Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In deze zelfstudie leert u hoe u de CA-sjablonen (Certificate Authority) configureert voor de AlwaysOn VPN-implementatie. De reeks wordt voortgezet voor het implementeren van AlwaysOn VPN in een voorbeeldomgeving. Eerder in de reeks hebt u een voorbeeldinfrastructuur geïmplementeerd.
De CA-sjablonen worden gebruikt om certificaten uit te geven aan de VPN-server, NPS-server en gebruikers. De certificaten worden gebruikt om de VPN-server en NPS-server te verifiëren bij clients en om gebruikers te verifiëren bij de VPN-server.
In deze handleiding leert u:
- Maak een gebruikersverificatiesjabloon.
- Maak een vpn-serververificatiesjabloon.
- Maak een NPS-serververificatiesjabloon.
- Registreer en valideer het gebruikerscertificaat.
- Registreer en valideer het VPN-servercertificaat.
- Registreer en valideer het NPS-servercertificaat.
Hier volgt een beschrijving van de verschillende sjablonen:
| Template | Description |
|---|---|
| Sjabloon voor gebruikersverificatie | Deze sjabloon wordt gebruikt om gebruikerscertificaten uit te geven voor VPN-clients. Het gebruikerscertificaat wordt gebruikt om de gebruiker te verifiëren bij de VPN-server. Met een gebruikersverificatiesjabloon kunt u de beveiliging van certificaten verbeteren door bijgewerkte compatibiliteitsniveaus te selecteren en de Cryptoprovider van het Microsoft-platform te kiezen. Met de Microsoft Platform Crypto Provider kunt u een Trusted Platform Module (TPM) op clientcomputers gebruiken om het certificaat te beveiligen. De gebruikerssjabloon is geconfigureerd voor automatisch inschrijven. |
| Sjabloon voor VPN-serververificatie | Deze sjabloon wordt gebruikt om een servercertificaat uit te geven voor de VPN-server. Het servercertificaat wordt gebruikt om de VPN-server te verifiëren bij de client. Met een VPN-serververificatiesjabloon voegt u het IKE Intermediate-toepassingsbeleid voor IPsec toe. Het IPsec-beleid (IP Security) IKE Tussenliggende toepassing bepaalt hoe het certificaat kan worden gebruikt, zodat de server certificaten kan filteren als er meer dan één certificaat beschikbaar is. Omdat VPN-clients toegang hebben tot deze server vanaf het openbare internet, zijn het onderwerp en de alternatieve namen anders dan de interne servernaam. Als gevolg hiervan configureert u het VPN-servercertificaat niet voor automatisch inschrijven. |
| Sjabloon voor NPS-serververificatie | Deze sjabloon wordt gebruikt voor het uitgeven van een servercertificaat voor de NPS-server. Het NPS-servercertificaat wordt gebruikt om de NPS-server te verifiëren bij de VPN-server. Met een sjabloon voor serverauthenticatie kopieert u het standaardsjabloon voor RAS- en IAS-servers en past u deze toe voor uw NPS-server. De nieuwe NPS-serversjabloon bevat het toepassingsbeleid voor serververificatie. |
Zie Het Overzicht van AlwaysOn VPN voor meer informatie over AlwaysOn VPN, waaronder ondersteunde integraties, beveiligings- en connectiviteitsfuncties.
Prerequisites
Voor het voltooien van de stappen in deze zelfstudie hebt u het volgende nodig:
Als u alle stappen in de vorige zelfstudie wilt uitvoeren: AlwaysOn VPN-infrastructuur implementeren.
Een Windows-clientapparaat met een ondersteunde versie van Windows om verbinding te maken met AlwaysOn VPN die is gekoppeld aan het Active Directory-domein.
De sjabloon voor gebruikersverificatie maken
Open op de server waarop Active Directory Certificate Services is geïnstalleerd, die in deze handleiding dienstdoet als domeincontroller, de Certificeringsinstantie-snap-in.
Klik in het linkerdeelvenster met de rechtermuisknop op Certificaatsjablonen en selecteer Beheren.
