Udostępnij przez

Samouczek: konfigurowanie szablonów urzędu certyfikacji dla Always On VPN

Ten poradnik pokazuje, jak skonfigurować szablony Urzędu Certyfikacji (CA) dla wdrożenia Always On VPN. Kontynuuje serię wdrażania zawsze włączonej sieci VPN w przykładowym środowisku. Wcześniej w serii wdrożono przykładową infrastrukturę.

Szablony urzędu certyfikacji są używane do wystawiania certyfikatów dla serwera VPN, serwera NPS i użytkowników. Certyfikaty są używane do uwierzytelniania serwera sieci VPN i serwera NPS na klientach oraz do uwierzytelniania użytkowników na serwerze sieci VPN.

W tym samouczku nauczysz się następujących rzeczy:

  • Utwórz szablon uwierzytelniania użytkownika.
  • Utwórz szablon uwierzytelniania serwera sieci VPN.
  • Utwórz szablon uwierzytelniania serwera NPS.
  • Zarejestruj i zweryfikuj certyfikat użytkownika.
  • Zarejestruj i zweryfikuj certyfikat serwera sieci VPN.
  • Zarejestruj i zweryfikuj certyfikat serwera NPS.

Oto opis różnych szablonów:

Template Description
Szablon uwierzytelniania użytkownika Ten szablon służy do wystawiania certyfikatów użytkowników dla klientów sieci VPN. Certyfikat użytkownika służy do uwierzytelniania użytkownika na serwerze sieci VPN.

Korzystając z szablonu uwierzytelniania użytkownika, możesz zwiększyć bezpieczeństwo certyfikatów, wybierając uaktualnione poziomy zgodności i wybierając dostawcę kryptograficznego platformy Microsoft. Za pomocą dostawcy kryptograficznego platformy Microsoft można użyć modułu TPM (Trusted Platform Module) na komputerach klienckich w celu zabezpieczenia certyfikatu. Szablon użytkownika jest skonfigurowany do automatycznego rejestrowania.
Szablon uwierzytelniania serwera sieci VPN Ten szablon służy do wystawiania certyfikatu serwera dla serwera sieci VPN. Certyfikat serwera służy do uwierzytelniania serwera sieci VPN na kliencie.

Za pomocą szablonu uwierzytelniania serwera sieci VPN należy dodać zasady aplikacji IKE Intermediate security (IPsec). Polityka aplikacji pośredniej IKE (IPsec) określa, jak certyfikat może być używany i może umożliwić serwerowi filtrowanie certyfikatów, jeśli dostępnych jest więcej niż jeden certyfikat. Ponieważ klienci sieci VPN uzyskują dostęp do tego serwera z publicznego Internetu, podmiot i alternatywne nazwy różnią się od wewnętrznej nazwy serwera. W związku z tym nie konfigurujesz certyfikatu serwera sieci VPN na potrzeby automatycznej rejestracji.
Szablon uwierzytelniania serwera NPS Ten szablon służy do wystawiania certyfikatu serwera dla serwera NPS. Certyfikat serwera NPS służy do uwierzytelniania serwera NPS na serwerze sieci VPN.

Szablon uwierzytelniania serwera NPS umożliwia skopiowanie szablonu standardowych serwerów RAS i IAS oraz określanie zakresu dla serwera NPS. Nowy szablon serwera NPS zawiera zasady aplikacji uwierzytelniania serwera.

Aby dowiedzieć się więcej na temat zawsze włączonej sieci VPN, w tym obsługiwanych integracji, funkcji zabezpieczeń i łączności, zobacz Always On VPN Overview (Omówienie zawsze włączonej sieci VPN).

Prerequisites

Aby ukończyć kroki w tym samouczku, potrzebujesz:

  • Aby wykonać wszystkie kroki opisane w poprzednim samouczku: Wdrażanie zawsze włączonej infrastruktury sieci VPN.

  • Urządzenie klienckie z systemem Windows pracujące na obsługiwanej wersji systemu Windows, aby połączyć się z Always On VPN, które jest przyłączone do domeny Active Directory.

Tworzenie szablonu uwierzytelniania użytkownika

  1. Na serwerze z zainstalowanymi usługami certyfikatów Active Directory, który w tym samouczku jest kontrolerem domeny, otwórz przystawkę Urząd certyfikacji.

  2. W okienku po lewej stronie kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów i wybierz pozycję Zarządzaj.

  3. W konsoli Szablony certyfikatów kliknij prawym przyciskiem myszy pozycję Użytkownik i wybierz pozycję Duplikuj szablon. Nie wybieraj pozycji Zastosuj lub OK , dopóki nie zakończysz wprowadzania informacji dla wszystkich kart. Niektóre opcje można skonfigurować tylko podczas tworzenia szablonu; Jeśli wybierzesz te przyciski przed wprowadzeniem wszystkich parametrów, których nie możesz zmienić, w przeciwnym razie musisz usunąć szablon i utworzyć go ponownie.

