教程:部署 Always On VPN - 配置证书颁发机构模板

  • 项目

在“部署 Always On VPN”教程的这一部分,你将创建证书模板,并为在部署 Always On VPN - 设置环境中创建的 Active Directory (AD) 组注册或验证证书:

你将创建以下模板:

  • 用户身份验证模板。 使用用户身份验证模板,可以通过选择已升级的兼容性级别并选择 Microsoft 平台加密提供程序来提高证书安全性。 借助 Microsoft 平台加密提供程序,可以在客户端计算机上使用受信任的平台模块 (TPM) 来保护证书。 有关 TPM 的概述,请参阅受信任的平台模块技术概述。 将配置用于自动注册的用户模板。

  • VPN 服务器身份验证模板。 在 VPN 服务器身份验证模板中,你将添加 IP 安全性 (IPsec) IKE 中间应用程序策略。 IP 安全性 (IPsec) IKE 中间应用程序策略决定了证书的使用方式,如果有多个可用证书,它可以允许服务器筛选证书。 由于 VPN 客户端从公共 Internet 访问此服务器,使用者名称和备用名称与内部服务器名称不同。 因此,你将不会为自动注册配置 VPN 服务器证书。

  • NPS 服务器身份验证模板。 在 NPS 服务器身份验证模板中,你将复制标准 RAS 和 IAS 服务器模板,并将其范围限定为你的 NPS 服务器。 新的 NPS 服务器模板包括服务器身份验证应用程序策略。

先决条件

  1. 完成部署 Always On VPN - 设置环境

创建用户身份验证模板

  1. 在 CA 服务器(本教程中为域控制器)上,打开“证书颁发机构”管理单元。

  2. 在左侧窗格中,右键单击“证书模板”并选择“管理”。

  3. 在“证书模板”控制台中,右键单击“用户”,然后选择“复制模板”。

    警告

    在所有选项卡中输入完信息之前,请不要选择“应用”或“确定”。 某些选项只能在创建模板时配置,如果在输入所有参数之前选择这些按钮,将无法更改这些选项。 例如,在“加密”选项卡上,如果“提供程序类别”字段中显示“旧版加密存储提供程序”,则会禁用该提供程序,从而阻止任何进一步的更改。 唯一的替代方法是删除模板并重新创建它。

  4. 在“新模板的属性”对话框中的“常规”选项卡上,完成以下步骤:

    1. 在“模板显示名称”中,输入“VPN 用户身份验证”。

    2. 清除“在 Active Directory 中颁发证书”复选框。

  5. 在“安全性”选项卡上,完成以下步骤:

    1. 选择“添加” 。

    2. 在“选择用户、计算机、服务帐户或组”对话框中输入“VPN 用户”,然后选择“确定”。

    3. 在“组或用户名”中,选择“VPN 用户”。

    4. 在“VPN 用户的权限”中,选中“允许”列中的“注册”和“自动注册”复选框。

      重要

      确保将“读取”权限复选框保持选中状态。 需要使用“读取”权限来注册。

    5. 在“组或用户名”中,选择“域用户”,然后选择“删除”。

  6. 在“兼容性”选项卡上,完成以下步骤:

    1. 在“证书颁发机构”中,选择“Windows Server 2016”。

    2. 在“产生的更改”对话框中,选择“确定”。

    3. 在“证书接收人”中,选择“Windows 10/Windows Server 2016”。

    4. 在“产生的更改”对话框中,选择“确定”。

  7. 在“请求处理”选项卡上,清除“允许导出私钥”。

  8. 在“加密”选项卡上,完成以下步骤:

