Руководство по развертыванию Always On VPN — настройка шаблонов центра сертификации

• Предыдущие: 1. Настройка инфраструктуры для Always On VPN
• Далее: 3. Настройка профиля VPN Always On для клиентов Windows 10 и более поздних версий

В этой части руководства по развертыванию Always On VPN вы создадите шаблоны сертификатов и зарегистрируете или проверите сертификаты для групп Active Directory (AD), созданных в разделе Развертывание Always On VPN — настройка среды:

Вы создадите следующие шаблоны:

• Шаблон проверки подлинности пользователя. С помощью шаблона проверки подлинности пользователя можно повысить безопасность сертификатов, выбрав обновленные уровни совместимости и выбрав поставщика шифрования платформы Майкрософт. Поставщик шифрования платформы Майкрософт позволяет использовать доверенный платформенный модуль (TPM) на клиентских компьютерах для защиты сертификата. Обзор доверенного платформенного модуля см. в статье Общие сведения о технологии доверенного платформенного модуля. Шаблон пользователя будет настроен для автоматической регистрации.

• Шаблон проверки подлинности VPN-сервера. С помощью шаблона проверки подлинности VPN-сервера вы добавите политику промежуточного приложения IKE IKE security (IPsec). Политика промежуточного приложения IKE IKE ip security (IPsec) определяет, как можно использовать сертификат. Она позволяет серверу фильтровать сертификаты, если доступно несколько сертификатов. Так как VPN-клиенты обращаются к этому серверу из общедоступного Интернета, имена субъекта и альтернативные имена отличаются от имени внутреннего сервера. В результате вы не настроите сертификат VPN-сервера для автоматической регистрации.

• Шаблон проверки подлинности сервера NPS. С помощью шаблона проверки подлинности NPS-сервера вы скопируете стандартный шаблон серверов RAS и IAS и область его для NPS-сервера. Новый шаблон сервера NPS включает политику приложения проверки подлинности сервера.

Предварительные требования

1. Завершите развертывание Always On VPN — настройка среды.

Создание шаблона проверки подлинности пользователя

1. На сервере ЦС, который в этом руководстве является контроллером домена, откройте оснастку Центра сертификации.

2. В левой области щелкните правой кнопкой мыши Шаблоны сертификатов и выберите Управление.

3. В консоли Шаблоны сертификатов щелкните правой кнопкой мыши Пользователь и выберите Дублировать шаблон.

   Предупреждение

   Не нажимайте кнопку Применить или ОК , пока не завершите ввод сведений для всех вкладок. Некоторые варианты можно настроить только при создании шаблона. Если щелкнуть эти кнопки перед вводом ВСЕХ параметров, их нельзя изменить. Например, на вкладке Криптография , если в поле Категория поставщика отображается устаревший поставщик криптографических хранилищ , он отключается, что предотвращает дальнейшие изменения. Единственной альтернативой является удаление шаблона и его повторное создание.

4. В диалоговом окне Свойства нового шаблона на вкладке Общие выполните следующие действия.

   1. В поле Отображаемое имя шаблона введите ПРОВЕРКА подлинности пользователя VPN.

   2. Снимите флажок Опубликовать сертификат в Active Directory проверка.

5. На вкладке Безопасность выполните следующие действия.

   1. Выберите Добавить.

   2. В диалоговом окне Выбор пользователей, компьютеров, учетных записей служб или групп введите Пользователи VPN, а затем нажмите кнопку ОК.

   3. В разделе Имена групп или пользователей выберите Пользователи VPN.

   4. В разделе Разрешения для пользователей VPN выберите поля Регистрация и автоматическая регистрация проверка в столбце Разрешить.

      Важно!

      Не забудьте установить флажок Проверка разрешения на чтение. Для регистрации вам потребуются разрешения на чтение.

   5. В разделе Имена групп или пользователей выберите Пользователи домена, а затем нажмите кнопку Удалить.

6. На вкладке Совместимость выполните следующие действия.

   1. В центре сертификации выберите Windows Server 2016.

   2. В диалоговом окне Результирующие изменения нажмите кнопку ОК.

   3. В поле Получатель сертификата выберите Windows 10/Windows Server 2016.

   4. В диалоговом окне Результирующие изменения нажмите кнопку ОК.

7. На вкладке Обработка запросов снимите флажок Разрешить экспорт закрытого ключа .

8. На вкладке Шифрование выполните следующие действия.

   1. В разделе Категория поставщика выберите Поставщик хранилища ключей.

   2. Выберите Запросы должны использовать один из следующих поставщиков.

   3. Выберите поставщик шифрования платформы Майкрософт и поставщик хранилища ключей программного обеспечения Майкрософт.

9. На вкладке Имя субъекта снимите флажки Включить имя электронной почты в имя субъекта и Имя электронной почты .

10. Нажмите кнопку ОК , чтобы сохранить шаблон сертификата проверки подлинности пользователей VPN.