  4. W oknie dialogowym Właściwości nowego szablonu na karcie Ogólne wykonaj następujące kroki:

    1. W polu Nazwa wyświetlana szablonu wprowadź wartość Uwierzytelnianie użytkownika sieci VPN.

    2. Wyczyść pole wyboru Publikuj certyfikat w usłudze Active Directory .

  5. Na karcie Zabezpieczenia wykonaj następujące kroki:

    1. Wybierz Dodaj.

    2. W oknie dialogowym Wybieranie użytkowników, komputerów, kont usług lub grup wprowadź pozycję Użytkownicy sieci VPN, a następnie wybierz przycisk OK.

    3. W obszarze Nazwy grup lub użytkowników wybierz pozycję Użytkownicy sieci VPN.

    4. W obszarze Uprawnienia dla użytkowników sieci VPN zaznacz pola wyboru Rejestrowanie i automatyczne rejestrowanie w kolumnie Zezwalaj .

      Important

      Upewnij się, że zaznaczono pole wyboru Uprawnienia do odczytu . Do rejestracji są wymagane uprawnienia do odczytu.

    5. W obszarze Nazwy grup lub użytkowników wybierz pozycję Użytkownicy domeny, a następnie wybierz pozycję Usuń.

  6. Na karcie Zgodność wykonaj następujące kroki:

    1. W obszarze Urząd certyfikacji wybierz pozycję Windows Server 2016.

    2. W wyświetlonym oknie dialogowym Zmiany wynikowe wybierz przycisk OK.

    3. W obszarze Adresat certyfikatu wybierz pozycję Windows 10/Windows Server 2016.

    4. W wyświetlonym oknie dialogowym Zmiany wynikowe wybierz przycisk OK.

  7. Na karcie Obsługa żądań wyczyść pole Zezwalaj na eksportowanie klucza prywatnego.

  8. Na karcie Kryptografia wykonaj następujące kroki:

    1. W obszarze Kategoria dostawcy wybierz pozycję Dostawca magazynu kluczy.

    2. Wybierz pozycję Żądania muszą używać jednego z następujących dostawców.

    3. Wybierz zarówno dostawcę kryptografii platformy Microsoft , jak i dostawcę magazynu kluczy oprogramowania firmy Microsoft.

  9. Na karcie Nazwa podmiotu wyczyść pole Uwzględnij nazwę e-mail w nazwie podmiotu i nazwie e-mail.

  10. Wybierz przycisk OK , aby zapisać szablon certyfikatu uwierzytelniania użytkownika sieci VPN.

  11. Zamknij konsolę Szablony certyfikatów.

  12. W lewym okienku przystawki Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, wybierz pozycję Nowy , a następnie wybierz pozycję Szablon certyfikatu do wystawienia.

  13. Wybierz pozycję Uwierzytelnianie użytkownika sieci VPN, a następnie wybierz przycisk OK.

Tworzenie szablonu uwierzytelniania serwera sieci VPN

  1. W lewym okienku przystawki Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów i wybierz polecenie Zarządzaj , aby otworzyć konsolę Szablony certyfikatów.

  2. W konsoli Szablony certyfikatów kliknij prawym przyciskiem myszy pozycję RAS i serwer IAS , a następnie wybierz pozycję Duplikuj szablon. Nie wybieraj pozycji Zastosuj lub OK , dopóki nie zakończysz wprowadzania informacji dla wszystkich kart. Niektóre opcje można skonfigurować tylko podczas tworzenia szablonu; Jeśli wybierzesz te przyciski przed wprowadzeniem wszystkich parametrów, których nie możesz zmienić, w przeciwnym razie musisz usunąć szablon i utworzyć go ponownie.

  3. W oknie dialogowym Właściwości nowego szablonu na karcie Ogólne w polu Nazwa wyświetlana szablonu wprowadź wartość Uwierzytelnianie serwera sieci VPN.

  4. Na karcie Rozszerzenia wykonaj następujące kroki:

    1. Wybierz pozycję Zasady aplikacji, a następnie wybierz pozycję Edytuj.

    2. W oknie dialogowym Edytowanie rozszerzenia zasad aplikacji wybierz pozycję Dodaj.

    3. W oknie dialogowym Dodawanie zasad aplikacji wybierz pozycję Pośrednie IKE dla zabezpieczeń IP, następnie wybierz OK.

    4. Wybierz przycisk OK , aby powrócić do okna dialogowego Właściwości nowego szablonu .

  5. Na karcie Zabezpieczenia wykonaj następujące kroki:

    1. Wybierz Dodaj.

    2. W oknie dialogowym Wybieranie użytkowników, komputerów, kont usług lub grup wprowadź ciąg Serwery sieci VPN, a następnie wybierz przycisk OK.

