Tutorial: Menyebarkan VPN AlwaysOn - Mengonfigurasi templat Otoritas Sertifikat

• Sebelumnya: 1 - Menyiapkan infrastruktur untuk Always On VPN
• Berikutnya: 3 - Mengonfigurasi profil VPN AlwaysOn untuk klien Windows 10+

Di bagian tutorial Sebarkan AlwaysOn VPN ini, Anda akan membuat templat sertifikat dan mendaftarkan atau memvalidasi sertifikat untuk grup Direktori Aktif (AD) yang Anda buat di Sebarkan Always On VPN - Siapkan lingkungan:

Anda akan membuat templat berikut:

• Templat autentikasi pengguna. Dengan templat autentikasi pengguna, Anda dapat meningkatkan keamanan sertifikat dengan memilih tingkat kompatibilitas yang ditingkatkan dan memilih Penyedia Kripto Platform Microsoft. Dengan Penyedia Kripto Platform Microsoft, Anda dapat menggunakan Modul Platform Tepercaya (TPM) di komputer klien untuk mengamankan sertifikat. Untuk gambaran umum TPM, lihat Gambaran Umum Teknologi Modul Platform Tepercaya. Templat pengguna akan dikonfigurasi untuk pendaftaran otomatis.

• Templat autentikasi server VPN. Dengan templat autentikasi server VPN, Anda akan menambahkan kebijakan aplikasi Menengah IKE Keamanan IP (IPsec). Kebijakan aplikasi Menengah IKE Ip Security (IPsec) menentukan bagaimana sertifikat dapat digunakan, dapat memungkinkan server untuk memfilter sertifikat jika lebih dari satu sertifikat tersedia. Karena klien VPN mengakses server ini dari internet publik, subjek dan nama alternatif berbeda dari nama server internal. Akibatnya, Anda tidak akan mengonfigurasi sertifikat server VPN untuk pendaftaran otomatis.

• Templat autentikasi server NPS. Dengan templat autentikasi server NPS, Anda akan menyalin templat SERVER RAS dan IAS standar, dan mencakupnya untuk server NPS Anda. Templat server NPS baru menyertakan kebijakan aplikasi autentikasi server.

Prasyarat

1. Selesaikan Sebarkan Always On VPN - Siapkan lingkungan.

Membuat templat autentikasi pengguna

1. Di server CA, yang dalam tutorial ini adalah pengendali domain, buka snap-in Otoritas Sertifikasi.

2. Di panel kiri, klik kanan Templat Sertifikat dan pilih Kelola.

3. Di konsol Templat Sertifikat, klik kanan Pengguna dan pilih Templat Duplikat.

   Peringatan

   Jangan pilih Terapkan atau OK hingga Anda selesai memasukkan informasi untuk semua tab. Beberapa pilihan hanya dapat dikonfigurasi pada pembuatan templat, jika Anda memilih tombol ini sebelum memasukkan SEMUA parameter, Anda tidak dapat mengubahnya. Misalnya, pada tab Kriptografi , jika Penyedia Penyimpanan Kriptografi Warisan ditampilkan di bidang Kategori Penyedia, itu menjadi dinonaktifkan, mencegah perubahan lebih lanjut. Satu-satunya alternatif adalah menghapus templat dan membuatnya kembali.

4. Dalam kotak dialog Properti Templat Baru, pada tab Umum , selesaikan langkah-langkah berikut ini:

   1. Di Nama tampilan templat, masukkan Autentikasi Pengguna VPN.

   2. Kosongkan kotak centang Terbitkan sertifikat di Direktori Aktif.

5. Pada tab Keamanan , selesaikan langkah-langkah berikut ini:

   1. Pilih Tambahkan.

   2. Pada dialog Pilih Pengguna, Komputer, Akun Layanan, atau Grup, masukkan Pengguna VPN, lalu pilih OK.

   3. Di Grup atau nama pengguna, pilih Pengguna VPN.

   4. Di Izin untuk Pengguna VPN, pilih kotak centang Daftar dan Daftar Otomatis di kolom Izinkan .

      Penting

      Pastikan untuk tetap memilih kotak centang Izin baca. Anda akan memerlukan izin Baca untuk pendaftaran.