11. Закройте консоль Шаблоны сертификатов.

12. В левой области оснастки центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите Создать , а затем выберите Шаблон сертификата для выдачи.

13. Выберите Vpn User Authentication (Проверка подлинности пользователей VPN), а затем нажмите кнопку ОК.

Создание шаблона проверки подлинности VPN-сервера

1. В левой области оснастки центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов и выберите Управление , чтобы открыть консоль Шаблоны сертификатов.

2. В консоли Шаблоны сертификатов щелкните правой кнопкой мыши RAS и IAS-сервер и выберите Дублировать шаблон.

   Предупреждение

   Не нажимайте кнопку Применить или ОК , пока не завершите ввод сведений для всех вкладок. Некоторые варианты можно настроить только при создании шаблона. Если щелкнуть эти кнопки перед вводом ВСЕХ параметров, их нельзя изменить. Например, на вкладке Криптография , если в поле Категория поставщика отображается устаревший поставщик криптографических хранилищ , он отключается, что предотвращает дальнейшие изменения. Единственной альтернативой является удаление шаблона и его повторное создание.

3. В диалоговом окне Свойства нового шаблона на вкладке Общие в поле Отображаемое имя шаблона введите Проверка подлинности VPN-сервера.

4. На вкладке Расширения выполните следующие действия.

   1. Выберите Политики приложений, а затем — Изменить.

   2. В диалоговом окне Изменение расширения политик приложений выберите Добавить.

   3. В диалоговом окне Добавление политики приложений выберите Промежуточный IKE ip-безопасности, а затем нажмите кнопку ОК.

   4. Нажмите кнопку ОК , чтобы вернуться в диалоговое окно Свойства нового шаблона .

5. На вкладке Безопасность выполните следующие действия.

   1. Выберите Добавить.

   2. В диалоговом окне Выбор пользователей, компьютеров, учетных записей служб или групп введите VPN-серверы, а затем нажмите кнопку ОК.

   3. В разделе Имена групп или пользователей выберите VPN-серверы.

   4. В разделе Разрешения для VPN-серверов выберите Регистрация в столбце Разрешить .

   5. В разделе Имена групп или пользователей выберите СЕРВЕРЫ RAS и IAS, а затем нажмите кнопку Удалить.

6. На вкладке Имя субъекта выполните следующие действия.

   1. В запросе выберите Пункт Предоставить.

   2. В диалоговом окне Предупреждение Шаблоны сертификатов нажмите кнопку ОК.

7. Нажмите кнопку ОК , чтобы сохранить шаблон сертификата VPN-сервера.

8. Закройте консоль Шаблоны сертификатов.

9. В левой области оснастки центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов. Выберите Создать, а затем выберите Шаблон сертификата для выдачи.

10. Выберите Проверка подлинности VPN-сервера, а затем нажмите кнопку ОК.

11. Перезагрузите VPN-сервер.

Создание шаблона проверки подлинности NPS-сервера

1. В левой области оснастки центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов и выберите Управление , чтобы открыть консоль Шаблоны сертификатов.

2. В консоли Шаблоны сертификатов щелкните правой кнопкой мыши RAS и IAS-сервер и выберите Дублировать шаблон.

   Предупреждение

   Не нажимайте кнопку Применить или ОК , пока не завершите ввод сведений для всех вкладок. Некоторые варианты можно настроить только при создании шаблона. Если щелкнуть эти кнопки перед вводом ВСЕХ параметров, их нельзя изменить. Например, на вкладке Криптография , если в поле Категория поставщика отображается устаревший поставщик криптографических хранилищ , он отключается, что предотвращает дальнейшие изменения. Единственной альтернативой является удаление шаблона и его повторное создание.

3. В диалоговом окне Свойства нового шаблона на вкладке Общие в поле Отображаемое имя шаблона введите Проверка подлинности NPS-сервера.

4. На вкладке Безопасность выполните следующие действия.

   1. Выберите Добавить.

   2. В диалоговом окне Выбор пользователей, компьютеров, учетных записей служб или групп введите NPS-серверы, а затем нажмите кнопку ОК.

   3. В разделе Имена групп или пользователей выберите NPS-серверы.

   4. В разделе Разрешения для NPS-серверов выберите Регистрация в столбце Разрешить .

   5. В разделе Имена групп или пользователей выберите СЕРВЕРЫ RAS и IAS, а затем нажмите кнопку Удалить.

5. Нажмите кнопку ОК , чтобы сохранить шаблон сертификата NPS-сервера.

6. Закройте консоль Шаблоны сертификатов.

7. В левой области оснастки центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов. Выберите Создать, а затем выберите Шаблон сертификата для выдачи.

8. Выберите Проверка подлинности NPS-сервера, а затем нажмите кнопку ОК.