Klik in de console Certificaatsjablonen met de rechtermuisknop op Gebruiker en selecteer Sjabloon dupliceren. Selecteer Pas of OK nog niet totdat u klaar bent met het invoeren van gegevens voor alle tabbladen. Sommige opties kunnen alleen worden geconfigureerd bij het maken van sjablonen; als u deze knoppen selecteert voordat u alle parameters invoert, kunt u deze niet wijzigen, anders moet u de sjabloon verwijderen en opnieuw maken.
Voer in het dialoogvenster Eigenschappen van nieuwe sjabloon op het tabblad Algemeen de volgende stappen uit:
Voer in de weergavenaam van de sjabloonVPN-gebruikersverificatie in.
Schakel het selectievakje Certificaat publiceren in Active Directory uit.
Voer op het tabblad Beveiliging de volgende stappen uit:
Selecteer Toevoegen.
Voer in het dialoogvenster Gebruikers, computers, serviceaccounts of groepen selecteren VPN-gebruikers in en selecteer OK.
Selecteer VPN-gebruikers in groeps- of gebruikersnamen.
Schakel in Machtigingen voor VPN-gebruikers de selectievakjesInschrijven en Automatisch inschrijven in de kolom Toestaan in.
Important
Zorg ervoor dat het selectievakje Leesmachtiging is ingeschakeld. U hebt leesmachtigingen nodig voor inschrijving.
Selecteer domeingebruikers in groeps- of gebruikersnamen en selecteer vervolgens Verwijderen.
Voer op het tabblad Compatibiliteit de volgende stappen uit:
Selecteer Windows Server 2016 in certificeringsinstantie.
Selecteer OK in het dialoogvenster Resulterende wijzigingen.
Selecteer in CertificaatontvangerWindows 10/Windows Server 2016.
Selecteer OK in het dialoogvenster Resulterende wijzigingen.
Schakel op het tabblad Aanvraagafhandeling de optie Persoonlijke sleutel exporteren uit.
Voer op het tabblad Cryptografie de volgende stappen uit:
Selecteer in providercategorie de optie Sleutelopslagprovider.
Selecteer Aanvragen moeten een van de volgende providers gebruiken.
Selecteer zowel Microsoft Platform Crypto Provider als Microsoft Software Key Storage Provider.
Verwijder op het tabblad Onderwerpnaam de opties E-mailnaam opnemen in onderwerpnaam en E-mailnaam.
Selecteer OK om de certificaatsjabloon vpn-gebruikersverificatie op te slaan.
Sluit de console Certificaatsjablonen.
Klik in het linkerdeelvenster van de module Certificeringsinstantie met de rechtermuisknop op Certificaatsjablonen, selecteer Nieuw en selecteer vervolgens Certificaatsjabloon die u wilt uitgeven.
Selecteer VPN-gebruikersverificatie en selecteer vervolgens OK.
Maak de VPN-serverauthenticatiesjabloon aan
Klik in het linkerdeelvenster van de module Certificeringsinstantie met de rechtermuisknop op Certificaatsjablonen en selecteer Beheren om de console Certificaatsjablonen te openen.
Klik in de console certificaatsjablonen met de rechtermuisknop op RAS en IAS-server en selecteer Duplicaatsjabloon. Selecteer niet Pas toepassen of OK totdat u klaar bent met het invoeren van gegevens voor alle tabbladen. Sommige opties kunnen alleen worden geconfigureerd bij het maken van sjablonen; als u deze knoppen selecteert voordat u alle parameters invoert, kunt u deze niet wijzigen, anders moet u de sjabloon verwijderen en opnieuw maken.
Voer in het dialoogvenster Eigenschappen van nieuwe sjabloon op het tabblad Algemeen , in de weergavenaam van de sjabloon, VPN Server-verificatie in.
Voer op het tabblad Extensies de volgende stappen uit:
Selecteer Toepassingsbeleid en selecteer Bewerken.
Selecteer Toevoegen in het dialoogvenster Extensie voor toepassingsbeleid bewerken.
