Dela via

Självstudie: Konfigurera certifikatmyndighetsmallar för Always On VPN

Den här guiden visar hur du konfigurerar mallarna för certifikatutfärdare (CA) för Always On VPN-distributionen. Serien fortsätter att distribuera Always On VPN i en exempelmiljö. Tidigare i serien distribuerade du en exempelinfrastruktur.

CA-mallarna används för att utfärda certifikat till VPN-servern, NPS-servern och användarna. Certifikaten används för att autentisera VPN-servern och NPS-servern till klienter och för att autentisera användare till VPN-servern.

I den här handledningen kommer du att:

  • Skapa en mall för användarautentisering.
  • Skapa en autentiseringsmall för VPN-server.
  • Skapa en mall för NPS-serverautentisering.
  • Registrera och verifiera användarcertifikatet.
  • Registrera och verifiera VPN-servercertifikatet.
  • Registrera och verifiera NPS-servercertifikatet.

Här är en beskrivning av de olika mallarna:

Template Description
Mall för användarautentisering Den här mallen används för att utfärda användarcertifikat för VPN-klienter. Användarcertifikatet används för att autentisera användaren till VPN-servern.

Med en mall för användarautentisering kan du förbättra certifikatsäkerheten genom att välja uppgraderade kompatibilitetsnivåer och välja Microsoft Platform Crypto Provider. Med Microsoft Platform Crypto Provider kan du använda en TPM (Trusted Platform Module) på klientdatorer för att skydda certifikatet. Användarmallen har konfigurerats för automatisk registrering.
Autentiseringsmall för VPN-server Den här mallen används för att utfärda ett servercertifikat för VPN-servern. Servercertifikatet används för att autentisera VPN-servern till klienten.

Med en mall för VPN-serverautentisering lägger du till IP-säkerhetsprincipen (IPsec) IKE mellanliggande programprincip. IP Security (IPsec) IKE Intermediate application policy avgör hur certifikatet kan användas, det kan tillåta servern att filtrera certifikat om mer än ett certifikat är tillgängligt. Eftersom VPN-klienter har åtkomst till den här servern från det offentliga Internet skiljer sig ämnesnamnet och alternativa namn från det interna servernamnet. Därför konfigurerar du inte VPN-servercertifikatet för automatisk registrering.
Mall för NPS-serverautentisering Den här mallen används för att utfärda ett servercertifikat för NPS-servern. NPS-servercertifikatet används för att autentisera NPS-servern till VPN-servern.

Med en mall för NPS-serverautentisering kopierar du standardmallen RAS- och IAS-servrar och begränsar den för din NPS-server. Den nya NPS-servermallen innehåller programprincipen för serverautentisering.

Mer information om Always On VPN, inklusive integreringar som stöds, säkerhets- och anslutningsfunktioner finns i Översikt över Always On VPN.

Prerequisites

För att slutföra stegen i den här självstudien behöver du:

  • Så här slutför du alla steg i föregående självstudie: Distribuera Always On VPN-infrastruktur.

  • En Windows-klientenhet som kör en version av Windows som stöds för att ansluta till Always On VPN som är ansluten till Active Directory-domänen.

Skapa mallen för användarautentisering

  1. På servern med Active Directory Certificate Services installerat, som i denna handledning är domänkontrollant, öppnar du snapin-modulen för Certifikatutfärdare.

  2. Högerklicka på Certifikatmallar i den vänstra rutan och välj Hantera.

  3. Högerklicka på Användare i konsolen Certifikatmallar och välj Duplicera mall. Välj inte Använd eller OK förrän du har angett information för alla flikar. Vissa alternativ kan bara konfigureras när mallen skapas. Om du väljer dessa knappar innan du anger alla parametrar kan du inte ändra dem, annars måste du ta bort mallen och återskapa den.

  4. I dialogrutan Egenskaper för ny mall går du till fliken Allmänt och utför följande steg:

    1. I Mallvisningsnamn anger du VPN-användarautentisering.

    2. Avmarkera kryssrutan Publicera certifikat i Active Directory .

  5. Slutför följande steg på fliken Säkerhet :

    1. Välj Lägg till.

    2. I dialogrutan Välj användare, datorer, tjänstkonton eller grupper anger du VPN-användare och väljer sedan OK.

    3. I Grupp- eller användarnamn väljer du VPN-användare.

    4. I Behörigheter för VPN-användare markerar du kryssrutorna Registrera och Registrera automatiskt i kolumnen Tillåt .

      Important

      Se till att kryssrutan Läsbehörighet är markerad. Du behöver läsbehörigheter för registrering.