Регистрация и проверка сертификата пользователя

Так как вы используете групповая политика для автоматической регистрации сертификатов пользователей, необходимо только обновить политику, и Windows 10 автоматически зарегистрирует учетную запись пользователя для правильного сертификата. Затем сертификат можно проверить в консоли Сертификаты.

Чтобы проверить сертификат пользователя, выполните следующие действия.

1. Войдите в VPN-клиент Windows в качестве пользователя, созданного для группы "Пользователи VPN ".

2. Нажмите клавиши Windows + R, введите gpupdate /force и нажмите клавишу ВВОД.

3. В меню Пуск введите certmgr.msc и нажмите клавишу ВВОД.

4. В оснастке Сертификаты в разделе Личные выберите Сертификаты. Ваши сертификаты отображаются в области сведений.

5. Щелкните правой кнопкой мыши сертификат с текущим именем пользователя домена, а затем выберите Открыть.

6. На вкладке Общие убедитесь, что дата, указанная в разделе Допустимая из , является текущей датой. Если это не так, возможно, вы выбрали неправильный сертификат.

7. Нажмите кнопку ОК и закройте оснастку Сертификаты.

Регистрация и проверка сертификата VPN-сервера

В отличие от сертификата пользователя, необходимо вручную зарегистрировать сертификат VPN-сервера.

Чтобы зарегистрировать сертификат VPN-сервера, выполните следующие действия.

1. В меню Пуск VPN-сервера введите certlm.msc , чтобы открыть оснастку Сертификаты, и нажмите клавишу ВВОД.

2. Щелкните правой кнопкой мыши Личный, выберите Все задачи , а затем — Запросить новый сертификат , чтобы запустить мастер регистрации сертификатов.

3. На странице Перед началом работы нажмите кнопку Далее.

4. На странице Выбор политики регистрации сертификатов нажмите кнопку Далее.

5. На странице Запрос сертификатов выберите Проверка подлинности VPN-сервера.

6. В поле ПРОВЕРКА VPN-сервер выберите Дополнительные сведения, необходимые для открытия диалогового окна Свойства сертификата.

7. Перейдите на вкладку Тема и введите следующие сведения:

   В разделе Имя субъекта :

   1. В поле Тип выберите Общее имя.
   2. В поле Значение введите имя внешнего домена, который клиенты используют для подключения к VPN (например, vpn.contoso.com).
   3. Выберите Добавить.

8. Нажмите кнопку ОК , чтобы закрыть свойства сертификата.

9. Выберите Зарегистрировать.

10. Нажмите кнопку Завершить.

Чтобы проверить сертификат VPN-сервера, выполните следующие действия.

1. В оснастке Сертификаты в разделе Личные выберите Сертификаты.

   Перечисленные сертификаты должны появиться в области сведений.

2. Щелкните правой кнопкой мыши сертификат с именем VPN-сервера, а затем выберите Открыть.

3. На вкладке Общие убедитесь, что дата, указанная в разделе Допустимая из , является текущей датой. Если это не так, возможно, вы выбрали неправильный сертификат.

4. На вкладке Сведения выберите Расширенное использование ключа и убедитесь, что в списке отображаются промежуточные значения IKE для защиты IP-адресов и проверка подлинности сервера .

5. Нажмите кнопку ОК , чтобы закрыть сертификат.

Регистрация и проверка сертификата NPS

Так как вы используете групповая политика для автоматической регистрации сертификатов NPS, необходимо только обновить политику, и Windows Server автоматически зарегистрирует NPS-сервер для правильного сертификата. Затем сертификат можно проверить в консоли Сертификаты.

Чтобы зарегистрировать сертификат NPS, выполните следующие действия.

1. В меню Пуск NPS-сервера введите certlm.msc , чтобы открыть оснастку Сертификаты, и нажмите клавишу ВВОД.

2. Щелкните правой кнопкой мыши Личный, выберите Все задачи , а затем — Запросить новый сертификат , чтобы запустить мастер регистрации сертификатов.

3. На странице Перед началом работы нажмите кнопку Далее.

4. На странице Выбор политики регистрации сертификатов нажмите кнопку Далее.

5. На странице Запрос сертификатов выберите Проверка подлинности сервера NPS.

6. Выберите Зарегистрировать.

7. Нажмите кнопку Завершить.

Чтобы проверить сертификат NPS, выполните следующие действия.

1. В оснастке Сертификаты в разделе Личные выберите Сертификаты.

   Перечисленные сертификаты должны появиться в области сведений.

2. Щелкните правой кнопкой мыши сертификат с именем сервера NPS и выберите Открыть.

3. На вкладке Общие убедитесь, что дата, указанная в разделе Допустимая из , является текущей датой. Если это не так, возможно, вы выбрали неправильный сертификат.

4. Нажмите кнопку ОК и закройте оснастку Сертификаты.

Дальнейшие действия

• Руководство по развертыванию Always On VPN. Настройка VPN-подключений клиента Windows Always On

• Устранение неполадок постоянно подключенного VPN-профиля