Selecteer in het dialoogvenster Toepassingsbeleid toevoegen de optie IKE-tussenliggende IP-beveiliging en selecteer vervolgens OK.
Selecteer OK om terug te keren naar het dialoogvenster Eigenschappen van nieuwe sjabloon .
Voer op het tabblad Beveiliging de volgende stappen uit:
Selecteer Toevoegen.
Voer in het dialoogvenster Gebruikers, computers, serviceaccounts of groepen selecteren VPN-servers in en selecteer vervolgens OK.
Selecteer VPN-servers in groeps- of gebruikersnamen.
Selecteer In Machtigingen voor VPN-serversde optie Inschrijven in de kolom Toestaan .
Selecteer RAS- en IAS-servers in groeps- of gebruikersnamen en selecteer vervolgens Verwijderen.
Voer op het tabblad Onderwerpnaam de volgende stappen uit:
Selecteer Levering in de aanvraag.
Selecteer OK in het waarschuwingsdialoogvenster certificaatsjablonen.
Selecteer OK om de VPN Server-certificaatsjabloon op te slaan.
Sluit de console Certificaatsjablonen.
Klik in het linkerdeelvenster van de module Certificeringsinstantie met de rechtermuisknop op Certificaatsjablonen. Selecteer Nieuw en selecteer vervolgens Certificaatsjabloon die u wilt uitgeven.
Selecteer VPN Server-verificatie en selecteer vervolgens OK.
Start de VPN-server opnieuw op.
NPS-serververificatiesjabloon maken
Klik in het linkerdeelvenster van de module Certificeringsinstantie met de rechtermuisknop op Certificaatsjablonen en selecteer Beheren om de console Certificaatsjablonen te openen.
Klik in de console certificaatsjablonen met de rechtermuisknop op RAS en IAS-server en selecteer Duplicaatsjabloon. Selecteer Toepassen of OK niet totdat u klaar bent met het invoeren van gegevens voor alle tabbladen. Sommige opties kunnen alleen worden geconfigureerd bij het maken van sjablonen; als u deze knoppen selecteert voordat u alle parameters invoert, kunt u deze niet wijzigen, anders moet u de sjabloon verwijderen en opnieuw maken.
Voer in het dialoogvenster Eigenschappen van nieuwe sjabloon op het tabblad Algemeen , in de weergavenaam van de sjabloon, NPS-serververificatie in.
Voer op het tabblad Beveiliging de volgende stappen uit:
Selecteer Toevoegen.
Voer in het dialoogvenster Gebruikers, computers, serviceaccounts of groepen selecteren NPS-servers in en selecteer OK.
Selecteer NPS-servers in groeps- of gebruikersnamen.
In Machtigingen voor NPS-servers, selecteer Inschrijven in de kolom Toestaan.
Selecteer RAS- en IAS-servers in groeps- of gebruikersnamen en selecteer vervolgens Verwijderen.
Selecteer OK om de NPS Server-certificaatsjabloon op te slaan.
Sluit de console Certificaatsjablonen.
Klik in het linkerdeelvenster van de module Certification Authority met de rechtermuisknop op Certificaatsjablonen. Selecteer Nieuw en selecteer vervolgens Certificaatsjabloon die u wilt uitgeven.
Selecteer NPS-serververificatie en selecteer vervolgens OK.
Nu hebt u de certificaatsjablonen gemaakt die u nodig hebt om de certificaten in te schrijven en te valideren.
Het gebruikerscertificaat inschrijven en valideren
Groepsbeleid is geconfigureerd voor het automatisch inschrijven van gebruikerscertificaten, dus zodra het beleid is toegepast op Windows-clientapparaten, registreren ze automatisch het gebruikersaccount voor het juiste certificaat. Vervolgens kunt u het certificaat valideren in de certificatenconsole op het lokale apparaat.
Controleren of het beleid wordt toegepast en het certificaat is ingeschreven:
Meld u aan bij het Windows-clientapparaat als de gebruiker die u hebt gemaakt voor de groep VPN-gebruikers .