    3. W obszarze Nazwy grup lub użytkowników wybierz pozycję Serwery sieci VPN.

    4. W obszarze Uprawnienia dla serwerów sieci VPN wybierz pozycję Zarejestruj w kolumnie Zezwalaj .

    5. W obszarze Nazwy grup lub użytkowników wybierz pozycję SERWERY RAS i IAS, a następnie wybierz pozycję Usuń.

  6. Na karcie Nazwa podmiotu wykonaj następujące kroki:

    1. Wybierz Podaj w żądaniu.

    2. W oknie dialogowym Ostrzeżenie szablonów certyfikatów wybierz przycisk OK.

  7. Wybierz przycisk OK , aby zapisać szablon certyfikatu serwera sieci VPN.

  8. Zamknij konsolę Szablony certyfikatów.

  9. W lewym okienku przystawki Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów. Wybierz pozycję Nowy , a następnie wybierz pozycję Szablon certyfikatu do wystawienia.

  10. Wybierz pozycję Uwierzytelnianie serwera sieci VPN, a następnie wybierz przycisk OK.

  11. Uruchom ponownie serwer sieci VPN.

Tworzenie szablonu uwierzytelniania serwera NPS

  1. W lewym okienku przystawki Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów i wybierz polecenie Zarządzaj , aby otworzyć konsolę Szablony certyfikatów.

  2. W konsoli Szablony certyfikatów kliknij prawym przyciskiem myszy pozycję RAS i serwer IAS , a następnie wybierz pozycję Duplikuj szablon. Nie wybieraj pozycji Zastosuj lub OK , dopóki nie zakończysz wprowadzania informacji dla wszystkich kart. Niektóre opcje można skonfigurować tylko podczas tworzenia szablonu; Jeśli wybierzesz te przyciski przed wprowadzeniem wszystkich parametrów, których nie możesz zmienić, w przeciwnym razie musisz usunąć szablon i utworzyć go ponownie.

  3. W oknie dialogowym Właściwości nowego szablonu na karcie Ogólne w polu Nazwa wyświetlana szablonu wprowadź wartość Uwierzytelnianie serwera NPS.

  4. Na karcie Zabezpieczenia wykonaj następujące kroki:

    1. Wybierz Dodaj.

    2. W oknie dialogowym Wybieranie użytkowników, komputerów, kont usług lub grup wprowadź pozycję Serwery NPS, a następnie wybierz przycisk OK.

    3. W obszarze Nazwy grup lub użytkowników wybierz pozycję Serwery NPS.

    4. W obszarze Uprawnienia dla serwerów NPS wybierz pozycję Zarejestruj w kolumnie Zezwalaj .

    5. W obszarze Nazwy grup lub użytkowników wybierz pozycję SERWERY RAS i IAS, a następnie wybierz pozycję Usuń.

  5. Wybierz przycisk OK , aby zapisać szablon certyfikatu serwera NPS.

  6. Zamknij konsolę Szablony certyfikatów.

  7. W lewym okienku przystawki Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów. Wybierz pozycję Nowy , a następnie wybierz pozycję Szablon certyfikatu do wystawienia.

  8. Wybierz pozycję Uwierzytelnianie serwera NPS, a następnie wybierz przycisk OK.

Teraz, gdy utworzono szablony certyfikatów, należy przystąpić do zapisania się na certyfikaty oraz ich weryfikacji.

Rejestrowanie i weryfikowanie certyfikatu użytkownika

Zasady grupy są skonfigurowane do automatycznego rejestrowania certyfikatów użytkowników, więc po zastosowaniu zasad do urządzeń klienckich z systemem Windows automatycznie rejestrują konto użytkownika dla odpowiedniego certyfikatu. Następnie można zweryfikować certyfikat w konsoli Certyfikaty na urządzeniu lokalnym.

Aby sprawdzić, czy zasady są stosowane i certyfikat jest zarejestrowany:

  1. Zaloguj się na urządzeniu klienckim z systemem Windows jako użytkownik utworzony dla grupy Użytkownicy sieci VPN .

  2. Otwórz wiersz polecenia i uruchom następujące polecenie. Alternatywnie uruchom ponownie urządzenie klienckie z systemem Windows.

    gpupdate /force

  3. W menu Start wpisz certmgr.msc i naciśnij ENTER.

  4. W przystawce Certyfikaty w obszarze Osobiste wybierz pozycję Certyfikaty. Certyfikaty są wyświetlane w okienku szczegółów.

  5. Kliknij prawym przyciskiem myszy certyfikat, który ma bieżącą nazwę użytkownika domeny, a następnie wybierz pozycję Otwórz.

