共用方式為

教學課程:部署 Always On VPN - 設定憑證授權單位範本

  • 發行項

在部署 Always On VPN 教學課程的這個部分中,您會建立憑證範本,並為您在部署 Always On VPN - 設定環境中建立的 Active Directory (AD) 群組註冊或驗證憑證:

您將建立下列範本:

  • 使用者驗證範本。 透過使用者驗證範本,您可以選取升級的相容性層級並選擇 Microsoft 平台密碼編譯提供者,以提高憑證安全性。 透過 Microsoft 平台密碼編譯提供者,您可以在用戶端電腦上使用信賴平台模組 (TPM) 來保護憑證。 如需 TPM 的概觀,請參閱信賴平台模組技術概觀。 使用者範本將會設定自動註冊。

  • VPN 伺服器驗證範本。 透過 VPN 伺服器驗證範本,您將新增 IP 安全性 (IPsec) IKE 中繼應用程式原則。 IP 安全性 (IPsec) IKE 中繼應用程式原則會決定如何使用憑證,如果有多個憑證可供使用,該原則允許伺服器篩選憑證。 由於 VPN 用戶端會從公用網際網路存取此伺服器,主體和替代名稱與內部伺服器名稱不同。 因此,您不會設定用於自動註冊的 VPN 伺服器憑證。

  • NPS 伺服器驗證範本。 透過 NPS 伺服器驗證範本,您將複製標準 RAS 和 IAS 伺服器範本,並將其範圍設定為 NPS 伺服器。 新的 NPS 伺服器範本包含伺服器驗證應用程式原則。

必要條件

  1. 完成部署 Always On VPN - 設定環境

建立使用者驗證範本

  1. 在 CA 伺服器 (在本教學課程中為網域控制站) 上,開啟 [憑證授權單位] 嵌入式管理單元。

  2. 在左窗格中,以滑鼠右鍵按一下 [憑證範本],然後選取 [管理]。

  3. 在 [憑證範本] 主控台中,以滑鼠右鍵按一下 [使用者],然後選取 [複製範本]。

    警告

    在您完成輸入所有索引標籤的資訊之前,請勿選取 [套用] 或 [確定]。 某些選擇只能在建立範本時設定,如果在輸入「所有」參數之前選取這些按鈕,則無法變更這些參數。 例如,在 [密碼編譯] 索引標籤上,如果 [舊版密碼編譯儲存提供者] 顯示在 [提供者類別] 欄位中,該選項就會變成停用,以防止任何進一步的變更。 唯一的替代方案是刪除範本並加以重新建立。

  4. 在 [新範本的內容] 對話方塊的 [一般] 索引標籤上,完成下列步驟:

    1. 在 [範本顯示名稱] 中,輸入 VPN 使用者驗證

    2. 清除 [將憑證發佈到 Active Directory] 核取方塊。

  5. 在 [安全性] 索引標籤上,完成下列步驟:

    1. 選取新增

    2. 在 [選取使用者、電腦、服務帳戶或群組] 對話方塊中,輸入 VPN 使用者,然後選取 [確定]。

    3. 在 [群組或使用者名稱] 中,選取 [VPN 使用者]。

    4. 在 [VPN 使用者的權限] 中,選取 [允許] 資料行中的 [註冊] 和 [自動註冊] 核取方塊。

      重要

      請務必選取 [讀取權限] 核取方塊。 您需要有讀取權限才能註冊。

    5. 在 [群組或使用者名稱] 中,選取 [網域使用者],然後選取 [移除]。

  6. 在 [相容性] 索引標籤上,完成下列步驟:

    1. 在 [憑證授權單位] 中,選取 [Windows Server 2016]。

    2. 在 [產生的變更] 對話方塊中,選取 [確定]。

    3. 在 [憑證收件者] 中,選取 [Windows 10/Windows Server 2016]。

    4. 在 [產生的變更] 對話方塊中,選取 [確定]。

  7. 在 [要求處理] 索引標籤上,清除 [允許匯出私密金鑰]。

  8. 在 [密碼編譯] 索引標籤上,完成下列步驟:

    1. 在 [提供者類別目錄] 中,選取 [金鑰儲存提供者]。

    2. 選取 [要求必須使用下列其中一個提供者]。

    3. 選取 [Microsoft 平台密碼編譯提供者] 和 [Microsoft 軟體金鑰儲存提供者]。

  9. 在 [主體名稱] 索引標籤上,清除 [在主體名稱中包含電子郵件名稱] 和 [電子郵件名稱]。

  10. 選取 [確定] 以儲存 VPN 使用者驗證憑證範本。

  11. 關閉 [憑證範本] 主控台。

  12. 在 [憑證授權單位] 嵌入式管理單元的左窗格中,以滑鼠右鍵按一下 [憑證範本],選取 [新增],然後選取 [要發出的憑證範本]。

  13. 選取 [VPN 使用者驗證],然後選取 [確定]。

建立 VPN 伺服器驗證範本

  1. 在 [憑證授權單位] 嵌入式管理單元的左窗格中,以滑鼠右鍵按一下 [憑證範本],然後選取 [管理] 以開啟 [憑證範本] 主控台。

  2. 在 [憑證範本] 主控台中,以滑鼠右鍵按一下 [RAS 和 IAS 伺服器],然後選取 [複製範本]。

    警告

    在您完成輸入所有索引標籤的資訊之前,請勿選取 [套用] 或 [確定]。 某些選擇只能在建立範本時設定,如果在輸入「所有」參數之前選取這些按鈕,則無法變更這些參數。 例如,在 [密碼編譯] 索引標籤上,如果 [舊版密碼編譯儲存提供者] 顯示在 [提供者類別] 欄位中,該選項就會變成停用,以防止任何進一步的變更。 唯一的替代方案是刪除範本並加以重新建立。

  3. 在 [新範本的內容] 對話方塊的 [一般] 索引標籤上,於 [範本顯示名稱] 中輸入 VPN 伺服器驗證

  4. 在 [延伸模組] 索引標籤上,完成下列步驟:

    1. 選取 [應用程式原則],然後選取 [編輯]。

    2. 在 [編輯應用程式原則延伸模組] 對話方塊中,選取 [新增]。

    3. 在 [新增應用程式原則] 對話方塊中,選取 [IP 安全性 IKE 中繼],然後選取 [確定]。

    4. 選取 [確定] 以返回 [新範本的內容] 對話方塊。

  5. 在 [安全性] 索引標籤上,完成下列步驟:

    1. 選取新增

    2. 在 [選取使用者、電腦、服務帳戶或群組] 對話方塊中,輸入 VPN 伺服器,然後選取 [確定]。

    3. 在 [群組或使用者名稱] 中,選取 [VPN 伺服器]。

    4. 在 [VPN 伺服器的權限] 中,選取 [允許] 資料行中的 [註冊]。

    5. 在 [群組或使用者名稱] 中,選取 [RAS 和 IAS 伺服器],然後選取 [移除]。

  6. 在 [主體名稱] 索引標籤上,完成下列步驟:

    1. 選取 [在要求中提供]。

    2. 在 [憑證範本] 警告對話方塊中,選取 [確定]。

  7. 選取 [確定] 以儲存 VPN 伺服器憑證範本。

  8. 關閉 [憑證範本] 主控台。

  9. 在 [憑證授權單位] 嵌入式管理單元的左窗格中,以滑鼠右鍵按一下 [憑證範本]。 選取 [新增],然後選取 [要發出的憑證範本]。

  10. 選取 [VPN 伺服器驗證],然後選取 [確定]。

  11. 將 VPN 伺服器重新開機。

建立 NPS 伺服器驗證範本

  1. 在 [憑證授權單位] 嵌入式管理單元的左窗格中,以滑鼠右鍵按一下 [憑證範本],然後選取 [管理] 以開啟 [憑證範本] 主控台。

  2. 在 [憑證範本] 主控台中,以滑鼠右鍵按一下 [RAS 和 IAS 伺服器],然後選取 [複製範本]。

    警告

    在您完成輸入所有索引標籤的資訊之前,請勿選取 [套用] 或 [確定]。 某些選擇只能在建立範本時設定,如果在輸入「所有」參數之前選取這些按鈕,則無法變更這些參數。 例如,在 [密碼編譯] 索引標籤上,如果 [舊版密碼編譯儲存提供者] 顯示在 [提供者類別] 欄位中,該選項就會變成停用,以防止任何進一步的變更。 唯一的替代方案是刪除範本並加以重新建立。

  3. 在 [新範本的內容] 對話方塊的 [一般] 索引標籤上,於 [範本顯示名稱] 中輸入 NPS 伺服器驗證

  4. 在 [安全性] 索引標籤上,完成下列步驟:

    1. 選取新增

    2. 在 [選取使用者、電腦、服務帳戶或群組] 對話方塊中,輸入 NPS 伺服器,然後選取 [確定]。

    3. 在 [群組或使用者名稱] 中,選取 [NPS 伺服器]。

    4. 在 [NPS 伺服器的權限] 中,選取 [允許] 資料行中的 [註冊]。

    5. 在 [群組或使用者名稱] 中,選取 [RAS 和 IAS 伺服器],然後選取 [移除]。

  5. 選取 [確定] 以儲存 NPS 伺服器憑證範本。

  6. 關閉 [憑證範本] 主控台。

  7. 在 [憑證授權單位] 嵌入式管理單元的左窗格中,以滑鼠右鍵按一下 [憑證範本]。 選取 [新增],然後選取 [要發出的憑證範本]。

  8. 選取 [NPS 伺服器驗證],然後選取 [確定]。

註冊並驗證使用者憑證

由於您使用群組原則自動註冊使用者憑證,因此只需要更新原則,Windows 10 就會自動註冊使用者帳戶以取得正確的憑證。 接著,您可以在 [憑證] 主控台中驗證憑證。

