Поделиться через

Руководство по настройке шаблонов центра сертификации для AlwaysOn VPN

В этом руководстве показано, как настроить шаблоны центра сертификации (ЦС) для развертывания AlwaysOn VPN. Данный материал продолжает серию по развертыванию Always On VPN в образце среды развертывания. Ранее в серии вы развернули образец инфраструктуры.

Шаблоны ЦС используются для выдачи сертификатов VPN-серверу, серверу NPS и пользователям. Сертификаты используются для проверки подлинности VPN-сервера и сервера NPS на клиентах, а также для проверки подлинности пользователей на VPN-сервере.

Изучив это руководство, вы:

  • Создайте шаблон проверки подлинности пользователя.
  • Создайте шаблон проверки подлинности VPN-сервера.
  • Создайте шаблон проверки подлинности сервера NPS.
  • Зарегистрируйте и проверьте сертификат пользователя.
  • Зарегистрируйте и проверьте сертификат VPN-сервера.
  • Зарегистрируйте и проверьте сертификат сервера NPS.

Ниже приведено описание различных шаблонов:

Шаблон Описание
Шаблон проверки подлинности пользователя Этот шаблон используется для выдачи сертификатов пользователей для VPN-клиентов. Сертификат пользователя используется для проверки подлинности пользователя на VPN-сервере.

С помощью шаблона проверки подлинности пользователя можно улучшить безопасность сертификатов, выбрав обновленные уровни совместимости и выбрав поставщика шифрования Microsoft Platform. С помощью поставщика шифрования Microsoft Platform можно использовать доверенный модуль платформы (TPM) на клиентских компьютерах для защиты сертификата. Шаблон пользователя настроен для автоматической регистрации.
Шаблон проверки подлинности VPN-сервера Этот шаблон используется для выдачи сертификата сервера для VPN-сервера. Сертификат сервера используется для проверки подлинности VPN-сервера клиенту.

С помощью шаблона проверки подлинности VPN-сервера добавьте политику промежуточного уровня приложения IKE (IPsec). Политика промежуточного приложения IKE (IPsec) IKE определяет, как можно использовать сертификат, он может разрешить серверу фильтровать сертификаты, если доступно несколько сертификатов. Так как VPN-клиенты подключаются к этому серверу из общедоступного Интернета, имя субъекта и альтернативные имена отличаются от имени внутреннего сервера. В результате сертификат VPN-сервера не настраивается для автоматической регистрации.
Шаблон проверки подлинности сервера NPS Этот шаблон используется для выдачи сертификата сервера для сервера NPS. Сертификат сервера NPS используется для проверки подлинности сервера NPS на VPN-сервере.

С помощью шаблона проверки подлинности сервера NPS вы копируете стандартный шаблон серверов RAS и IAS и настраиваете его область действия для сервера NPS. Новый шаблон сервера NPS включает политику приложения проверки подлинности сервера.

Дополнительные сведения о AlwaysOn VPN, включая поддерживаемые интеграции, функции безопасности и подключения, см. в разделе "Обзор VPN Always On".

Предпосылки

Для выполнения шагов из этого руководства требуется следующее:

  • Чтобы выполнить все действия, описанные в предыдущем руководстве: развертывание инфраструктуры VPN AlwaysOn.

  • Клиентское устройство Windows под управлением поддерживаемой версии Windows для подключения к VPN AlwaysOn, присоединенного к домену Active Directory.

Создание шаблона проверки подлинности пользователя

  1. На сервере с установленными службами сертификатов Active Directory, которые в этом руководстве являются контроллером домена, откройте оснастку центра сертификации.

  2. В левой области щелкните правой кнопкой мыши шаблоны сертификатов и выберите пункт "Управление".

  3. В консоли "Шаблоны сертификатов" щелкните правой кнопкой мыши "Пользователь" и выберите " Дублировать шаблон". Не нажимайте кнопку "Применить " или "ОК ", пока не завершите ввод сведений для всех вкладок. Некоторые варианты можно настроить только при создании шаблона; Если вы выберете эти кнопки перед вводом всех параметров, их нельзя изменить, в противном случае необходимо удалить шаблон и повторно создать его.

