umum , di Nama tampilan templat, masukkan Autentikasi Server VPN.

  4. Pada tab Ekstensi , selesaikan langkah-langkah berikut ini:

    1. Pilih Kebijakan Aplikasi, lalu pilih Edit.

    2. Dalam dialog Edit Ekstensi Kebijakan Aplikasi , pilih Tambahkan.

    3. Pada dialog Tambahkan Kebijakan Aplikasi , pilih Perantara IKE keamanan IP, lalu pilih OK.

    4. Pilih OK untuk kembali ke dialog Properti Templat Baru .

  5. Pada tab Keamanan , selesaikan langkah-langkah berikut ini:

    1. Pilih Tambahkan.

    2. Pada dialog Pilih Pengguna, Komputer, Akun Layanan, atau Grup , masukkan Server VPN, lalu pilih OK.

    3. Di Grup atau nama pengguna, pilih Server VPN.

    4. Di Izin untuk Server VPN, pilih Daftar di kolom Izinkan .

    5. Di Grup atau nama pengguna, pilih RAS dan Server IAS, lalu pilih Hapus.

  6. Pada tab Nama Subjek , selesaikan langkah-langkah berikut ini:

    1. Pilih Pasokan di Permintaan.

    2. Pada kotak dialog peringatan Templat Sertifikat , pilih OK.

  7. Pilih OK untuk menyimpan templat sertifikat VPN Server.

  8. Tutup konsol Templat Sertifikat.

  9. Di panel kiri dari snap-in Otoritas Sertifikat, klik kanan Templat Sertifikat. Pilih Baru lalu pilih Templat Sertifikat untuk Diterbitkan.

  10. Pilih Autentikasi Server VPN, lalu pilih OK.

  11. Mulai ulang server VPN.

Membuat templat autentikasi NPS Server

  1. Di panel kiri snap-in Otoritas Sertifikasi, klik kanan Templat Sertifikat dan pilih Kelola untuk membuka konsol Templat Sertifikat.

  2. Di konsol Templat Sertifikat, klik kanan RAS dan Server IAS dan pilih Templat Duplikat. Jangan pilih Terapkan atau OK hingga Anda selesai memasukkan informasi untuk semua tab. Beberapa pilihan hanya dapat dikonfigurasi pada pembuatan templat; jika Anda memilih tombol ini sebelum memasukkan semua parameter, Anda tidak dapat mengubahnya, jika tidak, Anda perlu menghapus templat dan membuatnya kembali.

  3. Pada kotak dialog Properti Templat Baru, pada tab Umum , di Nama tampilan templat, masukkan Autentikasi Server NPS.

  4. Pada tab Keamanan , selesaikan langkah-langkah berikut ini:

    1. Pilih Tambahkan.

    2. Pada dialog Pilih Pengguna, Komputer, Akun Layanan, atau Grup , masukkan Server NPS, lalu pilih OK.

    3. Di Grup atau nama pengguna, pilih Server NPS.

    4. Di Izin untuk Server NPS, pilih Daftar di kolom Izinkan .

    5. Di Grup atau nama pengguna, pilih RAS dan Server IAS, lalu pilih Hapus.

  5. Pilih OK untuk menyimpan templat sertifikat Server NPS.

  6. Tutup konsol Templat Sertifikat.

  7. Di panel kiri dari snap-in Otoritas Sertifikat, klik kanan Templat Sertifikat. Pilih Baru lalu pilih Templat Sertifikat untuk Diterbitkan.

  8. Pilih Autentikasi Server NPS, lalu pilih OK.

Sekarang Anda membuat templat sertifikat yang Anda butuhkan untuk mendaftar dan memvalidasi sertifikat.

Mendaftarkan dan memvalidasi sertifikat pengguna

Kebijakan Grup dikonfigurasi untuk mengotomatiskan sertifikat pengguna, jadi setelah kebijakan diterapkan ke perangkat klien Windows, mereka secara otomatis mendaftarkan akun pengguna untuk sertifikat yang benar. Anda kemudian dapat memvalidasi sertifikat di konsol Sertifikat di perangkat lokal.

