次の方法で共有

チュートリアル: Always On VPN 用に証明機関テンプレートを構成する

このチュートリアルでは、Always On VPN 展開用に証明機関 (CA) テンプレートを構成する方法について説明します。 このシリーズは、サンプル環境で Always On VPN をデプロイし続けます。 以前のシリーズでは、 サンプル インフラストラクチャをデプロイしました

CA テンプレートは、VPN サーバー、NPS サーバー、およびユーザーに証明書を発行するために使用されます。 証明書は、クライアントに対して VPN サーバーと NPS サーバーを認証し、VPN サーバーに対してユーザーを認証するために使用されます。

このチュートリアルでは、次の操作を行います。

  • ユーザー認証テンプレートを作成します。
  • VPN サーバー認証テンプレートを作成します。
  • NPS サーバー認証テンプレートを作成します。
  • ユーザー証明書を登録して検証します。
  • VPN サーバー証明書を登録して検証します。
  • NPS サーバー証明書を登録して検証します。

さまざまなテンプレートの説明を次に示します。

Template Description
ユーザー認証テンプレート このテンプレートは、VPN クライアントのユーザー証明書を発行するために使用されます。 ユーザー証明書は、VPN サーバーに対してユーザーを認証するために使用されます。

ユーザー認証テンプレートを使用すると、アップグレードされた互換性レベルを選択し、Microsoft Platform Crypto Provider を選択することで、証明書のセキュリティを向上させることができます。 Microsoft Platform Crypto Provider を使用すると、クライアント コンピューターで トラステッド プラットフォーム モジュール (TPM) を使用して証明書をセキュリティで保護できます。 ユーザー テンプレートは自動登録用に構成されます。
VPN サーバー認証テンプレート このテンプレートは、VPN サーバーのサーバー証明書を発行するために使用されます。 サーバー証明書は、クライアントに対して VPN サーバーを認証するために使用されます。

VPN サーバー認証テンプレートを使用して、IP セキュリティ (IPsec) IKE 中間アプリケーション ポリシーを追加します。 IP セキュリティ (IPsec) IKE 中間アプリケーション ポリシーは、証明書の使用方法を決定します。複数の証明書が使用可能な場合は、サーバーで証明書をフィルター処理できます。 VPN クライアントはパブリック インターネットからこのサーバーにアクセスするため、サブジェクト名と代替名は内部サーバー名とは異なります。 その結果、自動登録用に VPN サーバー証明書は構成されません。
NPS サーバー認証テンプレート このテンプレートは、NPS サーバーのサーバー証明書を発行するために使用されます。 NPS サーバー証明書は、NPS サーバーを VPN サーバーに対して認証するために使用されます。

NPS サーバー認証テンプレートでは、標準の RAS および IAS サーバー テンプレートをコピーし、NPS サーバーのスコープを設定します。 新しい NPS サーバー テンプレートには、サーバー認証アプリケーション ポリシーが含まれています。

サポートされている統合、セキュリティ、接続機能など、Always On VPN の詳細については、「 Always On VPN の概要」を参照してください。

Prerequisites

このチュートリアルを完了するには、以下が必要になります。

  • 前のチュートリアルのすべての手順を完了するには: Always On VPN インフラストラクチャをデプロイします。

  • サポートされているバージョンの Windows を実行して、Active Directory ドメインに参加している Always On VPN に接続する Windows クライアント デバイス。

ユーザー認証テンプレートを作成する

  1. Active Directory 証明書サービスがインストールされているサーバー (このチュートリアルではドメイン コントローラー) で、証明機関スナップインを開きます。

  2. In the left pane, right-click Certificate Templates and select Manage.

  3. In the Certificate Templates console, right-click User and select Duplicate Template. Don't select Apply or OK until you finish entering information for all tabs. 一部の選択肢は、テンプレートの作成時にのみ構成できます。すべてのパラメーターを入力する前にこれらのボタンを選択した場合は変更できません。それ以外の場合は、テンプレートを削除して再作成する必要があります。

