Руководство по развертыванию AlwaysOn VPN — настройка шаблонов центра сертификации

  • Статья

В этой части руководства по развертыванию AlwaysOn VPN вы создадите шаблоны сертификатов и зарегистрируйте или проверьте сертификаты для групп Active Directory (AD), созданных в развертывании AlwaysOn VPN, — настройте среду:

Вы создадите следующие шаблоны:

  • Шаблон проверки подлинности пользователя. С помощью шаблона проверки подлинности пользователя можно улучшить безопасность сертификатов, выбрав обновленные уровни совместимости и выбрав поставщика шифрования Microsoft Platform. С помощью поставщика шифрования Microsoft Platform можно использовать доверенный модуль платформы (TPM) на клиентских компьютерах для защиты сертификата. Обзор доверенного платформенного модуля см. в разделе "Общие сведения о технологии доверенной платформы". Шаблон пользователя будет настроен для автоматической регистрации.

  • Шаблон проверки подлинности VPN-сервера. С помощью шаблона проверки подлинности VPN-сервера вы добавите политику промежуточного приложения IKE (IPsec). Политика промежуточного приложения IKE (IPsec) IKE определяет, как можно использовать сертификат, он может разрешить серверу фильтровать сертификаты, если доступно несколько сертификатов. Так как VPN-клиенты обращаются к этому серверу из общедоступного Интернета, субъекты и альтернативные имена отличаются от имени внутреннего сервера. В результате вы не настроите сертификат VPN-сервера для автоматической регистрации.

  • Шаблон проверки подлинности сервера NPS. С помощью шаблона проверки подлинности сервера NPS вы скопируете стандартный шаблон RAS и серверов IAS и область его для сервера NPS. Новый шаблон сервера NPS включает политику приложения проверки подлинности сервера.

Необходимые компоненты

  1. Завершение развертывания AlwaysOn VPN — настройка среды.

Создание шаблона проверки подлинности пользователя

  1. На сервере ЦС, который в этом руководстве является контроллером домена, откройте оснастку центра сертификации.

  2. В левой области щелкните правой кнопкой мыши шаблоны сертификатов и выберите пункт "Управление".

  3. В консоли "Шаблоны сертификатов" щелкните правой кнопкой мыши "Пользователь" и выберите " Дублировать шаблон".

    Предупреждение

    Не нажимайте кнопку "Применить" или "ОК", пока не завершите ввод сведений для всех вкладок. Некоторые варианты можно настроить только при создании шаблона, если вы выберете эти кнопки перед вводом всех параметров, их нельзя изменить. Например, на вкладке криптографии, если в поле "Категория поставщика" отображается устаревшая криптографическая служба хранилища, она становится отключенной, предотвращая дальнейшие изменения. Единственной альтернативой является удаление шаблона и его повторное создание.

  4. В диалоговом окне "Свойства нового шаблона" на вкладке "Общие " выполните следующие действия:

    1. В отображаемом имени шаблона введите проверку подлинности ПОЛЬЗОВАТЕЛЯ VPN.

    2. Снимите сертификат публикации в проверка Active Directory.

  5. На вкладке "Безопасность" выполните следующие действия:

    1. Выберите Добавить.

    2. В диалоговом окне выбора пользователей, компьютеров, учетных записей служб или групп введите VPN-пользователей, а затем нажмите кнопку "ОК".

    3. В группе или именах пользователей выберите VPN-пользователей.

    4. В разделе "Разрешения для ПОЛЬЗОВАТЕЛЕй VPN" выберите поля проверка "Регистрация и автоматическая регистрация" в столбце "Разрешить".

      Внимание

      Убедитесь, что выбрано проверка разрешение на чтение. Вам потребуются разрешения на чтение для регистрации.

    5. В группе или именах пользователей выберите "Пользователи домена", а затем нажмите кнопку "Удалить".

  6. На вкладке "Совместимость" выполните следующие действия.

    1. В центре сертификации выберите Windows Server 2016.

    2. В диалоговом окне "Полученные изменения" нажмите кнопку "ОК".

    3. В получателе сертификата выберите Windows 10/Windows Server 2016.

    4. В диалоговом окне "Полученные изменения" нажмите кнопку "ОК".

  7. На вкладке "Обработка запросов" снимите флажок Разрешить экспорт закрытого ключа.

  8. На вкладке "Криптография " выполните следующие действия.

    1. В категории поставщика выберите "Ключ служба хранилища поставщик".

    2. Выбор запросов должен использовать один из следующих поставщиков.

    3. Выберите поставщика шифрования платформы Майкрософт и служба хранилища поставщика программного обеспечения Майкрософт.

  9. На вкладке "Имя субъекта" снимите флажок "Включить имя электронной почты" в имя субъекта и имя электронной почты.

  10. Нажмите кнопку "ОК ", чтобы сохранить шаблон сертификата проверки подлинности vpn-пользователей.

  11. Закройте консоль шаблонов сертификатов.

  12. В левой области оснастки центра сертификации щелкните правой кнопкой мыши шаблоны сертификатов, выберите "Создать", а затем выберите шаблон сертификата для проблемы.