   5. Di Grup atau nama pengguna, pilih Pengguna Domain, lalu pilih Hapus.

6. Pada tab Kompatibilitas , selesaikan langkah-langkah berikut ini:

   1. Di Otoritas Sertifikasi, pilih Windows Server 2016.

   2. Pada dialog Perubahan yang dihasilkan, pilih OK.

   3. Di Penerima sertifikat, pilih Windows 10/Windows Server 2016.

   4. Pada dialog Perubahan yang dihasilkan, pilih OK.

7. Pada tab Penanganan Permintaan, kosongkan Izinkan kunci privat untuk diekspor .

8. Pada tab Kriptografi , selesaikan langkah-langkah berikut:

   1. Di Kategori Penyedia, pilih Penyedia Penyimpanan Kunci.

   2. Pilih Permintaan harus menggunakan salah satu penyedia berikut.

   3. Pilih Penyedia Kripto Platform Microsoft dan Penyedia Penyimpanan Kunci Perangkat Lunak Microsoft.

9. Pada tab Nama Subjek, kosongkan sertakan nama email dalam nama subjek dan Nama email .

10. Pilih OK untuk menyimpan templat sertifikat Autentikasi Pengguna VPN.

11. Tutup konsol Templat Sertifikat.

12. Di panel kiri snap-in Otoritas Sertifikasi, klik kanan Templat Sertifikat, pilih Baru lalu pilih Templat Sertifikat untuk Masalah.

13. Pilih Autentikasi Pengguna VPN, lalu pilih OK.

Membuat templat autentikasi VPN Server

1. Di panel kiri snap-in Otoritas Sertifikasi, klik kanan Templat Sertifikat dan pilih Kelola untuk membuka konsol Templat Sertifikat.

2. Di konsol Templat Sertifikat, klik kanan RAS dan Server IAS dan pilih Templat Duplikat.

   Peringatan

   Jangan pilih Terapkan atau OK hingga Anda selesai memasukkan informasi untuk semua tab. Beberapa pilihan hanya dapat dikonfigurasi pada pembuatan templat, jika Anda memilih tombol ini sebelum memasukkan SEMUA parameter, Anda tidak dapat mengubahnya. Misalnya, pada tab Kriptografi , jika Penyedia Penyimpanan Kriptografi Warisan ditampilkan di bidang Kategori Penyedia, itu menjadi dinonaktifkan, mencegah perubahan lebih lanjut. Satu-satunya alternatif adalah menghapus templat dan membuatnya kembali.

3. Pada kotak dialog Properti Templat Baru, pada tab Umum , di Nama tampilan templat, masukkan Autentikasi Server VPN.

4. Pada tab Ekstensi , selesaikan langkah-langkah berikut ini:

   1. Pilih Kebijakan Aplikasi, lalu pilih Edit.

   2. Dalam dialog Edit Ekstensi Kebijakan Aplikasi, pilih Tambahkan.

   3. Pada dialog Tambahkan Kebijakan Aplikasi, pilih Perantara IKE keamanan IP, lalu pilih OK.

   4. Pilih OK untuk kembali ke dialog Properti Templat Baru.

5. Pada tab Keamanan , selesaikan langkah-langkah berikut ini:

   1. Pilih Tambahkan.

   2. Pada dialog Pilih Pengguna, Komputer, Akun Layanan, atau Grup, masukkan Server VPN, lalu pilih OK.

   3. Di Grup atau nama pengguna, pilih Server VPN.

   4. Di Izin untuk Server VPN, pilih Daftar di kolom Izinkan .

   5. Di Grup atau nama pengguna, pilih RAS dan Server IAS, lalu pilih Hapus.

6. Pada tab Nama Subjek, selesaikan langkah-langkah berikut ini:

   1. Pilih Pasokan di Permintaan.

   2. Pada kotak dialog peringatan Templat Sertifikat, pilih OK.

7. Pilih OK untuk menyimpan templat sertifikat VPN Server.

8. Tutup konsol Templat Sertifikat.

9. Di panel kiri snap-in Otoritas Sertifikat, klik kanan Templat Sertifikat. Pilih Baru lalu pilih Templat Sertifikat untuk Masalah.