  4. In the Properties of New Template dialog box, on the General tab, complete the following steps:

    1. テンプレートの表示名に、「VPN ユーザー認証」と入力します。

    2. [ Active Directory で証明書を発行 する] チェック ボックスをオフにします。

  5. On the Security tab, complete the following steps:

    1. Select Add.

    2. On the Select Users, Computers, Service Accounts, or Groups dialog, enter VPN Users, then select OK.

    3. [グループ名] または [ユーザー名] で、[VPN ユーザー] を選択します。

    4. [VPN ユーザーのアクセス許可] で、[許可] 列の [登録自動登録] チェック ボックスをオンにします。

      Important

      Make sure to keep the Read permission check box selected. 登録には読み取りアクセス許可が必要です。

    5. [グループ名またはユーザー名] で、[ドメイン ユーザー] を選択し、[削除] を選択します

  6. On the Compatibility tab, complete the following steps:

    1. In Certification Authority, select Windows Server 2016.

    2. On the Resulting changes dialog, select OK.

    3. In Certificate recipient, select Windows 10/Windows Server 2016.

    4. On the Resulting changes dialog, select OK.

  7. On the Request Handling tab, clear Allow private key to be exported.

  8. On the Cryptography tab, complete the following steps:

    1. In Provider Category, select Key Storage Provider.

    2. 次のいずれかのプロバイダーを使用する要求を選択してください。

    3. Microsoft Platform Crypto ProviderMicrosoft Software Key Storage Provider の両方を選択します。

  9. On the Subject Name tab, clear the Include e-mail name in subject name and E-mail name.

  10. Select OK to save the VPN User Authentication certificate template.

  11. [証明書テンプレート] コンソールを閉じます。

  12. In the left pane of the Certification Authority snap-in, right-click Certificate Templates, select New and then select Certificate Template to Issue.

  13. [ VPN ユーザー認証] を選択し、[ OK] を選択します

VPN Server 認証テンプレートを作成する

  1. In the left pane of the Certification Authority snap-in, right-click Certificate Templates and select Manage to open the Certificate Templates console.

  2. [証明書テンプレート] コンソールで、[ RAS] と [IAS サーバー ] を右クリックし、[ テンプレートの複製] を選択します。 Don't select Apply or OK until you finish entering information for all tabs. 一部の選択肢は、テンプレートの作成時にのみ構成できます。すべてのパラメーターを入力する前にこれらのボタンを選択した場合は変更できません。それ以外の場合は、テンプレートを削除して再作成する必要があります。

  3. On the Properties of New Template dialog box, on the General tab, in Template display name, enter VPN Server Authentication.

  4. On the Extensions tab, complete the following steps:

    1. Select Application Policies, then select Edit.

    2. [ アプリケーション ポリシー拡張機能の編集 ] ダイアログで、[ 追加] を選択します。

    3. [ アプリケーション ポリシーの追加 ] ダイアログで、[ IP セキュリティ IKE 中間] を選択し、[ OK] を選択します

    4. Select OK to return to the Properties of New Template dialog.

  5. On the Security tab, complete the following steps:

    1. Select Add.

    2. [ ユーザー、コンピューター、サービス アカウント、またはグループの選択 ] ダイアログで、「 VPN サーバー」と入力し、[ OK] を選択します

    3. [グループ名] または [ユーザー名] で、[VPN サーバー] を選択します。

    4. [VPN サーバーのアクセス許可] で、[許可] 列で [登録] を選択します。

    5. [グループ名またはユーザー名] で、[RAS および IAS サーバー] を選択し、[削除] を選択します

  6. On the Subject Name tab, complete the following steps:

    1. 要求で [供給] を選択します

    2. On the Certificate Templates warning dialog box, select OK.

  7. Select OK to save the VPN Server certificate template.

  8. [証明書テンプレート] コンソールを閉じます。

  9. In the left pane of the Certificate Authority snap-in, right-click Certificate Templates. Select New and then select Certificate Template to Issue.

  10. [ VPN サーバー認証] を選択し、[ OK] を選択します

  11. VPN サーバーを再起動します。

NPS サーバー認証テンプレートを作成する

  1. In the left pane of the Certification Authority snap-in, right-click Certificate Templates and select Manage to open the Certificate Templates console.

  2. [証明書テンプレート] コンソールで、[ RAS] と [IAS サーバー ] を右クリックし、[ テンプレートの複製] を選択します。 Don't select Apply or OK until you finish entering information for all tabs. 一部の選択肢は、テンプレートの作成時にのみ構成できます。すべてのパラメーターを入力する前にこれらのボタンを選択した場合は変更できません。それ以外の場合は、テンプレートを削除して再作成する必要があります。

  3. On the Properties of New Template dialog box, on the General tab, in Template display name, enter NPS Server Authentication.