    1. 在“提供程序类别”下,选择“密钥存储提供程序”。

    2. 选择“请求必须使用以下提供程序之一”。

    3. 选择“Microsoft 平台加密提供程序”和“Microsoft 软件密钥存储提供程序”。

  9. 在“使用者名称”选项卡上,清除“在使用者名称中包括电子邮件名”和“电子邮件名”。

  10. 选择“确定”以保存 VPN 用户身份验证证书模板。

  11. 关闭证书模板控制台。

  12. 在“证书颁发机构”管理单元的左侧窗格中,右键单击“证书模板”,选择“新建”,然后选择“要颁发的证书模板”。

  13. 选择“VPN 用户身份验证”,然后选择“确定”。

创建 VPN 服务器身份验证模板

  1. 在“证书颁发机构”管理单元的左侧窗格中,右键单击“证书模板”,然后选择“管理”打开“证书模板”控制台。

  2. 在“证书模板”控制台中,右键单击“RAS 和 IAS 服务器”,然后选择“复制模板”。

    警告

    在所有选项卡中输入完信息之前,请不要选择“应用”或“确定”。 某些选项只能在创建模板时配置,如果在输入所有参数之前选择这些按钮,将无法更改这些选项。 例如,在“加密”选项卡上,如果“提供程序类别”字段中显示“旧版加密存储提供程序”,则会禁用该提供程序,从而阻止任何进一步的更改。 唯一的替代方法是删除模板并重新创建它。

  3. 在“新模板的属性”对话框的“常规”选项卡上的“模板显示名称”中,输入“VPN 服务器身份验证”。

  4. 在“扩展”选项卡上,完成以下步骤:

    1. 选择“应用程序策略”,然后选择“编辑”。

    2. 在“编辑应用程序策略扩展”对话框中,选择“添加”。

    3. 在“添加应用程序策略”对话框中,选择“IP 安全 IKE 中级”,然后选择“确定”。

    4. 选择“确定”返回到“新模板的属性”对话框。

  5. 在“安全性”选项卡上,完成以下步骤:

    1. 选择“添加” 。

    2. 在“选择用户、计算机、服务帐户或组”对话框中,输入“VPN 服务器”,然后选择“确定”。

    3. 在“组或用户名”中,选择“VPN 服务器”。

    4. 在“VPN 服务器的权限”中,选择“允许”列中的“注册”。

    5. 在“组或用户名”中,选择“RAS 和 IAS 服务器”,然后选择“删除”。

  6. 在“使用者名称”选项卡上,完成以下步骤:

    1. 选择“在请求中提供”。

    2. 在“证书模板”警告对话框中,选择“确定”。

  7. 选择“确认”以保存 VPN 服务器证书模板。

  8. 关闭证书模板控制台。

  9. 在“证书颁发机构”管理单元的左侧窗格中,右键单击“证书模板”。 选择“新建”,然后选择“要颁发的证书模板”。

  10. 选择“VPN 服务器身份验证”,然后选择“确定”。

  11. 重新启动 VPN 服务器。

创建 NPS 服务器身份验证模板

  1. 在“证书颁发机构”管理单元的左侧窗格中,右键单击“证书模板”,然后选择“管理”打开“证书模板”控制台。

  2. 在“证书模板”控制台中,右键单击“RAS 和 IAS 服务器”,然后选择“复制模板”。

    警告

    在所有选项卡中输入完信息之前,请不要选择“应用”或“确定”。 某些选项只能在创建模板时配置,如果在输入所有参数之前选择这些按钮,将无法更改这些选项。 例如,在“加密”选项卡上,如果“提供程序类别”字段中显示“旧版加密存储提供程序”,则会禁用该提供程序,从而阻止任何进一步的更改。 唯一的替代方法是删除模板并重新创建它。

  3. 在“新模板的属性”对话框的“常规”选项卡上的“模板显示名称”中,输入“NPS 服务器身份验证”。

  4. 在“安全性”选项卡上,完成以下步骤:

    1. 选择“添加” 。

    2. 在“选择用户、计算机、服务帐户或组”对话框中,输入“NPS 服务器”,然后选择“确定”。

    3. 在“组或用户名”中,选择“NPS 服务器”。

    4. 在“NPS 服务器的权限”中,选择“允许”列中的“注册”。

    5. 在“组或用户名”中,选择“RAS 和 IAS 服务器”,然后选择“删除”。

  5. 选择“确认”以保存 NPS 服务器证书模板。

  6. 关闭证书模板控制台。

  7. 在“证书颁发机构”管理单元的左侧窗格中,右键单击“证书模板”。 选择“新建”,然后选择“要颁发的证书模板”。

  8. 选择“NPS 服务器身份验证”,然后选择“确定”。

注册并验证用户证书

由于你将使用组策略来自动注册用户证书,因此只需更新策略,Windows 10 将自动注册用户帐户以获取正确的证书。 然后,可以在证书控制台中验证证书。

若要验证用户证书,请执行以下操作:

  1. 以你为“VPN 用户”组创建的用户身份登录到 VPN Windows 客户端。

  2. 按 Windows 徽标键 + R,键入 gpupdate /force,然后按 ENTER。

  3. 在“开始”菜单中键入 certmgr.msc,然后按 ENTER。

  4. 在证书管理单元的“个人”下,选择“证书”。 证书将显示在详细信息窗格中。

  5. 右键单击具有当前域用户名的证书,然后选择“打开”。

  6. 在“常规”选项卡上,确认“有效期起始日期”下列出的日期是当天的日期。 如果不是,则可能是选择了错误的证书。

  7. 选择“确定”,然后关闭证书管理单元。

注册并验证 VPN 服务器证书

与用户证书不同,必须手动注册 VPN 服务器的证书。

若要注册 VPN 服务器的证书,请执行以下操作:

  1. 在 VPN 服务器的“开始”菜单中,键入 certlm.msc 打开“证书”管理单元,然后按 ENTER。

  2. 右键单击“个人”,选择“所有任务”,然后选择“请求新证书”以启动证书注册向导。

  3. 在“开始之前”页面上,选择“下一步”。

  4. 在“选择证书注册策略”页上,单击“下一步”。

  5. 在“请求证书”页上,选择“VPN 服务器身份验证”。

  6. 在“VPN 服务器”复选框下,选择“需要更多信息”打开“证书属性”对话框。

  7. 选择“使用者”选项卡并输入以下信息:

    在“使用者名称”部分

    1. 对于“类型”,请选择“公用名”。
    2. 对于“值”,请输入由客户端用来连接到 VPN 的外部域的名称(例如 vpn.contoso.com)。
    3. 选择 添加

  8. 选择“确定”关闭“证书属性”。

  9. 选择“注册”。

  10. 选择“完成”。

若要验证 VPN 服务器证书,请执行以下操作:

  1. 在证书管理单元的“个人”下,选择“证书”。

    所列证书应显示在详细信息窗格中。

  2. 右键单击具有 VPN 服务器名称的证书,然后选择“打开”。

  3. 在“常规”选项卡上,确认“有效期起始日期”下列出的日期是当天的日期。 如果不是,则可能是选择了错误的证书。

  4. 在“详细信息 ”选项卡上,选择“增强型密钥用法”,并验证“IP 安全 IKE 中级”和“服务器身份验证”是否显示在列表中。

  5. 选择“确定”关闭该证书。

注册并验证 NPS 证书

由于你将使用组策略来自动注册 NPS 证书,因此只需更新策略,Windows 服务器将自动注册 NPS 服务器以获取正确的证书。 然后,可以在证书控制台中验证证书。

若要注册 NPS 证书,请执行以下操作:

  1. 在 NPS 服务器的“开始”菜单中,键入 certlm.msc 打开“证书”管理单元,然后按 ENTER。

  2. 右键单击“个人”,选择“所有任务”,然后选择“请求新证书”以启动证书注册向导。

  3. 在“开始之前”页面上,选择“下一步”。

  4. 在“选择证书注册策略”页上,单击“下一步”。

  5. 在“请求证书”页上,选择“NPS 服务器身份验证”。

  6. 选择“注册”。

  7. 选择“完成”。

若要验证 NPS 证书,请执行以下操作:

  1. 在证书管理单元的“个人”下,选择“证书”。

    所列证书应显示在详细信息窗格中。

  2. 右键单击具有 NPS 服务器名称的证书,然后选择“打开”。

  3. 在“常规”选项卡上,确认“有效期起始日期”下列出的日期是当天的日期。 如果不是,则可能是选择了错误的证书。

  4. 选择“确定”,然后关闭证书管理单元。

后续步骤