  4. В диалоговом окне "Свойства нового шаблона " на вкладке "Общие " выполните следующие действия:

    1. В отображаемом имени шаблона введите проверку подлинности пользователя VPN.

    2. Снимите флажок "Опубликовать сертификат" в Active Directory .

  5. На вкладке "Безопасность" выполните следующие действия:

    1. Выберите Добавить.

    2. В диалоговом окне выбора пользователей, компьютеров, учетных записей служб или групп введите VPN-пользователей, а затем нажмите кнопку "ОК".

    3. В группе или именах пользователей выберите VPN-пользователей.

    4. В разделе "Разрешения для пользователей VPN" установите флажки "Регистрация и автоматическая регистрация " в столбце "Разрешить ".

      Это важно

      Убедитесь, что флажок разрешения на чтение остается установленным. Для регистрации требуются разрешения на чтение.

    5. В группе или именах пользователей выберите " Пользователи домена", а затем нажмите кнопку "Удалить".

  6. На вкладке "Совместимость" выполните следующие действия.

    1. В центре сертификации выберите Windows Server 2016.

    2. В диалоговом окне "Полученные изменения" нажмите кнопку "ОК".

    3. В получателе сертификата выберите Windows 10/Windows Server 2016.

    4. В диалоговом окне "Полученные изменения" нажмите кнопку "ОК".

  7. На вкладке "Обработка запросов " снимите флажок Разрешить экспорт закрытого ключа.

  8. На вкладке "Криптография " выполните следующие действия.

    1. В категории поставщика выберите поставщика хранилища ключей.

    2. Выберите запросы должны использовать одного из следующих поставщиков.

    3. Выберите поставщика шифрования Microsoft Platform и поставщика хранилища ключей программного обеспечения Майкрософт.

  9. На вкладке "Имя субъекта" снимите флажок "Включить имя электронной почты в имя субъекта" и "Имя электронной почты".

  10. Нажмите кнопку "ОК ", чтобы сохранить шаблон сертификата проверки подлинности vpn-пользователей.

  11. Закройте консоль шаблонов сертификатов.

  12. В левой области оснастки Центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите Создать, а затем выберите Шаблон сертификата для выпуска.

  13. Нажмите кнопку " Проверка подлинности пользователей VPN", а затем нажмите кнопку "ОК".

Создание шаблона проверки подлинности VPN-сервера

  1. В левой области оснастки Центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов и выберите Управление, чтобы открыть консоль управления шаблонами сертификатов.

  2. В консоли шаблонов сертификатов щелкните правой кнопкой мыши RAS и сервер IAS и выберите "Дублировать шаблон". Не нажимайте кнопку "Применить " или "ОК ", пока не завершите ввод сведений для всех вкладок. Некоторые варианты можно настроить только при создании шаблона; Если вы выберете эти кнопки перед вводом всех параметров, их нельзя изменить, в противном случае необходимо удалить шаблон и повторно создать его.

  3. В диалоговом окне "Свойства нового шаблона " на вкладке "Общие " в отображаемом имени шаблона введите проверку подлинности VPN-сервера.

  4. На вкладке "Расширения" выполните следующие действия.

    1. Выберите "Политики приложений", а затем нажмите кнопку "Изменить".

    2. В диалоговом окне "Изменение расширений политик приложений " нажмите кнопку "Добавить".

    3. В диалоговом окне "Добавление политики приложений " выберите промежуточный IKE ip-безопасности, а затем нажмите кнопку "ОК".

    4. Нажмите кнопку "ОК ", чтобы вернуться в диалоговое окно "Свойства нового шаблона ".

  5. На вкладке "Безопасность" выполните следующие действия:

    1. Выберите Добавить.

    2. В диалоговом окне выбора пользователей, компьютеров, учетных записей служб или групп введите VPN-серверы, а затем нажмите кнопку "ОК".