  13. Нажмите кнопку "Проверка подлинности пользователей VPN", а затем нажмите кнопку "ОК".

Создание шаблона проверки подлинности VPN-сервера

  1. В левой области оснастки центра сертификации щелкните правой кнопкой мыши шаблоны сертификатов и выберите "Управление", чтобы открыть консоль "Шаблоны сертификатов".

  2. В консоли шаблонов сертификатов щелкните правой кнопкой мыши RAS и сервер IAS и выберите "Дублировать шаблон".

    Предупреждение

    Не нажимайте кнопку "Применить" или "ОК", пока не завершите ввод сведений для всех вкладок. Некоторые варианты можно настроить только при создании шаблона, если вы выберете эти кнопки перед вводом всех параметров, их нельзя изменить. Например, на вкладке криптографии, если в поле "Категория поставщика" отображается устаревшая криптографическая служба хранилища, она становится отключенной, предотвращая дальнейшие изменения. Единственной альтернативой является удаление шаблона и его повторное создание.

  3. В диалоговом окне "Свойства нового шаблона" на вкладке "Общие " в отображаемом имени шаблона введите проверку подлинности VPN-сервера.

  4. На вкладке "Расширения" выполните следующие действия.

    1. Выберите "Политики приложений", а затем нажмите кнопку "Изменить".

    2. В диалоговом окне "Изменение расширений политик приложений" нажмите кнопку "Добавить".

    3. В диалоговом окне "Добавление политики приложений" выберите промежуточный IKE ip-безопасности, а затем нажмите кнопку "ОК".

    4. Нажмите кнопку "ОК ", чтобы вернуться в диалоговое окно "Свойства нового шаблона ".

  5. На вкладке "Безопасность" выполните следующие действия:

    1. Выберите Добавить.

    2. В диалоговом окне выбора пользователей, компьютеров, учетных записей служб или групп введите VPN-серверы, а затем нажмите кнопку "ОК".

    3. В группе или именах пользователей выберите VPN-серверы.

    4. В разделе "Разрешения для VPN-серверов" выберите "Регистрация " в столбце "Разрешить ".

    5. В группе или именах пользователей выберите RAS и серверы IAS, а затем нажмите кнопку "Удалить".

  6. На вкладке "Имя субъекта" выполните следующие действия:

    1. Выберите "Предоставить" в запросе.

    2. В диалоговом окне предупреждения "Шаблоны сертификатов" нажмите кнопку "ОК".

  7. Нажмите кнопку "ОК ", чтобы сохранить шаблон сертификата VPN-сервера.

  8. Закройте консоль шаблонов сертификатов.

  9. В левой области оснастки центра сертификации щелкните правой кнопкой мыши шаблоны сертификатов. Выберите "Создать ", а затем выберите шаблон сертификата для проблемы.

  10. Нажмите кнопку "Проверка подлинности VPN-сервера", а затем нажмите кнопку "ОК".

  11. Перезагрузите VPN-сервер.

Создание шаблона проверки подлинности сервера NPS

  1. В левой области оснастки центра сертификации щелкните правой кнопкой мыши шаблоны сертификатов и выберите "Управление", чтобы открыть консоль "Шаблоны сертификатов".

  2. В консоли шаблонов сертификатов щелкните правой кнопкой мыши RAS и сервер IAS и выберите "Дублировать шаблон".

    Предупреждение

    Не нажимайте кнопку "Применить" или "ОК", пока не завершите ввод сведений для всех вкладок. Некоторые варианты можно настроить только при создании шаблона, если вы выберете эти кнопки перед вводом всех параметров, их нельзя изменить. Например, на вкладке криптографии, если в поле "Категория поставщика" отображается устаревшая криптографическая служба хранилища, она становится отключенной, предотвращая дальнейшие изменения. Единственной альтернативой является удаление шаблона и его повторное создание.

  3. В диалоговом окне "Свойства нового шаблона" на вкладке "Общие" в отображаемом имени шаблона введите проверку подлинности сервера NPS.

  4. На вкладке "Безопасность" выполните следующие действия:

    1. Выберите Добавить.

    2. В диалоговом окне выбора пользователей, компьютеров, учетных записей служб или групп введите серверы NPS, а затем нажмите кнопку "ОК".

    3. В группе или именах пользователей выберите NPS-серверы.

    4. В разделе "Разрешения для серверов NPS" выберите "Регистрация " в столбце "Разрешить ".

    5. В группе или именах пользователей выберите RAS и серверы IAS, а затем нажмите кнопку "Удалить".

  5. Нажмите кнопку "ОК ", чтобы сохранить шаблон сертификата сервера NPS.

  6. Закройте консоль шаблонов сертификатов.

  7. В левой области оснастки центра сертификации щелкните правой кнопкой мыши шаблоны сертификатов. Выберите "Создать ", а затем выберите шаблон сертификата для проблемы.

  8. Нажмите кнопку "Проверка подлинности сервера NPS", а затем нажмите кнопку "ОК".