    5. I Grupp- eller användarnamn väljer du Domänanvändare och sedan Ta bort.

  6. Slutför följande steg på fliken Kompatibilitet :

    1. I Certifikatutfärdare väljer du Windows Server 2016.

    2. I dialogrutan Resulterande ändringar väljer du OK.

    3. I Certifikatmottagare väljer du Windows 10/Windows Server 2016.

    4. I dialogrutan Resulterande ändringar väljer du OK.

  7. På fliken Hantering av begärandenavmarkerar du Tillåt att privat nyckel exporteras.

  8. Slutför följande steg på fliken Kryptografi :

    1. I Providerkategori väljer du Nyckellagringsprovider.

    2. Välj Begäranden måste använda någon av följande leverantörer.

    3. Välj både Microsoft Platform Crypto Provider och Microsoft Software Key Storage Provider.

  9. På fliken Ämnesnamn avmarkerar du Ta med e-postnamn i ämnesnamn och E-postnamn.

  10. Spara certifikatmallen FÖR VPN-användarautentisering genom att välja OK .

  11. Stäng Certifikatmallar-konsolen.

  12. I den vänstra rutan i snapin-modulen Certifikatutfärdare högerklickar du på Certifikatmallar, väljer Ny och väljer sedan Certifikatmall som ska utfärdas.

  13. Välj VPN-användarautentisering och välj sedan OK.

Skapa autentiseringsmallen för VPN Server

  1. I den vänstra rutan i snapin-modulen Certifikatutfärdare högerklickar du på Certifikatmallar och väljer Hantera för att öppna konsolen Certifikatmallar.

  2. Högerklicka på RAS och IAS Server i konsolen Certifikatmallar och välj Duplicera mall. Välj inte Använd eller OK förrän du har angett information för alla flikar. Vissa alternativ kan bara konfigureras när mallen skapas. Om du väljer dessa knappar innan du anger alla parametrar kan du inte ändra dem, annars måste du ta bort mallen och återskapa den.

  3. I dialogrutan Egenskaper för ny mall går du till fliken Allmänt och anger VPN Server-autentisering i Mallvisningsnamn.

  4. Slutför följande steg på fliken Tillägg :

    1. Välj Programprinciper och sedan Redigera.

    2. I dialogrutan Redigera tillägg för programprinciper väljer du Lägg till.

    3. I dialogrutan Lägg till programprincip väljer du IP-säkerhets-IKE intermediate och väljer sedan OK.

    4. Välj OK för att återgå till dialogrutan Egenskaper för ny mall .

  5. Slutför följande steg på fliken Säkerhet :

    1. Välj Lägg till.

    2. I dialogrutan Välj användare, datorer, tjänstkonton eller grupper anger du VPN-servrar och väljer sedan OK.

    3. I Grupp- eller användarnamn väljer du VPN-servrar.

    4. I Behörigheter för VPN-servrar väljer du Registrera i kolumnen Tillåt .

    5. I Grupp- eller användarnamn väljer du RAS- och IAS-servrar och väljer sedan Ta bort.

  6. Slutför följande steg på fliken Ämnesnamn :

    1. Välj Ange i begäran.

    2. I varningsdialogrutan Certifikatmallar väljer du OK.

  7. Spara CERTIFIKATmallen för VPN Server genom att välja OK .

  8. Stäng Certifikatmallar-konsolen.

  9. Högerklicka på Certifikatmallar i den vänstra rutan i snapin-modulen Certifikatutfärdare. Välj Ny och välj sedan Certifikatmall som ska utfärdas.

  10. Välj VPN Server-autentisering och välj sedan OK.

  11. Starta om VPN-servern.

Skapa mallen för NPS Server-autentisering

  1. I den vänstra rutan i snapin-modulen Certifikatutfärdare högerklickar du på Certifikatmallar och väljer Hantera för att öppna konsolen Certifikatmallar.

  2. Högerklicka på RAS och IAS Server i konsolen Certifikatmallar och välj Duplicera mall. Välj inte Använd eller OK förrän du har angett information för alla flikar. Vissa alternativ kan bara konfigureras när mallen skapas. Om du väljer dessa knappar innan du anger alla parametrar kan du inte ändra dem, annars måste du ta bort mallen och återskapa den.

  3. I dialogrutan Egenskaper för ny mall går du till fliken Allmänt och anger NPS Server-autentisering i Mallvisningsnamn.

  4. Slutför följande steg på fliken Säkerhet :

    1. Välj Lägg till.

    2. I dialogrutan Välj användare, datorer, tjänstkonton eller grupper anger du NPS-servrar och väljer sedan OK.

    3. I Grupp- eller användarnamn väljer du NPS-servrar.

    4. I Behörigheter för NPS-servrar väljer du Registrera i kolumnen Tillåt .

    5. I Grupp- eller användarnamn väljer du RAS- och IAS-servrar och väljer sedan Ta bort.

  5. Spara NPS Server-certifikatmallen genom att välja OK .

  6. Stäng Certifikatmallar-konsolen.

  7. Högerklicka på Certifikatmallar i den vänstra rutan i snapin-modulen Certifikatutfärdare. Välj Ny och välj sedan Certifikatmall som ska utfärdas.