  4. On the Security tab, complete the following steps:

    1. Select Add.

    2. [ ユーザー、コンピューター、サービス アカウント、またはグループの選択 ] ダイアログで、「 NPS サーバー」と入力し、[ OK] を選択します

    3. [グループ名] または [ユーザー名] で、[NPS サーバー] を選択します。

    4. [NPS サーバーのアクセス許可] で、[許可] 列で [登録] を選択します。

    5. [グループ名またはユーザー名] で、[RAS および IAS サーバー] を選択し、[削除] を選択します

  5. Select OK to save the NPS Server certificate template.

  6. [証明書テンプレート] コンソールを閉じます。

  7. In the left pane of the Certificate Authority snap-in, right-click Certificate Templates. Select New and then select Certificate Template to Issue.

  8. [ NPS サーバー認証] を選択し、[ OK] を選択します

次に、証明書を登録して検証するために必要な証明書テンプレートを作成しました。

ユーザー証明書を登録して検証する

グループ ポリシーはユーザー証明書を自動登録するように構成されているため、ポリシーが Windows クライアント デバイスに適用されると、ユーザー アカウントが正しい証明書に自動的に登録されます。 You can then validate the certificate in the Certificates console on the local device.

ポリシーが適用され、証明書が登録されていることを確認するには:

  1. Sign in to the Windows client device as the user that you created for the VPN Users group.

  2. コマンド プロンプトを開き、次のコマンドを実行します。 または、Windows クライアント デバイスを再起動します。

    gpupdate /force

  3. On the Start menu, type certmgr.msc, and press ENTER.

  4. In the Certificates snap-in, under Personal, select Certificates. 証明書が詳細ウィンドウに表示されます。

  5. Right-click the certificate that has your current domain username, and then select Open.

  6. On the General tab, confirm that the date listed under Valid from is today's date. そうでない場合は、間違った証明書を選択している可能性があります。

  7. Select OK, and close the Certificates snap-in.

VPN サーバー証明書を登録して検証する

VPN サーバーの証明書を登録するには:

  1. On the VPN server's Start menu, type certlm.msc to open the Certificates snap-in, and press ENTER.

  2. Right-click Personal, select All Tasks and then select Request New Certificate to start the Certificate Enrollment Wizard.

  3. On the Before You Begin page, select Next.

  4. On the Select Certificate Enrollment Policy page, select Next.

  5. [証明書の要求] ページで、[ VPN サーバー認証] を選択します。

  6. [VPN サーバー] チェック ボックスで、[証明書のプロパティ] ダイアログ ボックスを開くには [ 詳細情報が必要 ] を選択します。

  7. Select the Subject tab and enter the following information in the Subject name section:

    1. For Type select Common Name.
    2. For Value, enter the name of the external domain that clients use to connect to the VPN (for example, vpn.contoso.com).
    3. Select Add.

  8. Select OK to close Certificate Properties.

  9. Select Enroll.

  10. Select Finish.

VPN サーバー証明書を検証するには:

  1. In the Certificates snap-in, under Personal, select Certificates. 一覧表示された証明書が詳細ウィンドウに表示されます。

  2. Right-click the certificate that has your VPN server's name, and then select Open.

  3. On the General tab, confirm that the date listed under Valid from is today's date. そうでない場合は、間違った証明書を選択している可能性があります。

  4. On the Details tab, select Enhanced Key Usage, and verify that IP security IKE intermediate and Server Authentication display in the list.

  5. Select OK to close the certificate.

NPS 証明書を登録して検証する

NPS 証明書を登録するには:

  1. On the NPS server's Start menu, type certlm.msc to open the Certificates snap-in, and press ENTER.

  2. Right-click Personal, select All Tasks and then select Request New Certificate to start the Certificate Enrollment Wizard.

  3. On the Before You Begin page, select Next.

  4. On the Select Certificate Enrollment Policy page, select Next.

  5. [証明書の要求] ページで、[ NPS サーバー認証] を選択します。

  6. Select Enroll.

  7. Select Finish.

NPS 証明書を検証するには:

  1. In the Certificates snap-in, under Personal, select Certificates. 一覧表示された証明書が詳細ウィンドウに表示されます。

  2. Right-click the certificate that has your NPS server's name, and then select Open.

  3. On the General tab, confirm that the date listed under Valid from is today's date. そうでない場合は、間違った証明書を選択している可能性があります。

  4. Select OK, and close the Certificates snap-in.

Next step

証明書テンプレートを作成し、証明書を登録したら、Always On VPN 接続を使用するように Windows クライアント デバイスを構成できます。

チュートリアル: Windows クライアント デバイス用の Always On VPN 接続を作成する