Tutorial: Implementación de Always On VPN: Configuración de plantillas de autoridad de certificación

En esta parte del tutorial de Implementación de Always On VPN, creará plantillas de certificados e inscribirá o validará certificados para los grupos de Active Directory (AD) que creó en Implementación de Always On VPN: Configuración del entorno:

Creará las siguientes plantillas:

  • Plantilla de autenticación de usuario. Con una plantilla de autenticación de usuario, puede mejorar la seguridad del certificado seleccionando los niveles de compatibilidad actualizados y eligiendo el Proveedor criptográfico de la plataforma Microsoft. Con el proveedor criptográfico de la plataforma Microsoft, puede usar un Módulo de plataforma segura (TPM) en equipos cliente para proteger el certificado. Para obtener información general sobre TPM, consulte Información general sobre la tecnología del Módulo de plataforma segura. La plantilla de usuario se configurará para la inscripción automática.

  • Plantilla de autenticación del servidor VPN. Con una plantilla de autenticación de servidor VPN, agregará la directiva de aplicación Intermediario IKE de seguridad de IP (IPsec). La directiva de aplicación Intermediario IKE de seguridad de IP (IPsec) determina cómo se puede usar el certificado. Puede permitir al servidor filtrar certificados si hay más de uno disponible. Dado que los clientes VPN acceden a este servidor desde la red pública de Internet, el firmante y los nombres alternativos son diferentes del nombre interno del servidor. Como resultado, no configurará el certificado del servidor VPN para la inscripción automática.

  • Plantilla de autenticación del servidor NPS. Con una plantilla de autenticación de servidor NPS, copiará la plantilla estándar de servidores IAS y RAS, y establecerá su ámbito para el servidor NPS. La nueva plantilla del servidor NPS incluye la directiva de aplicación de autenticación del servidor.

Requisitos previos

  1. Completar Implementación de Always On VPN: Configuración del entorno.

Creación de la plantilla de autenticación de usuario

  1. En el servidor de CA, que en este tutorial es el controlador de dominio, abra el complemento Autoridad de certificación.

  2. En el panel izquierdo, haga clic con el botón derecho en Plantillas de certificado y seleccione Administrar.

  3. En la consola de Plantillas de certificado, haga clic con el botón derecho en Usuario y seleccione Duplicar plantilla.

    Advertencia

    No seleccione Aplicar o Aceptar hasta que haya terminado de introducir la información para todas las pestañas. Algunas opciones solo se pueden configurar en la creación de plantillas, si selecciona estos botones antes de escribir TODOS los parámetros, no puede cambiarlos. Por ejemplo, en la pestaña Criptografía, si Proveedor de almacenamiento criptográfico heredado se muestra en el campo Categoría del proveedor, se deshabilita, lo que impide cualquier cambio adicional. La única alternativa es eliminar la plantilla y volver a crearla.

  4. En el cuadro de diálogo Propiedades de la nueva plantilla, en la pestaña General, complete los pasos siguientes:

    1. En Nombre para mostrar de plantilla, escriba Autenticación de usuario de VPN.

    2. Desactive la casilla Publicar certificado en Active Directory.

  5. En la pestaña Seguridad, complete los pasos siguientes:

    1. Seleccione Agregar.

    2. En el cuadro de diálogo Seleccionar usuarios, equipos, cuentas de servicio o grupos, escriba Usuarios de VPN y después seleccione Aceptar.

    3. En Nombres de grupo o de usuario, seleccione Usuarios de VPN.

    4. En Permisos para usuarios de VPN, seleccione las casillas Inscripción e Inscripción automática en la columna Permitir.

      Importante

      Asegúrese de mantener seleccionada la casilla Permiso de lectura. Necesitará permisos de lectura para la inscripción.

    5. En Nombres de grupo o de usuario, seleccione Usuarios de dominio, después, seleccione Eliminar.

  6. En la pestaña Compatibilidad, complete los pasos siguientes:

    1. En Entidad de certificación, seleccione Windows Server 2016.

    2. En el cuadro de diálogo Cambios resultantes, seleccione Aceptar.

    3. En Destinatario del certificado, seleccione Windows 10 o Windows Server 2016.

    4. En el cuadro de diálogo Cambios resultantes, seleccione Aceptar.

  7. En la pestaña Tratamiento de solicitudes, desactive Permitir exportar clave privada .

  8. En la pestaña Criptografía, complete los pasos siguientes:

    1. En Categoría de proveedor, seleccione Proveedor de almacenamiento de claves.

    2. Seleccione Las solicitudes deben usar uno de los siguientes proveedores.

    3. Seleccione Proveedor criptográfico de plataforma de Microsoft y Proveedor de almacenamiento de claves de software de Microsoft.

  9. En la pestaña Nombre del firmante, desactive las opciones Incluir nombre de correo electrónico en el nombre del firmante y Nombre de correo electrónico .