    3. В группе или именах пользователей выберите VPN-серверы.

    4. В разделе "Разрешения для VPN-серверов" выберите "Регистрация " в столбце "Разрешить ".

    5. В группе или именах пользователей выберите RAS и серверы IAS, а затем нажмите кнопку "Удалить".

  6. На вкладке "Имя субъекта" выполните следующие действия:

    1. Выберите "Предоставить" в запросе.

    2. В диалоговом окне предупреждения "Шаблоны сертификатов " нажмите кнопку "ОК".

  7. Нажмите кнопку "ОК ", чтобы сохранить шаблон сертификата VPN-сервера.

  8. Закройте консоль шаблонов сертификатов.

  9. В левой области оснастки Центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов. Выберите Новый, а затем выберите Шаблон сертификата для выпуска.

  10. Нажмите кнопку "Проверка подлинности VPN-сервера", а затем нажмите кнопку "ОК".

  11. Перезапустите VPN-сервер.

Создание шаблона проверки подлинности сервера NPS

  1. В левой области оснастки Центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов и выберите Управление, чтобы открыть консоль управления шаблонами сертификатов.

  2. В консоли шаблонов сертификатов щелкните правой кнопкой мыши RAS и сервер IAS и выберите "Дублировать шаблон". Не нажимайте кнопку "Применить " или "ОК ", пока не завершите ввод сведений для всех вкладок. Некоторые варианты можно настроить только при создании шаблона; Если вы выберете эти кнопки перед вводом всех параметров, их нельзя изменить, в противном случае необходимо удалить шаблон и повторно создать его.

  3. В диалоговом окне "Свойства нового шаблона" на вкладке "Общие " в отображаемом имени шаблона введите проверку подлинности сервера NPS.

  4. На вкладке "Безопасность" выполните следующие действия:

    1. Выберите Добавить.

    2. В диалоговом окне выбора пользователей, компьютеров, учетных записей служб или групп введите серверы NPS, а затем нажмите кнопку "ОК".

    3. В группе или именах пользователей выберите NPS-серверы.

    4. В разделе "Разрешения для серверов NPS" выберите "Регистрация " в столбце "Разрешить ".

    5. В группе или именах пользователей выберите RAS и серверы IAS, а затем нажмите кнопку "Удалить".

  5. Нажмите кнопку "ОК ", чтобы сохранить шаблон сертификата сервера NPS.

  6. Закройте консоль шаблонов сертификатов.

  7. В левой области оснастки Центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов. Выберите Новый, а затем выберите Шаблон сертификата для выпуска.

  8. Нажмите кнопку "Проверка подлинности сервера NPS", а затем нажмите кнопку "ОК".

Теперь вы создали шаблоны сертификатов, которые необходимо зарегистрировать и проверить сертификаты.

Регистрация и проверка сертификата пользователя

Групповая политика настроена для автоматической регистрации сертификатов пользователей, поэтому после применения политики к клиентским устройствам Windows они автоматически регистрируют учетную запись пользователя для правильного сертификата. Затем вы можете проверить сертификат в консоли сертификатов на локальном устройстве.

Чтобы проверить, что политика применена и сертификат зарегистрирован:

  1. Войдите на клиентское устройство Windows в качестве пользователя, созданного для группы VPN-пользователей .

  2. Откройте командную строку и выполните следующую команду. Кроме того, перезапустите клиентское устройство Windows.

    gpupdate /force

  3. В меню «Пуск» введите certmgr.msc и нажмите клавишу ENTER.

  4. В оснастке "Сертификаты" в разделе "Личные" выберите "Сертификаты". Ваши сертификаты отображаются в области сведений.

  5. Щелкните правой кнопкой мыши сертификат с текущим именем пользователя домена, а затем нажмите кнопку "Открыть".

  6. На вкладке "Общие" убедитесь, что дата, указанная в разделе "Действительно с", соответствует сегодняшней. Если это не так, возможно, вы выбрали неправильный сертификат.

