Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este tutorial mostra como configurar os modelos de Autoridade de Certificação (CA) para a implantação da VPN Always On. Continua a série de implementação do Always On VPN num ambiente de exemplo. Anteriormente, na série, você implantou uma infraestrutura de exemplo.
Os modelos de autoridade de certificação são usados para emitir certificados para o servidor VPN, o servidor NPS e os usuários. Os certificados são usados para autenticar o servidor VPN e o servidor NPS para clientes e para autenticar usuários para o servidor VPN.
Neste tutorial, você:
- Crie um modelo de autenticação de usuário.
- Crie um modelo de autenticação de servidor VPN.
- Crie um modelo de autenticação de servidor NPS.
- Registre e valide o certificado do usuário.
- Registre e valide o certificado do servidor VPN.
- Registre e valide o certificado do servidor NPS.
Aqui está uma descrição dos diferentes modelos:
| Modelo | Descrição |
|---|---|
| Modelo de autenticação do usuário | Este modelo é usado para emitir certificados de usuário para clientes VPN. O certificado de usuário é usado para autenticar o usuário no servidor VPN. Com um modelo de autenticação de usuário, você pode melhorar a segurança do certificado selecionando níveis de compatibilidade atualizados e escolhendo o Microsoft Platform Crypto Provider. Com o Microsoft Platform Crypto Provider, você pode usar um TPM (Trusted Platform Module) em computadores cliente para proteger o certificado. O modelo de usuário está configurado para registro automático. |
| Modelo de autenticação do servidor VPN | Este modelo é usado para emitir um certificado de servidor para o servidor VPN. O certificado do servidor é usado para autenticar o servidor VPN para o cliente. Com um modelo de autenticação de servidor VPN, você adiciona a política de aplicativo IKE Intermediate de Segurança IP (IPsec). A política de aplicativo IKE Intermediate de Segurança IP (IPsec) determina como o certificado pode ser usado, pode permitir que o servidor filtre certificados se mais de um certificado estiver disponível. Como os clientes VPN acessam esse servidor pela Internet pública, o assunto e os nomes alternativos são diferentes do nome do servidor interno. Como resultado, você não configura o certificado do servidor VPN para registro automático. |
| Modelo de autenticação do servidor NPS | Este modelo é usado para emitir um certificado de servidor para o servidor NPS. O certificado do servidor NPS é usado para autenticar o servidor NPS no servidor VPN. Com um modelo de autenticação de servidor NPS, copie o modelo padrão de Servidores RAS e IAS e defina o escopo dele para o servidor NPS. O novo modelo de servidor NPS inclui a política de aplicativo de autenticação do servidor. |
Para saber mais sobre o Always On VPN, incluindo integrações suportadas, recursos de segurança e conectividade, consulte Visão geral do Always On VPN.
Pré-requisitos
Para concluir as etapas neste tutorial, você precisa:
Para concluir todas as etapas do tutorial anterior: Implantar infraestrutura VPN Always On.
Um dispositivo cliente Windows que executa uma versão suportada do Windows para se conectar à VPN Always On que está aderido ao domínio do Active Directory.
Criar o modelo de autenticação do usuário
No servidor com os Serviços de Certificados do Active Directory instalados, que neste tutorial é o controlador de domínio, abra o snap-in de Autoridade de Certificação.
No painel esquerdo, clique com o botão direito do rato em Modelos de Certificado e selecione Gerir.
No console Modelos de Certificado, clique com o botão direito do mouse Usuário e selecione Modelo Duplicado. Não selecione Aplicar ou OK até terminar de inserir as informações de todas as guias. Algumas opções só podem ser configuradas na criação do modelo; Se você selecionar esses botões antes de inserir todos os parâmetros, não poderá alterá-los, caso contrário, precisará excluir o modelo e recriá-lo.
Na caixa de diálogo Propriedades do Novo Modelo , na guia Geral , conclua as seguintes etapas:
Em Nome de exibição do modelo, insira Autenticação de Utilizador VPN.
Desmarque a caixa de seleção Publicar Certificado no Active Directory.
Na guia de segurança, conclua as seguintes etapas:
Selecione Adicionar.
Na caixa de diálogo Selecionar Utilizadores, Computadores, Contas de Serviço ou Grupos, introduza Utilizadores VPN e, em seguida, selecione OK.
Em Nomes de grupo ou de utilizador, selecione Utilizadores VPN.
Em Permissões para Utilizadores de VPN, selecione as caixas de seleção Inscrever e Inscrição Automática na coluna Permitir.
Importante
Certifique-se de manter a caixa de seleção Permissão de leitura marcada. Você precisa de permissões de Leitura para se inscrever.
Em Nomes de grupo ou de utilizador, selecione Utilizadores do Domínioe, em seguida, selecione Remover.