10. Pilih Autentikasi Server VPN, lalu pilih OK.

11. Reboot server VPN.

Membuat templat autentikasi NPS Server

1. Di panel kiri snap-in Otoritas Sertifikasi, klik kanan Templat Sertifikat dan pilih Kelola untuk membuka konsol Templat Sertifikat.

2. Di konsol Templat Sertifikat, klik kanan RAS dan Server IAS dan pilih Templat Duplikat.

   Peringatan

   Jangan pilih Terapkan atau OK hingga Anda selesai memasukkan informasi untuk semua tab. Beberapa pilihan hanya dapat dikonfigurasi pada pembuatan templat, jika Anda memilih tombol ini sebelum memasukkan SEMUA parameter, Anda tidak dapat mengubahnya. Misalnya, pada tab Kriptografi , jika Penyedia Penyimpanan Kriptografi Warisan ditampilkan di bidang Kategori Penyedia, itu menjadi dinonaktifkan, mencegah perubahan lebih lanjut. Satu-satunya alternatif adalah menghapus templat dan membuatnya kembali.

3. Pada kotak dialog Properti Templat Baru, pada tab Umum , di Nama tampilan templat, masukkan Autentikasi Server NPS.

4. Pada tab Keamanan , selesaikan langkah-langkah berikut ini:

   1. Pilih Tambahkan.

   2. Pada dialog Pilih Pengguna, Komputer, Akun Layanan, atau Grup, masukkan Server NPS, lalu pilih OK.

   3. Di Grup atau nama pengguna, pilih Server NPS.

   4. Di Izin untuk Server NPS, pilih Daftar di kolom Izinkan .

   5. Di Grup atau nama pengguna, pilih RAS dan Server IAS, lalu pilih Hapus.

5. Pilih OK untuk menyimpan templat sertifikat Server NPS.

6. Tutup konsol Templat Sertifikat.

7. Di panel kiri snap-in Otoritas Sertifikat, klik kanan Templat Sertifikat. Pilih Baru lalu pilih Templat Sertifikat untuk Masalah.

8. Pilih Autentikasi Server NPS, lalu pilih OK.

Mendaftarkan dan memvalidasi sertifikat pengguna

Karena Anda menggunakan Kebijakan Grup untuk mengotomatiskan sertifikat pengguna, Anda hanya perlu memperbarui kebijakan, dan Windows 10 akan secara otomatis mendaftarkan akun pengguna untuk sertifikat yang benar. Anda kemudian dapat memvalidasi sertifikat di konsol Sertifikat.

Untuk memvalidasi sertifikat pengguna:

1. Masuk ke klien VPN Windows sebagai pengguna yang Anda buat untuk grup Pengguna VPN.

2. Tekan tombol Windows + R, ketik gpupdate /force, dan tekan ENTER.

3. Pada menu Mulai, ketik certmgr.msc, dan tekan ENTER.

4. Di snap-in Sertifikat, di bawah Pribadi, pilih Sertifikat. Sertifikat Anda muncul di panel detail.

5. Klik kanan sertifikat yang memiliki nama pengguna domain Anda saat ini, lalu pilih Buka.

6. Pada tab Umum , konfirmasikan bahwa tanggal yang tercantum di bawah Valid dari adalah tanggal hari ini. Jika tidak, Anda mungkin telah memilih sertifikat yang salah.

7. Pilih OK, dan tutup snap-in Sertifikat.

Mendaftarkan dan memvalidasi sertifikat server VPN

Tidak seperti sertifikat pengguna, Anda harus mendaftarkan sertifikat server VPN secara manual.

