共用方式為

教學課程:設定 AlwaysOn VPN 的證書頒發機構單位範本

本教學課程說明如何設定 AlwaysOn VPN 部署的證書頒發機構單位 (CA) 範本。 它繼續系列,以在範例環境中部署 Always On VPN。 先前在系列中,您已 部署範例基礎結構

CA 範本可用來向 VPN 伺服器、NPS 伺服器和使用者發出憑證。 憑證可用來向客戶端驗證 VPN 伺服器和 NPS 伺服器,以及向 VPN 伺服器驗證使用者。

在本教學課程中,您會:

  • 建立使用者驗證範本。
  • 建立 VPN 伺服器驗證範本。
  • 建立 NPS 伺服器驗證範本。
  • 註冊並驗證用戶憑證。
  • 註冊並驗證 VPN 伺服器證書。
  • 註冊並驗證 NPS 伺服器證書。

以下是不同範本的描述:

Template Description
使用者驗證範本 此範本可用來發行 VPN 用戶端的用戶憑證。 用戶憑證可用來向 VPN 伺服器驗證使用者。

透過使用者驗證範本,您可以選取升級的相容性層級並選擇 Microsoft 平臺密碼編譯提供者,以改善憑證安全性。 透過 Microsoft 平臺密碼編譯提供者,您可以在用戶端電腦上使用 信任的平台模組 (TPM) 來保護憑證。 用戶範本已設定為自動註冊。
VPN 伺服器驗證範本 此範本可用來發行 VPN 伺服器的伺服器證書。 伺服器證書可用來向客戶端驗證 VPN 伺服器。

使用 VPN 伺服器驗證範本,您可以新增 IP 安全性 (IPsec) IKE 中繼應用程式原則。 IP 安全性 (IPsec) IKE 中繼應用程式原則會決定如何使用憑證,如果有多個憑證可用,它可讓伺服器篩選憑證。 因為 VPN 用戶端會從公用因特網存取此伺服器,因此主體和替代名稱與內部伺服器名稱不同。 因此,您不會設定 VPN 伺服器證書以進行自動註冊。
NPS 伺服器驗證範本 此範本可用來發行 NPS 伺服器的伺服器證書。 NPS 伺服器證書可用來向 VPN 伺服器驗證 NPS 伺服器。

使用 NPS 伺服器驗證範本,您可以複製標準 RAS 和 IAS 伺服器範本,並將其範圍設定為 NPS 伺服器。 新的 NPS 伺服器範本包含伺服器驗證應用程式原則。

若要深入瞭解 AlwaysOn VPN,包括支援的整合、安全性和連線功能,請參閱 AlwaysOn VPN 概觀

Prerequisites

若要完成本教學課程中的步驟,您需要:

  • 若要完成上一個教學課程中的所有步驟: 部署 AlwaysOn VPN 基礎結構

  • 執行已支援版本 Windows 的 Windows 用戶端裝置,用於連線至 Always On VPN,且已加入 Active Directory 網域。

建立使用者驗證範本

  1. 在安裝了 Active Directory 憑證服務的伺服器上,該伺服器在本教程中作為域控制器,請開啟證書頒發機構管理器。

  2. 在左窗格中,以滑鼠右鍵按一下 憑證範本 ,然後選取 管理

  3. 在憑證範本主控台中,以滑鼠右鍵按一下 使用者 ,然後選取 複製範本。 在您完成輸入所有索引標籤的資訊之前,請勿選取 [套用 ] 或 [確定 ]。 某些選擇只能在範本建立時進行設定;如果您在輸入所有參數之前選取這些按鈕,則無法加以變更,否則您必須刪除範本並重新建立它。

  4. 在「 新範本 的內容」對話方塊的「 一般 」頁籤上,完成下列步驟:

    1. [範本顯示名稱] 中,輸入 VPN 使用者驗證

    2. 清除 [ Active Directory 中的發佈憑證 ] 複選框。

  5. [安全性 ] 索引標籤上,完成下列步驟:

    1. 選取 ,然後新增

    2. 在 [選取使用者、電腦、服務帳戶或群組] 對話方塊中,輸入 VPN 使用者,然後選取 [ 確定]。

    3. [群組或使用者名稱] 中,選取 [ VPN 使用者]。

    4. 在 [VPN 使用者的許可權] 中,選取 [允許] 數據行中的 [註冊自動註冊] 複選框。

      Important

      請務必保持 選取 [讀取 權限] 核取方塊。 您需要擁有閱讀權限才能進行註冊。

    5. [群組或用戶名稱] 中,選取 [ 網域使用者],然後選取 [ 移除]。

  6. 相容性 索引標籤上,完成下列步驟:

    1. [憑證授權單位] 中,選取 [Windows Server 2016]。

    2. [產生的變更] 對話方塊中,選取 [ 確定]。

    3. [憑證收件者] 中,選取 [Windows 10/Windows Server 2016]。

    4. [產生的變更] 對話方塊中,選取 [ 確定]。

  7. [要求處理] 索引標籤上,清除 [允許匯出私密金鑰]。

  8. 密碼編譯 索引標籤上,完成下列步驟:

    1. [提供者類別] 中,選取 [金鑰儲存體提供者]。

    2. 選擇 要求必須使用以下其中一個提供者

    3. 選取 Microsoft平臺密碼編譯提供者Microsoft軟體密鑰儲存提供者

  9. 主旨名稱 索引標籤上,清除在 主旨名稱中包含電子郵件名稱電子郵件名稱

  10. 選取 [ 確定 ] 以儲存 VPN 使用者驗證憑證範本。

  11. 關閉證書範本主控台。

  12. 在 [憑證授權單位管理單元] 的左窗格中,以滑鼠右鍵按一下 [憑證範本],選取 [ 新增 ],然後選取 [要發行的憑證範本]。

  13. 選取 [VPN 使用者驗證],然後選取 [ 確定]。

建立 VPN 伺服器驗證範本

  1. 在憑證授權單位管理單元的左窗格中,以滑鼠右鍵按一下 [憑證範本 ],然後選取 [管理] 以開啟 [憑證範本] 主控台。

  2. 在 [證書範本] 控制台中,以滑鼠右鍵按兩下 [RAS] 和 [IAS 伺服器 ],然後選取 [ 複製範本]。 在您完成輸入所有索引標籤的資訊之前,請勿選取 [套用 ] 或 [確定 ]。 某些選擇只能在範本建立時進行設定;如果您在輸入所有參數之前選取這些按鈕,則無法加以變更,否則您必須刪除範本並重新建立它。

  3. 在 [ 新增範本 的屬性] 對話方塊的 [ 一般 ] 索引標籤的 [範本顯示名稱] 中,輸入 VPN Server 驗證

  4. 延伸模組 索引標籤上,完成下列步驟:

    1. 選取 [應用程式原則],然後選取 [編輯]。

    2. 在 [ 編輯應用程式原則擴充功能] 對話框中,選取 [ 新增]。

    3. 在 [ 新增應用程式原則] 對話框中,選取 [IP 安全性 IKE 中繼],然後選取 [ 確定]。

    4. 選取 [確定 ] 以返回 [ 新範本的屬性 ] 對話方塊。

  5. [安全性 ] 索引標籤上,完成下列步驟:

    1. 選取 ,然後新增

    2. 在 [ 選取使用者、計算機、服務帳戶或群組 ] 對話框中,輸入 VPN 伺服器,然後選取 [ 確定]。

    3. [群組或使用者名稱] 中,選取 [VPN 伺服器]。

    4. 在 [VPN 伺服器的許可權] 中,選取 [允許] 資料行中的 [註冊]。

    5. [群組或使用者名稱] 中,選取 [RAS] 和 [IAS 伺服器],然後選取 [ 移除]。

  6. 主體名稱 標籤上,完成下列步驟:

    1. 請求中選取[供應]

    2. [憑證範本 警告] 對話方塊中,選取 [ 確定]。

  7. 選取 [ 確定 ] 以儲存 VPN 伺服器憑證範本。

  8. 關閉證書範本主控台。

  9. 在 [憑證授權單位管理單元] 的左窗格中,以滑鼠右鍵按一下 [憑證範本]。 選取 [ 新增 ],然後選取 [要發行的憑證範本]。

  10. 選取 [VPN 伺服器驗證],然後選取 [ 確定]。

  11. 重新啟動 VPN 伺服器。

建立 NPS 伺服器驗證範本

  1. 在憑證授權單位管理單元的左窗格中,以滑鼠右鍵按一下 [憑證範本 ],然後選取 [管理] 以開啟 [憑證範本] 主控台。

  2. 在 [證書範本] 控制台中,以滑鼠右鍵按兩下 [RAS] 和 [IAS 伺服器 ],然後選取 [ 複製範本]。 在您完成輸入所有索引標籤的資訊之前,請勿選取 [套用 ] 或 [確定 ]。 某些選擇只能在範本建立時進行設定;如果您在輸入所有參數之前選取這些按鈕,則無法加以變更,否則您必須刪除範本並重新建立它。

  3. 在 [新增範本的屬性] 對話方塊的 [ 一般 ] 索引標籤的 [範本顯示名稱] 中,輸入 NPS 伺服器驗證

  4. [安全性 ] 索引標籤上,完成下列步驟:

    1. 選取 ,然後新增

    2. 在 [ 選取使用者、計算機、服務帳戶或群組 ] 對話框中,輸入 NPS 伺服器,然後選取 [ 確定]。

    3. [群組或使用者名稱] 中,選取 [NPS 伺服器]。

    4. NPS 伺服器的許可權 中,選取位於允許欄中的 註冊

    5. [群組或使用者名稱] 中,選取 [RAS] 和 [IAS 伺服器],然後選取 [ 移除]。

  5. 選取 [ 確定 ] 以儲存 NPS 伺服器憑證範本。

  6. 關閉證書範本主控台。

  7. 在 [憑證授權單位管理單元] 的左窗格中,以滑鼠右鍵按一下 [憑證範本]。 選取 [ 新增 ],然後選取 [要發行的憑證範本]。

  8. 選取 [NPS 伺服器驗證],然後選取 [ 確定]。

現在您已建立證書範本,您必須註冊並驗證憑證。

註冊並驗證用戶憑證

組策略已設定為自動註冊用戶憑證,因此一旦原則套用至 Windows 用戶端裝置,就會自動註冊用戶帳戶以取得正確的憑證。 然後,您可以在本機裝置上的 憑證 主控台中驗證憑證。