Untuk memeriksa apakah kebijakan diterapkan dan sertifikat didaftarkan:

  1. Masuk ke perangkat klien Windows sebagai pengguna yang Anda buat untuk grup Pengguna VPN .

  2. Buka Prompt Perintah dan jalankan perintah berikut. Atau, mulai ulang perangkat klien Windows.

    gpupdate /force

  3. Pada menu Mulai, ketik certmgr.msc, dan tekan ENTER.

  4. Pada snap-in Sertifikat, di bawah Pribadi, pilih Sertifikat. Sertifikat Anda muncul di panel detail.

  5. Klik kanan sertifikat yang memiliki nama pengguna domain Anda saat ini, lalu pilih Buka.

  6. Pada tab Umum , konfirmasikan bahwa tanggal yang tercantum di bawah Valid dari adalah tanggal hari ini. Jika tidak, Anda mungkin telah memilih sertifikat yang salah.

  7. Pilih OK, dan tutup Sertifikat snap-in.

Mendaftarkan dan memvalidasi sertifikat server VPN

Untuk mendaftarkan sertifikat server VPN:

  1. Pada menu Mulai server VPN, ketik certlm.msc untuk membuka snap-in Sertifikat, dan tekan ENTER.

  2. Klik kanan Pribadi, pilih Semua Tugas lalu pilih Minta Sertifikat Baru untuk memulai Wizard Pendaftaran Sertifikat.

  3. Pada halaman Sebelum Anda Mulai, pilih Berikutnya.

  4. Pada halaman Pilih Kebijakan Pendaftaran Sertifikat, pilih Berikutnya.

  5. Pada halaman Minta Sertifikat, pilih Autentikasi Server VPN.

  6. Di bawah kotak centang Server VPN, pilih Informasi selengkapnya diperlukan untuk membuka kotak dialog Properti Sertifikat.

  7. Pilih tab Subjek dan masukkan informasi berikut ini di bagian Nama subjek :

    1. Untuk Jenis pilih Nama Umum.
    2. Untuk Nilai, masukkan nama domain eksternal yang digunakan klien untuk menyambungkan ke VPN (misalnya, vpn.contoso.com).
    3. Pilih Tambahkan.

  8. Pilih OK untuk menutup Properti Sertifikat.

  9. Pilih Daftarkan.

  10. Pilih Selesai.

Untuk memvalidasi sertifikat server VPN:

  1. Pada snap-in Sertifikat, di bawah Pribadi, pilih Sertifikat. Sertifikat terdaftar Anda akan muncul di panel detail.

  2. Klik kanan sertifikat yang memiliki nama server VPN Anda, lalu pilih Buka.

  3. Pada tab Umum , konfirmasikan bahwa tanggal yang tercantum di bawah Valid dari adalah tanggal hari ini. Jika tidak, Anda mungkin telah memilih sertifikat yang salah.

  4. Pada tab Detail , pilih Penggunaan Kunci yang Ditingkatkan, dan verifikasi bahwa keamanan IP IKE menengah dan Autentikasi Server ditampilkan dalam daftar.

  5. Pilih OK untuk menutup sertifikat.

Mendaftarkan dan memvalidasi sertifikat NPS

Untuk mendaftarkan sertifikat NPS:

  1. Pada menu Mulai server NPS, ketik certlm.msc untuk membuka snap-in Sertifikat, dan tekan ENTER.

  2. Klik kanan Pribadi, pilih Semua Tugas lalu pilih Minta Sertifikat Baru untuk memulai Wizard Pendaftaran Sertifikat.

  3. Pada halaman Sebelum Anda Mulai, pilih Berikutnya.

  4. Pada halaman Pilih Kebijakan Pendaftaran Sertifikat, pilih Berikutnya.

  5. Pada halaman Minta Sertifikat, pilih Autentikasi Server NPS.

  6. Pilih Daftarkan.

  7. Pilih Selesai.

Untuk memvalidasi sertifikat NPS:

  1. Pada snap-in Sertifikat, di bawah Pribadi, pilih Sertifikat. Sertifikat terdaftar Anda akan muncul di panel detail.

  2. Klik kanan sertifikat yang memiliki nama server NPS Anda, lalu pilih Buka.

  3. Pada tab Umum , konfirmasikan bahwa tanggal yang tercantum di bawah Valid dari adalah tanggal hari ini. Jika tidak, Anda mungkin telah memilih sertifikat yang salah.

  4. Pilih OK, dan tutup Sertifikat snap-in.

Langkah selanjutnya

Sekarang Anda membuat templat sertifikat dan mendaftarkan sertifikat, Anda dapat mengonfigurasi perangkat klien Windows untuk menggunakan koneksi VPN AlwaysOn.

Tutorial: Membuat koneksi VPN AlwaysOn untuk perangkat klien Windows