  10. Seleccione Aceptar para guardar la plantilla del certificado de autenticación de usuario de VPN.

  11. Cierre la consola Plantillas de certificado.

  12. En el panel izquierdo del complemento de Autoridad de certificación, haga clic con el botón derecho en Plantillas de certificado, seleccione Nueva y después seleccione Plantilla de certificado para emitir.

  13. Seleccione Autenticación de usuario de VPN, después, seleccione Aceptar.

Creación de la plantilla de autenticación del servidor VPN

  1. En el panel izquierdo del complemento Entidad de certificación, haga clic con el botón derecho en Plantillas de certificado y seleccione Administrar para abrir la consola Plantillas de certificado.

  2. En la consola de Plantillas de certificado, haga clic con el botón derecho en RAS y servidor IAS y seleccione Duplicar plantilla.

    Advertencia

    No seleccione Aplicar o Aceptar hasta que haya terminado de introducir la información para todas las pestañas. Algunas opciones solo se pueden configurar en la creación de plantillas, si selecciona estos botones antes de escribir TODOS los parámetros, no puede cambiarlos. Por ejemplo, en la pestaña Criptografía, si Proveedor de almacenamiento criptográfico heredado se muestra en el campo Categoría del proveedor, se deshabilita, lo que impide cualquier cambio adicional. La única alternativa es eliminar la plantilla y volver a crearla.

  3. En el cuadro de diálogo Propiedades de la nueva plantilla, en la pestaña General, en Nombre para mostrar de plantilla, escriba Autenticación de servidor VPN.

  4. En la pestaña Extensiones, complete los pasos siguientes:

    1. Seleccione Directivas de aplicación y, después, Editar.

    2. En el cuadro de diálogo Editar extensión de directivas de aplicación, seleccione Agregar.

    3. En el cuadro de diálogo Agregar directiva de aplicación, seleccione Intermediario IKE de seguridad de IP, después, seleccione Aceptar.

    4. Seleccione Aceptar para volver al cuadro de diálogo Propiedades de nueva plantilla.

  5. En la pestaña Seguridad, complete los pasos siguientes:

    1. Seleccione Agregar.

    2. En el cuadro de diálogo Seleccionar usuarios, equipos, cuentas de servicio o grupos, escriba Servidores VPN y seleccione Aceptar.

    3. En Nombres de grupo o de usuario, seleccione Servidores VPN.

    4. En Permisos para servidores VPN, seleccione Inscripción en la columna Permitir.

    5. En Nombres de grupo o de usuario, seleccione RAS y servidores IAS y, después, seleccione Quitar.

  6. En la pestaña Nombre del firmante, complete los pasos siguientes:

    1. Seleccione Proporcionar en la solicitud.

    2. En el cuadro de diálogo de aviso de Plantillas de certificado, seleccione Aceptar.

  7. Seleccione Aceptar para guardar la plantilla del certificado del servidor VPN.

  8. Cierre la consola Plantillas de certificado.

  9. En el panel izquierdo del complemento Autoridad de certificación, haga clic con el botón derecho del ratón en Plantillas de certificado. Seleccione Nuevo y, después, seleccione Plantilla de certificado para emitir.

  10. Seleccione Autenticación de servidor VPN, después, seleccione Aceptar.

  11. Reinicie el servidor VPN.

Creación de la plantilla de autenticación del servidor NPS

  1. En el panel izquierdo del complemento Entidad de certificación, haga clic con el botón derecho en Plantillas de certificado y seleccione Administrar para abrir la consola de Plantillas de certificado.

  2. En la consola de Plantillas de certificado, haga clic con el botón derecho en RAS y servidor IAS y seleccione Duplicar plantilla.

    Advertencia

    No seleccione Aplicar o Aceptar hasta que haya terminado de introducir la información para todas las pestañas. Algunas opciones solo se pueden configurar en la creación de plantillas, si selecciona estos botones antes de escribir TODOS los parámetros, no puede cambiarlos. Por ejemplo, en la pestaña Criptografía, si Proveedor de almacenamiento criptográfico heredado se muestra en el campo Categoría del proveedor, se deshabilita, lo que impide cualquier cambio adicional. La única alternativa es eliminar la plantilla y volver a crearla.

  3. En el cuadro de diálogo Propiedades de la nueva plantilla, en la pestaña General, en Nombre para mostrar de plantilla, escriba Autenticación de servidor NPS.

  4. En la pestaña Seguridad, complete los pasos siguientes:

    1. Seleccione Agregar.

    2. En el cuadro de diálogo Seleccionar usuarios, equipos, cuentas de servicio o grupos, escriba Servidores NPS y seleccione Aceptar.

    3. En Nombres de grupo o de usuario, seleccione Servidores NPS.

    4. En Permisos para servidores NPS, seleccione Inscripción en la columna Permitir.

    5. En Nombres de grupo o de usuario, seleccione RAS y servidores IAS y, después, seleccione Quitar.

  5. Seleccione Aceptar para guardar la plantilla del certificado del servidor NPS.

  6. Cierre la consola Plantillas de certificado.

  7. En el panel izquierdo del complemento Autoridad de certificación, haga clic con el botón derecho del ratón en Plantillas de certificado. Seleccione Nuevo y, después, seleccione Plantilla de certificado para emitir.