  8. Välj NPS Server-autentisering och välj sedan OK.

Nu har du skapat de certifikatmallar som du behöver för att registrera och verifiera certifikaten.

Registrera och verifiera användarcertifikatet

Grupprincip har konfigurerats för automatisk registrering av användarcertifikat, så när principen tillämpas på Windows-klientenheter registrerar de automatiskt användarkontot för rätt certifikat. Du kan sedan verifiera certifikatet i certifikatkonsolen på den lokala enheten.

Kontrollera att principen tillämpas och att certifikatet har registrerats:

  1. Logga in på Windows-klientenheten som den användare som du skapade för gruppen VPN-användare .

  2. Öppna Kommandotolken och kör följande kommando. Du kan också starta om Windows-klientenheten.

    gpupdate /force

  3. På Start-menyn skriver du certmgr.msc och trycker på RETUR.

  4. I snapin-modulen Certifikat går du till Personligt och väljer Certifikat. Dina certifikat visas i informationsfönstret.

  5. Högerklicka på certifikatet som har ditt aktuella domänanvändarnamn och välj sedan Öppna.

  6. På fliken Allmänt bekräftar du att datumet som anges under Giltig från är dagens datum. Om det inte är det kanske du har valt fel certifikat.

  7. Välj OK och stäng snapin-modulen Certifikat.

Registrera och verifiera VPN-servercertifikatet

Så här registrerar du VPN-serverns certifikat:

  1. På VPN-serverns Start-meny skriver du certlm.msc för att öppna certifikatskonsolen och trycker på Enter.

  2. Högerklicka på Personligt, välj Alla aktiviteter och välj sedan Begär nytt certifikat för att starta guiden För certifikatregistrering.

  3. På sidan Innan du börjar väljer du Nästa.

  4. På sidan Välj princip för certifikatregistrering väljer du Nästa.

  5. På sidan Begär certifikat väljer du VPN Server-autentisering.

  6. Under kryssrutan VPN-server väljer du Mer information krävs för att öppna dialogrutan Certifikategenskaper.

  7. Välj fliken Ämne och ange följande information i avsnittet Ämnesnamn :

    1. För Typ väljer du Eget namn.
    2. För Värde anger du namnet på den externa domän som klienter använder för att ansluta till VPN (till exempel vpn.contoso.com).
    3. Välj Lägg till.

  8. Välj OK för att stänga Certifikategenskaper.

  9. Välj Registrera.

  10. Välj Slutför.

Så här verifierar du VPN-servercertifikatet:

  1. I snapin-modulen Certifikat går du till Personligt och väljer Certifikat. Dina listade certifikat bör visas i informationsfönstret.

  2. Högerklicka på certifikatet som har VPN-serverns namn och välj sedan Öppna.

  3. På fliken Allmänt bekräftar du att datumet som anges under Giltig från är dagens datum. Om det inte är det kanske du har valt fel certifikat.

  4. På fliken Information väljer du Förbättrad nyckelanvändning och kontrollerar att IP-säkerhets-IKE mellannivå och serverautentisering visas i listan.

  5. Välj OK för att stänga certifikatet.

Registrera och verifiera NPS-certifikatet

Så här registrerar du NPS-certifikatet:

  1. På NPS-serverns Start-meny skriver du certlm.msc för att öppna Certifikat-snapin-modulen och trycker på RETUR.

  2. Högerklicka på Personligt, välj Alla aktiviteter och välj sedan Begär nytt certifikat för att starta guiden För certifikatregistrering.

  3. På sidan Innan du börjar väljer du Nästa.

  4. På sidan Välj princip för certifikatregistrering väljer du Nästa.

  5. På sidan Begär certifikat väljer du NPS Server-autentisering.

  6. Välj Registrera.

  7. Välj Slutför.

Så här verifierar du NPS-certifikatet:

  1. I snapin-modulen Certifikat går du till Personligt och väljer Certifikat. Dina listade certifikat bör visas i informationsfönstret.

  2. Högerklicka på certifikatet som har NPS-serverns namn och välj sedan Öppna.

  3. På fliken Allmänt bekräftar du att datumet som anges under Giltig från är dagens datum. Om det inte är det kanske du har valt fel certifikat.

  4. Välj OK, och stäng certifikatsnapin-modulen.

Nästa steg

Nu när du har skapat certifikatmallarna och registrerat certifikaten kan du konfigurera en Windows-klientenhet för att använda AlwaysOn VPN-anslutningen.

Självstudie: Skapa en AlwaysOn VPN-anslutning för Windows-klientenheter