Регистрация и проверка сертификата пользователя

Так как вы используете групповую политику для автоматической регистрации сертификатов пользователей, необходимо обновить политику, а Windows 10 автоматически зарегистрирует учетную запись пользователя для правильного сертификата. Затем вы можете проверить сертификат в консоли сертификатов.

Чтобы проверить сертификат пользователя, выполните следующие действия.

  1. Войдите в VPN-клиент Windows в качестве пользователя, созданного для группы "Пользователи VPN".

  2. Нажмите клавишу Windows + R, введите gpupdate /force и нажмите клавишу ВВОД.

  3. В меню введите certmgr.msc и нажмите клавишу ВВОД.

  4. В оснастке "Сертификаты" в разделе "Личные" выберите "Сертификаты". Сертификаты отображаются в области сведений.

  5. Щелкните правой кнопкой мыши сертификат с текущим именем пользователя домена, а затем нажмите кнопку "Открыть".

  6. На вкладке "Общие " убедитесь, что дата, указанная в разделе "Допустимый" с сегодняшней даты. Если это не так, возможно, вы выбрали неправильный сертификат.

  7. Нажмите кнопку "ОК" и закройте оснастку "Сертификаты".

Регистрация и проверка сертификата VPN-сервера

В отличие от сертификата пользователя, необходимо вручную зарегистрировать сертификат VPN-сервера.

Чтобы зарегистрировать сертификат VPN-сервера, выполните следующие действия.

  1. На меню VPN-сервера введите certlm.msc, чтобы открыть оснастку "Сертификаты" и нажмите клавишу ВВОД.

  2. Щелкните правой кнопкой мыши "Личная", выберите "Все задачи ", а затем выберите "Запросить новый сертификат ", чтобы запустить мастер регистрации сертификатов.

  3. На странице "Перед началом работы" нажмите кнопку "Далее".

  4. На странице "Выбор политики регистрации сертификатов" нажмите кнопку "Далее".

  5. На странице "Сертификаты запросов" выберите проверку подлинности VPN-сервера.

  6. В поле проверка VPN-сервера выберите дополнительные сведения, необходимые для открытия диалогового окна "Свойства сертификата".

  7. Выберите вкладку "Тема" и введите следующие сведения:

    В разделе "Имя субъекта":

    1. В поле "Тип" выберите общее имя.
    2. В поле Value введите имя внешнего домена, который клиенты используют для подключения к VPN (например, vpn.contoso.com).
    3. Выберите Добавить.

  8. Нажмите кнопку "ОК" , чтобы закрыть свойства сертификата.

  9. Выберите Зарегистрировать.

  10. Выберите Готово.

Чтобы проверить сертификат VPN-сервера, выполните следующие действия.

  1. В оснастке "Сертификаты" в разделе "Личные" выберите "Сертификаты".

    Перечисленные сертификаты должны отображаться в области сведений.

  2. Щелкните правой кнопкой мыши сертификат с именем VPN-сервера и нажмите кнопку "Открыть".

  3. На вкладке "Общие " убедитесь, что дата, указанная в разделе "Допустимый" с сегодняшней даты. Если это не так, возможно, вы выбрали неправильный сертификат.

  4. На вкладке "Сведения" выберите "Расширенное использование ключей" и убедитесь, что в списке отображается промежуточная проверка подлинности IKE для IP-адресов и серверной проверки подлинности .

  5. Нажмите кнопку "ОК" , чтобы закрыть сертификат.

Регистрация и проверка сертификата NPS

Так как вы используете групповую политику для автоматической регистрации сертификатов NPS, необходимо обновить политику, а Windows Server автоматически зарегистрирует сервер NPS для правильного сертификата. Затем вы можете проверить сертификат в консоли сертификатов.

Чтобы зарегистрировать сертификат NPS, выполните следующие действия.

  1. На меню сервера NPS введите certlm.msc, чтобы открыть оснастку "Сертификаты" и нажмите клавишу ВВОД.

  2. Щелкните правой кнопкой мыши "Личная", выберите "Все задачи ", а затем выберите "Запросить новый сертификат ", чтобы запустить мастер регистрации сертификатов.

  3. На странице "Перед началом работы" нажмите кнопку "Далее".

  4. На странице "Выбор политики регистрации сертификатов" нажмите кнопку "Далее".

  5. На странице "Сертификаты запросов" выберите проверку подлинности сервера NPS.

  6. Выберите Зарегистрировать.

  7. Выберите Готово.

Чтобы проверить сертификат NPS, выполните следующие действия.

  1. В оснастке "Сертификаты" в разделе "Личные" выберите "Сертификаты".

    Перечисленные сертификаты должны отображаться в области сведений.

  2. Щелкните правой кнопкой мыши сертификат с именем сервера NPS и нажмите кнопку "Открыть".

  3. На вкладке "Общие " убедитесь, что дата, указанная в разделе "Допустимый" с сегодняшней даты. Если это не так, возможно, вы выбрали неправильный сертификат.

  4. Нажмите кнопку "ОК" и закройте оснастку "Сертификаты".

Следующие шаги