若要驗證使用者憑證,請執行下列動作:

  1. 以您為 [VPN 使用者] 群組建立的使用者身分登入 VPN Windows 用戶端。

  2. 按 Windows 鍵 + R、鍵入 gpupdate /force,然後按 ENTER 鍵。

  3. 在 [開始] 功能表上,鍵入 certmgr.msc,然後按 ENTER 鍵。

  4. 在 [憑證] 嵌入式管理單元的 [個人] 底下,選取 [憑證]。 憑證即會顯示在詳細資料窗格中。

  5. 以滑鼠右鍵按一下具有目前網域使用者名稱的憑證,然後選取 [開啟]。

  6. 在 [一般] 索引標籤上,確認 [有效開始日期] 底下列出的日期是今天的日期。 如果不是,您可能已選取錯誤的憑證。

  7. 選取 [確定],然後關閉 [憑證] 嵌入式管理單元。

註冊並驗證 VPN 伺服器憑證

不同於使用者憑證,您必須手動註冊 VPN 伺服器的憑證。

若要註冊 VPN 伺服器的憑證,請執行下列動作:

  1. 在 VPN 伺服器的 [開始] 功能表上,鍵入 certlm.msc 以開啟 [憑證] 嵌入式管理單元,然後按 ENTER 鍵。

  2. 以滑鼠右鍵按一下 [個人],選取 [所有工作],然後選取 [要求新憑證] 以啟動 [憑證註冊] 精靈。

  3. 在 [開始之前] 頁面上,選取 [下一步]。

  4. 在 [選取憑證註冊原則] 頁面上,選取 [下一步]。

  5. 在 [要求憑證] 頁面上,選取 [VPN 伺服器驗證]。

  6. 在 [VPN 伺服器] 核取方塊底下,選取 [需要更多資訊],才能開啟 [憑證內容] 對話方塊。

  7. 選取 [主體] 索引標籤,然後輸入下列資訊:

    在 [主體名稱] 區段中:

    1. 對於 [類型],請選取 [一般名稱]。
    2. 對於 [],請輸入用戶端用來連線至 VPN 的外部網域名稱 (例如 vpn.contoso.com)。
    3. 選取新增

  8. 選取 [確定] 以關閉 [憑證內容]。

  9. 選取 [註冊]。

  10. 選取 [完成] 。

若要驗證 VPN 伺服器憑證,請執行下列動作:

  1. 在 [憑證] 嵌入式管理單元的 [個人] 底下,選取 [憑證]。

    列出的憑證應該會顯示在詳細資料窗格中。

  2. 以滑鼠右鍵按一下具有 VPN 伺服器名稱的憑證,然後選取 [開啟]。

  3. 在 [一般] 索引標籤上,確認 [有效開始日期] 底下列出的日期是今天的日期。 如果不是,您可能已選取錯誤的憑證。

  4. 在 [詳細資料] 索引標籤上,選取 [增強金鑰使用方法],並驗證清單中是否會顯示 [IP 安全性 IKE 中繼] 和 [伺服器驗證]。

  5. 選取 [確定] 以關閉憑證。

註冊並驗證 NPS 憑證

由於您使用群組原則自動註冊 NPS 憑證,因此只需要更新原則,Windows 伺服器就會自動註冊 NPS 伺服器以取得正確的憑證。 接著,您可以在 [憑證] 主控台中驗證憑證。

若要註冊 NPS 憑證,請執行下列動作:

  1. 在 NPS 伺服器的 [開始] 功能表上,鍵入 certlm.msc 以開啟 [憑證] 嵌入式管理單元,然後按 ENTER 鍵。

  2. 以滑鼠右鍵按一下 [個人],選取 [所有工作],然後選取 [要求新憑證] 以啟動 [憑證註冊] 精靈。

  3. 在 [開始之前] 頁面上,選取 [下一步]。

  4. 在 [選取憑證註冊原則] 頁面上,選取 [下一步]。

  5. 在 [要求憑證] 頁面上,選取 [NPS 伺服器驗證]。

  6. 選取 [註冊]。

  7. 選取 [完成] 。

若要驗證 NPS 憑證,請執行下列動作:

  1. 在 [憑證] 嵌入式管理單元的 [個人] 底下,選取 [憑證]。

    列出的憑證應該會顯示在詳細資料窗格中。

  2. 以滑鼠右鍵按一下具有 NPS 伺服器名稱的憑證,然後選取 [開啟]。

  3. 在 [一般] 索引標籤上,確認 [有效開始日期] 底下列出的日期是今天的日期。 如果不是,您可能已選取錯誤的憑證。

  4. 選取 [確定],然後關閉 [憑證] 嵌入式管理單元。

下一步