  8. Seleccione Autenticación de servidor NPS, después, seleccione Aceptar.

Inscripción y validación del certificado de usuario

Como está usando la directiva de grupo para inscribir automáticamente los certificados de usuario, solo tiene que actualizar la directiva y Windows 10 inscribirá automáticamente la cuenta de usuario para el certificado correcto. A continuación, puede validar el certificado en la consola de Certificados.

Para validar el certificado de usuario:

  1. Inicie sesión en el cliente VPN de Windows como el usuario que creó para el grupo Usuarios de VPN.

  2. Presione la tecla Windows + R, escriba gpupdate /force y presione ENTRAR.

  3. En el menú Inicio, escriba certmgr.msc y presione Entrar.

  4. En el complemento Certificados, en Personal, seleccione Certificados. Los certificados aparecen en el panel de detalles.

  5. Haga clic con el botón derecho del ratón en el certificado que tiene el nombre de usuario de su dominio actual y seleccione Abrir.

  6. En la pestaña General, confirme que la fecha que aparece en Válido desde es la fecha de hoy. Si no es así, es posible que haya seleccionado el certificado incorrecto.

  7. Seleccione Aceptar y cierre el complemento Certificados.

Inscripción y validación del certificado de servidor VPN

A diferencia del certificado de usuario, debe inscribir manualmente el certificado del servidor VPN.

Para inscribir el certificado del servidor VPN:

  1. En el menú Inicio del servidor VPN, escriba certlm.msc para abrir el complemento Certificados y presione ENTRAR.

  2. Haga clic con el botón derecho en Personal, seleccione Todas las tareas y, después, seleccione Solicitar nuevo certificado para iniciar el Asistente para inscripción de certificados.

  3. En la página Antes de comenzar, seleccione Siguiente.

  4. En la página Seleccionar directiva de inscripción de certificados, seleccione Siguiente.

  5. En la página Solicitar certificados, seleccione Autenticación de servidor VPN.

  6. Debajo de la casilla de verificación Servidor VPN, seleccione Se necesita más información para abrir el cuadro de diálogo Propiedades del certificado.

  7. Seleccione la pestaña Firmante y escriba la siguiente información:

    En la sección Nombre del firmante:

    1. En Tipo, seleccione Nombre común.
    2. En Valor, escriba el nombre del dominio externo que usan los clientes para conectarse a la VPN (por ejemplo, vpn.contoso.com).
    3. Seleccione Agregar.
  8. Seleccione Aceptar para cerrar Propiedades del certificado.

  9. Seleccione Enroll (Inscribir).

  10. Seleccione Finalizar.

Para validar el certificado del servidor VPN:

  1. En el complemento Certificados, en Personal, seleccione Certificados.

    Los certificados enumerados deberían aparecer en el panel de detalles.

  2. Haga clic con el botón derecho en el certificado que tiene el nombre de su servidor VPN y seleccione Abrir.

  3. En la pestaña General, confirme que la fecha que aparece en Válido desde es la fecha de hoy. Si no es así, es posible que haya seleccionado el certificado incorrecto.

  4. En la pestaña Detalles, seleccione Uso mejorado de claves y compruebe que Intermediario IKE de seguridad de IP y Autenticación de servidor se muestran en la lista.

  5. Seleccione Aceptar para cerrar el certificado.

Inscripción y validación del certificado de NPS

Dado que está usando la directiva de grupo para inscribir automáticamente los certificados NPS, solo tendrá que actualizar la directiva y el servidor Windows inscribirá automáticamente el servidor NPS para el certificado correcto. A continuación, puede validar el certificado en la consola de Certificados.

Para inscribir el certificado NPS:

  1. En el menú Inicio del servidor NPS, escriba certlm.msc para abrir el complemento Certificados y presione ENTRAR.

  2. Haga clic con el botón derecho en Personal, seleccione Todas las tareas y, después, seleccione Solicitar nuevo certificado para iniciar el Asistente para inscripción de certificados.

  3. En la página Antes de comenzar, seleccione Siguiente.

  4. En la página Seleccionar directiva de inscripción de certificados, seleccione Siguiente.

  5. En la página Solicitar certificados, seleccione Autenticación de servidor NPS.

  6. Seleccione Enroll (Inscribir).

  7. Seleccione Finalizar.

Para validar el certificado NPS:

  1. En el complemento Certificados, en Personal, seleccione Certificados.

    Los certificados enumerados deberían aparecer en el panel de detalles.

  2. Haga clic con el botón derecho en el certificado que tiene el nombre de su servidor NPS y seleccione Abrir.

  3. En la pestaña General, confirme que la fecha que aparece en Válido desde es la fecha de hoy. Si no es así, es posible que haya seleccionado el certificado incorrecto.

  4. Seleccione Aceptar y cierre el complemento Certificados.

Pasos siguientes