Na guia de Compatibilidade , conclua as seguintes etapas:
Em Autoridade de Certificação, selecione Windows Server 2016.
Na caixa de diálogo Alterações resultantes , selecione OK.
Em destinatário do certificado, selecione Windows 10/Windows Server 2016.
Na caixa de diálogo Alterações resultantes , selecione OK.
Na guia Tratamento de Solicitações , desmarque Permitir que a chave privada seja exportada.
Na guia Criptografia, conclua as seguintes etapas:
Em Categoria de Provedor, selecione Provedor de Armazenamento de Chaves.
Selecione As solicitações devem usar um dos seguintes provedores.
Selecione Microsoft Platform Crypto Provider e Microsoft Software Key Storage Provider.
Na guia Nome do Assunto , desmarque a opção Incluir nome de email em Nome do assunto e Nome do email.
Selecione OK para salvar o modelo de certificado de Autenticação de Usuário VPN.
Feche a consola de Modelos de Certificado.
No painel esquerdo do snap-in Autoridade de Certificação, clique com o botão direito do rato, Modelos de Certificado, selecione Novo e, em seguida, selecione Modelo de Certificado para Emitir.
Selecione Autenticação de Utilizador VPN, em seguida, selecione OK.
Criar o modelo de autenticação do Servidor VPN
No painel esquerdo do snap-in da Autoridade de Certificação, clique com o botão direito do rato em Modelos de Certificado e selecione Gerir para abrir o console Modelos de Certificado.
No console Modelos de Certificado, clique com o botão direito do mouse Servidor RAS e IAS e selecione Modelo Duplicado. Não selecione Aplicar ou OK até terminar de inserir as informações de todas as guias. Algumas opções só podem ser configuradas na criação do modelo; Se você selecionar esses botões antes de inserir todos os parâmetros, não poderá alterá-los, caso contrário, precisará excluir o modelo e recriá-lo.
Na caixa de diálogo Propriedades do Novo Modelo , na guia Geral , em Nome para exibição do modelo, insira Autenticação do Servidor VPN.
Na guia Extensões, conclua as seguintes etapas:
Selecione Políticas de Aplicaçãoe, em seguida, selecione Editar.
Na caixa de diálogo Editar Extensão de Políticas de Aplicativo, selecione Adicionar.
Na caixa de diálogo Adicionar Diretiva de Aplicativo, selecione IKE intermediário de segurança IP e, em seguida, selecione OK.
Selecione OK para retornar à caixa de diálogo Propriedades do Novo Modelo.
Na guia de segurança, conclua as seguintes etapas:
Selecione Adicionar.
Na caixa de diálogo Selecionar Utilizadores, Computadores, Contas de Serviço ou Grupos, digite Servidores VPN e depois selecione OK.
Em Nomes de grupo ou de usuário, selecione Servidores VPN.
Em Permissões para Servidores VPN, selecione Inscrever-se na coluna Permitir.
Em Nomes de grupo ou de utilizador, selecione Servidores RAS e IAS; em seguida, selecione Remover.
Na guia Nome do Assunto, conclua as seguintes etapas:
Selecione Suprimento no Pedido.
Na caixa de diálogo de aviso Modelos de Certificado, selecione OK.
Selecione OK para salvar o modelo de certificado do Servidor VPN.
Feche a consola de Modelos de Certificado.
No painel esquerdo do snap-in Autoridade de Certificação, clique com o botão direito do mouse Modelos de Certificado. Selecione Novo e, em seguida, selecione Modelo de Certificado a Emitir.
Selecione de Autenticação do Servidor VPN e, em seguida, selecione OK.
Reinicie o servidor VPN.
Criar o modelo de autenticação do Servidor NPS
No painel esquerdo do snap-in da Autoridade de Certificação, clique com o botão direito do rato em Modelos de Certificado e selecione Gerir para abrir o console Modelos de Certificado.
No console Modelos de Certificado, clique com o botão direito do mouse Servidor RAS e IAS e selecione Modelo Duplicado. Não selecione Aplicar ou OK até terminar de inserir as informações de todas as guias. Algumas opções só podem ser configuradas na criação do modelo; Se você selecionar esses botões antes de inserir todos os parâmetros, não poderá alterá-los, caso contrário, precisará excluir o modelo e recriá-lo.
Na caixa de diálogo Propriedades do Modelo Novo, no separador Geral, em Nome para exibição do modelo, introduza Autenticação do Servidor NPS .
Na guia de segurança, conclua as seguintes etapas:
Selecione Adicionar.
Na caixa de diálogo Selecionar Utilizadores, Computadores, Contas de Serviço ou Grupos, digite Servidores NPSe, em seguida, selecione OK.
Em Nomes de grupo ou de usuário, selecione Servidores NPS.