Untuk mendaftarkan sertifikat server VPN:

1. Pada menu Mulai server VPN, ketik certlm.msc untuk membuka snap-in Sertifikat, dan tekan ENTER.

2. Klik kanan Pribadi, pilih Semua Tugas lalu pilih Minta Sertifikat Baru untuk memulai Wizard Pendaftaran Sertifikat.

3. Pada halaman Sebelum Anda Mulai, pilih Berikutnya.

4. Pada halaman Pilih Kebijakan Pendaftaran Sertifikat, pilih Berikutnya.

5. Pada halaman Minta Sertifikat, pilih Autentikasi Server VPN.

6. Di bawah kotak centang Server VPN, pilih Informasi selengkapnya diperlukan untuk membuka kotak dialog Properti Sertifikat.

7. Pilih tab Subjek dan masukkan informasi berikut ini:

   Di bagian Nama subjek:

   1. Untuk Jenis pilih Nama Umum.
   2. Untuk Nilai, masukkan nama domain eksternal yang digunakan klien untuk menyambungkan ke VPN (misalnya, vpn.contoso.com).
   3. Pilih Tambahkan.

8. Pilih OK untuk menutup Properti Sertifikat.

9. Pilih Daftarkan.

10. Pilih Selesai.

Untuk memvalidasi sertifikat server VPN:

1. Di snap-in Sertifikat, di bawah Pribadi, pilih Sertifikat.

   Sertifikat terdaftar Anda akan muncul di panel detail.

2. Klik kanan sertifikat yang memiliki nama server VPN Anda, lalu pilih Buka.

3. Pada tab Umum , konfirmasikan bahwa tanggal yang tercantum di bawah Valid dari adalah tanggal hari ini. Jika tidak, Anda mungkin telah memilih sertifikat yang salah.

4. Pada tab Detail , pilih Penggunaan Kunci yang Ditingkatkan, dan verifikasi bahwa keamanan IP IKE menengah dan Autentikasi Server ditampilkan dalam daftar.

5. Pilih OK untuk menutup sertifikat.

Mendaftarkan dan memvalidasi sertifikat NPS

Karena Anda menggunakan Kebijakan Grup untuk mengotomatiskan sertifikat NPS, Anda hanya perlu memperbarui kebijakan, dan server Windows akan secara otomatis mendaftarkan server NPS untuk sertifikat yang benar. Anda kemudian dapat memvalidasi sertifikat di konsol Sertifikat.

Untuk mendaftarkan sertifikat NPS:

1. Pada menu Mulai server NPS, ketik certlm.msc untuk membuka snap-in Sertifikat, dan tekan ENTER.

2. Klik kanan Pribadi, pilih Semua Tugas lalu pilih Minta Sertifikat Baru untuk memulai Wizard Pendaftaran Sertifikat.

3. Pada halaman Sebelum Anda Mulai, pilih Berikutnya.

4. Pada halaman Pilih Kebijakan Pendaftaran Sertifikat, pilih Berikutnya.

5. Pada halaman Minta Sertifikat, pilih Autentikasi Server NPS.

6. Pilih Daftarkan.

7. Pilih Selesai.

Untuk memvalidasi sertifikat NPS:

1. Di snap-in Sertifikat, di bawah Pribadi, pilih Sertifikat.

   Sertifikat terdaftar Anda akan muncul di panel detail.

2. Klik kanan sertifikat yang memiliki nama server NPS Anda, lalu pilih Buka.

3. Pada tab Umum , konfirmasikan bahwa tanggal yang tercantum di bawah Valid dari adalah tanggal hari ini. Jika tidak, Anda mungkin telah memilih sertifikat yang salah.

4. Pilih OK, dan tutup snap-in Sertifikat.

Langkah berikutnya

• Menyebarkan Tutorial VPN AlwaysOn: Mengonfigurasi koneksi VPN AlwaysOn klien Windows

• Memecahkan Masalah VPN AlwaysOn