  7. Нажмите кнопку "ОК" и закройте оснастку "Сертификаты".

Регистрация и проверка сертификата VPN-сервера

Чтобы зарегистрировать сертификат VPN-сервера, выполните следующие действия.

  1. В меню "Пуск" VPN-сервера введите certlm.msc , чтобы открыть оснастку "Сертификаты" и нажмите клавишу ВВОД.

  2. Щелкните правой кнопкой мыши "Личная", выберите " Все задачи ", а затем выберите "Запросить новый сертификат ", чтобы запустить мастер регистрации сертификатов.

  3. На странице "Перед началом работы" нажмите кнопку "Далее".

  4. На странице "Выбор политики регистрации сертификатов" нажмите кнопку "Далее".

  5. На странице "Сертификаты запросов" выберите проверку подлинности VPN-сервера.

  6. В разделе с VPN-сервером установите флажок "Дополнительные сведения ", чтобы открыть диалоговое окно "Свойства сертификата".

  7. Перейдите на вкладку "Тема" и введите следующие сведения в разделе "Имя субъекта ".

    1. В поле "Тип" выберите общее имя.
    2. В поле Value введите имя внешнего домена, который клиенты используют для подключения к VPN (например, vpn.contoso.com).
    3. Выберите Добавить.

  8. Нажмите кнопку "ОК" , чтобы закрыть свойства сертификата.

  9. Выберите Зарегистрировать.

  10. Нажмите Готово.

Чтобы проверить сертификат VPN-сервера, выполните следующие действия.

  1. В оснастке "Сертификаты" в разделе "Личные" выберите "Сертификаты". Перечисленные сертификаты должны отображаться в области подробной информации.

  2. Щелкните правой кнопкой мыши сертификат с именем VPN-сервера и нажмите кнопку "Открыть".

  3. На вкладке "Общие" убедитесь, что дата, указанная в разделе "Действительно с", соответствует сегодняшней. Если это не так, возможно, вы выбрали неправильный сертификат.

  4. На вкладке "Сведения" выберите "Расширенное использование ключей" и убедитесь, что в списке отображается промежуточная проверка подлинности IKE для IP-адресов и серверной проверки подлинности .

  5. Нажмите кнопку "ОК" , чтобы закрыть сертификат.

Регистрация и проверка сертификата NPS

Чтобы зарегистрировать сертификат NPS, выполните следующие действия.

  1. В меню "Пуск" сервера NPS введите certlm.msc , чтобы открыть оснастку "Сертификаты" и нажмите клавишу ВВОД.

  2. Щелкните правой кнопкой мыши "Личная", выберите " Все задачи ", а затем выберите "Запросить новый сертификат ", чтобы запустить мастер регистрации сертификатов.

  3. На странице "Перед началом работы" нажмите кнопку "Далее".

  4. На странице "Выбор политики регистрации сертификатов" нажмите кнопку "Далее".

  5. На странице "Сертификаты запросов" выберите проверку подлинности сервера NPS.

  6. Выберите Зарегистрировать.

  7. Нажмите Готово.

Чтобы проверить сертификат NPS, выполните следующие действия.

  1. В оснастке "Сертификаты" в разделе "Личные" выберите "Сертификаты". Перечисленные сертификаты должны отображаться в области подробной информации.

  2. Щелкните правой кнопкой мыши сертификат с именем сервера NPS и нажмите кнопку "Открыть".

  3. На вкладке "Общие" убедитесь, что дата, указанная в разделе "Действительно с", соответствует сегодняшней. Если это не так, возможно, вы выбрали неправильный сертификат.

  4. Нажмите кнопку "ОК" и закройте оснастку "Сертификаты".

Следующий шаг

Теперь вы создали шаблоны сертификатов и зарегистрировали сертификаты, вы можете настроить клиентское устройство Windows для использования VPN-подключения AlwaysOn.

Руководство. Создание VPN-подключения AlwaysOn для клиентских устройств Windows