Em Permissões para Servidores NPS, selecione Registrar na coluna Permitir.
Em Nomes de grupo ou de utilizador, selecione Servidores RAS e IAS; em seguida, selecione Remover.
Selecione OK para salvar o modelo de certificado do Servidor NPS.
Feche a consola de Modelos de Certificado.
No painel esquerdo do snap-in Autoridade de Certificação, clique com o botão direito do mouse Modelos de Certificado. Selecione Novo e, em seguida, selecione Modelo de Certificado a Emitir.
Selecione de Autenticação do Servidor NPS e, em seguida, selecione OK.
Agora você criou os modelos de certificado necessários para registrar e validar os certificados.
Registrar e validar o certificado de usuário
A Diretiva de Grupo é configurada para registrar automaticamente certificados de usuário, portanto, assim que a política for aplicada a dispositivos cliente Windows, eles registrarão automaticamente a conta de usuário para o certificado correto. Em seguida, você pode validar o certificado no console Certificados no dispositivo local.
Para verificar se a política é aplicada e se o certificado está inscrito:
Entre no dispositivo cliente Windows como o usuário que você criou para o grupo Usuários VPN .
Abra o Prompt de Comando e execute o seguinte comando. Como alternativa, reinicie o dispositivo cliente Windows.
gpupdate /forceNo menu Iniciar, digite certmgr.msce pressione ENTER.
No snap-in Certificados, na secção Pessoal, selecione Certificados. Seus certificados aparecem no painel de detalhes.
Clique com o botão direito do rato no certificado que tem o seu nome de utilizador de domínio atual e, em seguida, selecione Abrir.
Na guia Geral, confirme se a data listada em Válido desde é a data de hoje. Se não estiver, você pode ter selecionado o certificado errado.
Selecione OKe feche o snap-in de Certificados.
Registrar e validar o certificado do servidor VPN
Para registrar o certificado do servidor VPN:
No menu Iniciar do servidor VPN, escreva certlm.msc para abrir o snap-in de Certificados e pressione ENTER.
Clique com o botão direito do rato Pessoal, selecione Todas as Tarefas e, em seguida, selecione Solicitar Novo Certificado para iniciar o Assistente de Registo de Certificados.
Na página Antes de começar, selecione Avançar.
Na página Selecionar Política de Registro de Certificado, selecione Avançar.
Na página Solicitar Certificados, selecione de Autenticação do Servidor VPN.
Na caixa de seleção Servidor VPN, marque Mais informações são necessárias para abrir a caixa de diálogo Propriedades do Certificado.
Selecione a guia Assunto e insira as seguintes informações na seção Nome do assunto :
- Para Tipo selecione Nome comum.
- Para Valor, insira o nome do domínio externo que os clientes usam para se conectar à VPN (por exemplo, vpn.contoso.com).
- Selecione Adicionar.
Selecione OK para fechar Propriedades do Certificado.
Selecione Inscrever-se.
Selecione Concluir.
Para validar o certificado do servidor VPN:
No snap-in Certificados, na secção Pessoal, selecione Certificados. Os certificados listados devem aparecer no painel de detalhes.
Clique com o botão direito do rato no certificado que tem o nome do seu servidor VPN e, em seguida, selecione Abrir.
Na guia Geral, confirme se a data listada em Válido desde é a data de hoje. Se não estiver, você pode ter selecionado o certificado errado.
Na guia Detalhes, selecione Uso Avançado de Chavee verifique se segurança IP intermediário IKE e Autenticação de Servidor são exibidos na lista.
Selecione OK para fechar o certificado.
Registrar e validar o certificado NPS
Para inscrever o certificado NPS:
No menu Iniciar do servidor NPS, digite certlm.msc para abrir o snap-in Certificados e pressione ENTER.
Clique com o botão direito do rato Pessoal, selecione Todas as Tarefas e, em seguida, selecione Solicitar Novo Certificado para iniciar o Assistente de Registo de Certificados.
Na página Antes de começar, selecione Avançar.
Na página Selecionar Política de Registro de Certificado, selecione Avançar.
Na página Solicitar Certificados, selecione Autenticação do Servidor NPS.
Selecione Inscrever-se.
Selecione Concluir.
Para validar o certificado NPS:
No snap-in Certificados, na secção Pessoal, selecione Certificados. Os certificados listados devem aparecer no painel de detalhes.
Clique com o botão direito do rato no certificado que tem o nome do servidor NPS e, em seguida, selecione Abrir.
Na guia Geral, confirme se a data listada em Válido desde é a data de hoje. Se não estiver, você pode ter selecionado o certificado errado.
Selecione OKe feche o snap-in de Certificados.
Próximo passo
Agora que você criou os modelos de certificado e inscreveu os certificados, você pode configurar um dispositivo cliente Windows para usar a conexão VPN Always On.