若要檢查原則是否已套用,以及是否已註冊憑證:

  1. 以您為 VPN 使用者 群組建立的使用者身分登入 Windows 用戶端裝置。

  2. 開啟命令提示字元,然後執行下列命令。 或者,重新啟動 Windows 用戶端裝置。

    gpupdate /force

  3. 在 [開始] 功能表上,輸入 certmgr.msc,然後按 ENTER。

  4. 在 [憑證] 嵌入式管理單元的 [個人] 底下,選取 [憑證]。 您的憑證會出現在詳細數據窗格中。

  5. 以滑鼠右鍵按一下具有您目前網域使用者名稱的憑證,然後選取 [ 開啟]。

  6. [一般 ] 索引標籤上,確認 [有效起始日期] 下列日期是今天的日期。 如果不是,您可能已選取錯誤的憑證。

  7. 選取 [確定],然後關閉 [憑證] 嵌入式管理單元。

註冊並驗證 VPN 伺服器證書

若要註冊 VPN 伺服器的憑證:

  1. 在 VPN 伺服器的 [開始] 功能表上,輸入 certlm.msc 以開啟 [憑證] 嵌入式管理單元,然後按 ENTER。

  2. 以滑鼠右鍵按一下 [個人],選取 [所有工作] ,然後選取 [要求新憑證] 以啟動憑證註冊精靈。

  3. 在 [開始之前] 頁面上,選取 [ 下一步]。

  4. 在 [ 選取憑證註冊原則 ] 頁面上,選取 [下一步]。

  5. 在 [要求憑證] 頁面上,選取 [VPN 伺服器驗證]。

  6. 在 [VPN 伺服器] 複選框下,選取 [ 需要更多資訊 ],才能開啟 [憑證屬性] 對話方塊。

  7. 選取 主旨 索引標籤,然後在 主旨名稱 區段中輸入下列資訊:

    1. 針對 [類型] 選取 [一般名稱]。
    2. 針對 Value (值),輸入用戶端用來連線至 VPN 的外部網域名稱 (例如 vpn.contoso.com)。
    3. 選取 ,然後新增

  8. 選取 [ 確定 ] 以關閉 [憑證屬性]。

  9. 選取 [ 註冊]。

  10. 選取 [完成]。

若要驗證 VPN 伺服器憑證:

  1. 在 [憑證] 嵌入式管理單元的 [個人] 底下,選取 [憑證]。 列出的憑證應該會出現在詳細數據窗格中。

  2. 以滑鼠右鍵按一下具有 VPN 伺服器名稱的憑證,然後選取 [ 開啟]。

  3. [一般 ] 索引標籤上,確認 [有效起始日期] 下列日期是今天的日期。 如果不是,您可能已選取錯誤的憑證。

  4. [詳細資料] 索引標籤上,選取 [增強型金鑰使用方式],然後確認清單中是否顯示 IP 安全性 IKE 中繼[伺服器驗證]。

  5. 選取 [ 確定 ] 以關閉憑證。

註冊並驗證 NPS 憑證

若要註冊 NPS 憑證:

  1. 在 NPS 伺服器的 [開始] 功能表上,輸入 certlm.msc 以開啟 [憑證] 嵌入式管理單元,然後按 ENTER。

  2. 以滑鼠右鍵按一下 [個人],選取 [所有工作] ,然後選取 [要求新憑證] 以啟動憑證註冊精靈。

  3. 在 [開始之前] 頁面上,選取 [ 下一步]。

  4. 在 [ 選取憑證註冊原則 ] 頁面上,選取 [下一步]。

  5. 在 [要求憑證] 頁面上,選取 [NPS 伺服器驗證]。

  6. 選取 [ 註冊]。

  7. 選取 [完成]。

若要驗證 NPS 憑證:

  1. 在 [憑證] 嵌入式管理單元的 [個人] 底下,選取 [憑證]。 列出的憑證應該會出現在詳細數據窗格中。

  2. 以滑鼠右鍵按一下具有 NPS 伺服器名稱的憑證,然後選取 [ 開啟]。

  3. [一般 ] 索引標籤上,確認 [有效起始日期] 下列日期是今天的日期。 如果不是,您可能已選取錯誤的憑證。

  4. 選取 [確定],然後關閉 [憑證] 嵌入式管理單元。

後續步驟

現在您已建立證書範本並註冊憑證,您可以將 Windows 用戶端裝置設定為使用 Always On VPN 連線。

教學課程:建立 Windows 用戶端裝置的 AlwaysOn VPN 連線

  • Last updated on