Open de opdrachtprompt en voer de volgende opdracht uit. U kunt ook het Windows-clientapparaat opnieuw opstarten.
gpupdate /forceTyp certmgr.msc in het menu Start en druk op Enter.
Selecteer Certificaten in de module Certificaten onder Persoonlijk. Uw certificaten worden weergegeven in het detailvenster.
Klik met de rechtermuisknop op het certificaat met de gebruikersnaam van uw huidige domein en selecteer Openen.
Controleer op het tabblad Algemeen of de datum onder Geldig van vandaag de datum is. Als dit niet het probleem is, hebt u mogelijk het verkeerde certificaat geselecteerd.
Selecteer OK en sluit de module Certificaten.
Het VPN-servercertificaat inschrijven en valideren
Ga als volgt te werk om het certificaat van de VPN-server in te schrijven:
Typ in het startmenu van de VPN-server certlm.msc om de module Certificaten te openen en druk op Enter.
Klik met de rechtermuisknop op Persoonlijk, selecteer Alle taken en selecteer Vervolgens Nieuw certificaat aanvragen om de wizard Certificaatinschrijving te starten.
Selecteer Volgende op de pagina Voordat u begint.
Selecteer op de pagina Certificaatinschrijvingsbeleid Volgende.
Selecteer VPN Server-verificatie op de pagina Certificaten aanvragen.
Selecteer onder het selectievakje VPN-server Meer informatie is vereist om het dialoogvenster Certificaateigenschappen te openen.
Selecteer het tabblad Onderwerp en voer de volgende informatie in de sectie Onderwerpnaam in:
- Voor Type selecteert u Algemene naam.
- Voer voor Waarde de naam in van het externe domein dat clients gebruiken om verbinding te maken met het VPN (bijvoorbeeld vpn.contoso.com).
- Selecteer Toevoegen.
Selecteer OK om certificaateigenschappen te sluiten.
Selecteer Inschrijven.
Klik op Voltooien.
Het VPN-servercertificaat valideren:
In de module Certificaten, onder Persoonlijk, selecteer Certificaten. De vermelde certificaten moeten worden weergegeven in het detailvenster.
Klik met de rechtermuisknop op het certificaat met de naam van uw VPN-server en selecteer Openen.
Controleer op het tabblad Algemeen of de datum onder Geldig van vandaag de datum is. Als dit niet het probleem is, hebt u mogelijk het verkeerde certificaat geselecteerd.
Selecteer uitgebreid sleutelgebruik op het tabblad Details en controleer of IKE tussenliggende IP-beveiliging en Serververificatie worden weergegeven in de lijst.
Selecteer OK om het certificaat te sluiten.
Het NPS-certificaat inschrijven en valideren
Ga als volgende te werk om het NPS-certificaat in te schrijven:
Typ in het startmenu van de NPS-server certlm.msc om de module Certificaten te openen en druk op Enter.
Klik met de rechtermuisknop op Persoonlijk, selecteer Alle taken en selecteer Vervolgens Nieuw certificaat aanvragen om de wizard Certificaatinschrijving te starten.
Selecteer Volgende op de pagina Voordat u begint.
Selecteer op de pagina Certificaatinschrijvingsbeleid Volgende.
Selecteer NPS-serververificatie op de pagina Certificaten aanvragen.
Selecteer Inschrijven.
Klik op Voltooien.
Het NPS-certificaat valideren:
Selecteer Certificaten in de module Certificaten onder Persoonlijk. De vermelde certificaten moeten worden weergegeven in het detailvenster.
Klik met de rechtermuisknop op het certificaat met de naam van uw NPS-server en selecteer Openen.
Controleer op het tabblad Algemeen of de datum onder Geldig van vandaag de datum is. Als dit niet het probleem is, hebt u mogelijk het verkeerde certificaat geselecteerd.
Selecteer OK en sluit de module Certificaten.
Volgende stap
Nu u de certificaatsjablonen hebt gemaakt en de certificaten hebt ingeschreven, kunt u een Windows-clientapparaat configureren voor het gebruik van de AlwaysOn VPN-verbinding.