  6. Na karcie Ogólne upewnij się, że data wyświetlana w obszarze Prawidłowa od jest bieżącą datą. Jeśli tak nie jest, być może wybrano niewłaściwy certyfikat.

  7. Wybierz przycisk OK i zamknij przystawkę Certyfikaty.

Rejestrowanie i weryfikowanie certyfikatu serwera sieci VPN

Aby zarejestrować certyfikat serwera sieci VPN:

  1. W menu Start serwera sieci VPN wpisz certlm.msc , aby otworzyć przystawkę Certyfikaty, a następnie naciśnij ENTER.

  2. Kliknij prawym przyciskiem myszy pozycję Osobiste, wybierz pozycję Wszystkie zadania , a następnie wybierz pozycję Zażądaj nowego certyfikatu , aby uruchomić Kreatora rejestracji certyfikatów.

  3. Na stronie Przed rozpoczęciem wybierz pozycję Dalej.

  4. Na stronie Wybieranie zasad rejestracji certyfikatów wybierz pozycję Dalej.

  5. Na stronie Żądanie certyfikatów wybierz pozycję Uwierzytelnianie serwera sieci VPN.

  6. W obszarze pola wyboru Serwer VPN, wybierz pozycję Więcej informacji jest wymagane, aby otworzyć okno dialogowe Właściwości certyfikatu.

  7. Wybierz kartę Temat i wprowadź następujące informacje w sekcji Nazwa podmiotu :

    1. W polu Typ wybierz pozycję Nazwa pospolita.
    2. W polu Wartość wprowadź nazwę domeny zewnętrznej używanej przez klientów do łączenia się z siecią VPN (na przykład vpn.contoso.com).
    3. Wybierz Dodaj.

  8. Wybierz przycisk OK , aby zamknąć właściwości certyfikatu.

  9. Wybierz pozycję Zarejestruj.

  10. Wybierz Zakończ.

Aby zweryfikować certyfikat serwera sieci VPN:

  1. W przystawce Certyfikaty w obszarze Osobiste wybierz pozycję Certyfikaty. Wymienione certyfikaty powinny być wyświetlane w okienku szczegółów.

  2. Kliknij prawym przyciskiem myszy certyfikat, który ma nazwę serwera sieci VPN, a następnie wybierz pozycję Otwórz.

  3. Na karcie Ogólne upewnij się, że data wyświetlana w obszarze Prawidłowa od jest bieżącą datą. Jeśli tak nie jest, być może wybrano niewłaściwy certyfikat.

  4. Na karcie Szczegóły wybierz pozycję Ulepszone użycie klucza i sprawdź, czy na liście są wyświetlane zabezpieczenia protokołu IKE pośrednie i uwierzytelnianie serwera .

  5. Wybierz przycisk OK , aby zamknąć certyfikat.

Rejestrowanie i weryfikowanie certyfikatu serwera NPS

Aby zarejestrować certyfikat serwera NPS:

  1. W menu Start serwera NPS wpisz certlm.msc , aby otworzyć przystawkę Certyfikaty i naciśnij ENTER.

  2. Kliknij prawym przyciskiem myszy pozycję Osobiste, wybierz pozycję Wszystkie zadania , a następnie wybierz pozycję Zażądaj nowego certyfikatu , aby uruchomić Kreatora rejestracji certyfikatów.

  3. Na stronie Przed rozpoczęciem wybierz pozycję Dalej.

  4. Na stronie Wybieranie zasad rejestracji certyfikatów wybierz pozycję Dalej.

  5. Na stronie Żądanie certyfikatów wybierz pozycję Uwierzytelnianie serwera NPS.

  6. Wybierz pozycję Zarejestruj.

  7. Wybierz Zakończ.

Aby zweryfikować certyfikat serwera NPS:

  1. W przystawce Certyfikaty w obszarze Osobiste wybierz pozycję Certyfikaty. Wymienione certyfikaty powinny być wyświetlane w okienku szczegółów.

  2. Kliknij prawym przyciskiem myszy certyfikat, który ma nazwę serwera NPS, a następnie wybierz polecenie Otwórz.

  3. Na karcie Ogólne upewnij się, że data wyświetlana w obszarze Prawidłowa od jest bieżącą datą. Jeśli tak nie jest, być może wybrano niewłaściwy certyfikat.

  4. Wybierz przycisk OK i zamknij przystawkę Certyfikaty.

Następny krok

Po utworzeniu szablonów certyfikatów i zarejestrowaniu certyfikatów można skonfigurować urządzenie klienckie z systemem Windows do korzystania z połączenia zawsze włączonej sieci VPN.

Samouczek: tworzenie zawsze włączonego połączenia sieci VPN dla urządzeń klienckich z systemem Windows

  • Last updated on