チュートリアル: Always On VPN の展開 - 証明機関テンプレートを構成する

• 適用対象:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

• 戻る: 1 - Always On VPN のインフラストラクチャを設定する
• 次へ: 3 - Windows 10 以降のクライアント用の Always On VPN プロファイルを構成する

Always On VPN の展開のチュートリアルのこの部分では、「Always On VPN の展開 - 環境の設定」で作成した Active Directory (AD) グループの証明書テンプレートを作成し、証明書を登録または検証します。

次のテンプレートを作成できます。

• ユーザー認証テンプレート。 ユーザー認証テンプレートを使用すると、アップグレードされた互換性レベルを選択し、[Microsoft プラットフォーム暗号化プロバイダー] を選択して、証明書のセキュリティを向上させることができます。 Microsoft プラットフォーム暗号化プロバイダーを使用すると、クライアント コンピューターでトラステッド プラットフォーム モジュール (TPM) を使用して証明書をセキュリティで保護できます。 TPM の概要については、「トラステッド プラットフォーム モジュール テクノロジの概要」を参照してください。 ユーザー テンプレートは自動登録用に構成されます。

• VPN サーバー認証テンプレート。 VPN サーバー認証テンプレートを使用して、IP セキュリティ (IPsec) IKE 中間アプリケーション ポリシーを追加します。 IP セキュリティ (IPsec) IKE 中間アプリケーション ポリシーにより、証明書の使用方法が決定され、複数の証明書が使用可能な場合にサーバーで証明書をフィルター処理できます。 VPN クライアントはパブリック インターネットからこのサーバーにアクセスするため、サブジェクト名と代替名は内部サーバー名とは異なります。 その結果、VPN サーバー証明書は自動登録用に構成されません。

• NPS サーバー認証テンプレート。 NPS サーバー認証テンプレートを使用して、標準の RAS および IAS サーバー テンプレートをコピーし、NPS サーバーのスコープに設定します。 新しい NPS サーバー テンプレートには、サーバー認証アプリケーション ポリシーが含まれています。

前提条件

1. Always On VPN の展開 - 環境の設定を完了していること。

ユーザー認証テンプレートを作成する

1. このチュートリアルのドメイン コントローラーである CA サーバーで、証明機関スナップインを開きます。

2. 左側のウィンドウで、[証明書テンプレート] を右クリックし、[管理] を選択します。

3. [証明書テンプレート] コンソールで、[ユーザー] を右クリックし、[テンプレートの複製] を選択します。

   警告

   すべてのタブの情報の入力が完了するまで、[適用] や [OK] を選択しないでください。 一部の選択肢はテンプレートの作成時にのみ構成でき、すべてのパラメーターを入力する前にこれらのボタンを選択した場合、これらを変更できません。 たとえば、[暗号化] タブの [プロバイダーカテゴリ] フィールドに [レガシー暗号化記憶域プロバイダー] が表示されている場合、これは無効になり、それ以上は変更できなくなります。 唯一の選択肢は、テンプレートを削除して再作成することです。

4. [新しいテンプレートのプロパティ] ダイアログボックスの [全般] タブで、次の手順を実行します。

   1. [テンプレート表示名] に「VPN ユーザー認証」と入力します。

   2. [Active Directory の証明書を発行する] チェック ボックスをオフにします。

5. [セキュリティ] タブで、次の手順を実行します。

   1. [追加] を選択します。

   2. [ユーザー、コンピューター、サービス アカウントまたはグループの選択] ダイアログで、「VPN Users」と入力し、[OK] を選択します。

   3. [グループ名またはユーザー名] で [VPN ユーザー] を選択します。

   4. VPN ユーザーのアクセス許可 で、許可 列の 登録 および 自動登録 チェックボックスをオンにします。

      重要

      必ず [読み取り] アクセス許可のチェックボックスがオンになっていることを確認してください。 登録には読み取りアクセス許可が必要です。

   5. [グループ名またはユーザー名] で、[ドメイン ユーザー] を選択し、[削除] を選択します。

6. [互換性] タブで、次の手順を実行します。

   1. [証明機関] で、[Windows Server 2016] を選択します。

   2. [結果的な変更] ダイアログで [OK] を選択します。

   3. [証明書の受信者] で、[Windows 10/Windows Server 2016] を選択します。

   4. [結果的な変更] ダイアログで [OK] を選択します。

7. [要求処理] タブで、[秘密キーのエクスポートを許可する] をオフにします。

8. [暗号化] タブで、次の手順を実行します。

   1. プロバイダーのカテゴリで [キー記憶域プロバイダー] を選択します。

   2. [要求時に次のいずれかのプロバイダーを使用する必要がある] を選択します。

   3. Microsoft プラットフォーム暗号化プロバイダーと Microsoft Software Key Storage Provider の両方を選択します。

9. [サブジェクト名] タブで、[サブジェクト名に電子メールの名前を含める] および [電子メール名] をオフにします。

10. [OK] をクリックして、VPN ユーザー認証証明書テンプレートを保存します。

11. 証明書テンプレート コンソールを閉じます。

12. [証明機関] スナップインの左側のウィンドウで、[証明書テンプレート] を右クリックし、[新規作成] を選択して [発行する証明書テンプレート] を選択します。

13. [VPN ユーザー認証] を選択し、[OK] をクリックします。

VPN サーバーの認証テンプレートを作成する

1. [証明機関] スナップインの左側のウィンドウで、[証明書テンプレート] を右クリックし、[管理] を選択して証明書テンプレート コンソールを開きます。

2. [証明書テンプレート] コンソールで、[RAS および IAS サーバー] を右クリックし、[テンプレートの複製] を選択します。

   警告

   すべてのタブの情報の入力が完了するまで、[適用] や [OK] を選択しないでください。 一部の選択肢はテンプレートの作成時にのみ構成でき、すべてのパラメーターを入力する前にこれらのボタンを選択した場合、これらを変更できません。 たとえば、[暗号化] タブの [プロバイダーカテゴリ] フィールドに [レガシー暗号化記憶域プロバイダー] が表示されている場合、これは無効になり、それ以上は変更できなくなります。 唯一の選択肢は、テンプレートを削除して再作成することです。

3. [新しいテンプレートのプロパティ] ダイアログ ボックスの [全般] タブで、[テンプレートの表示名] に「VPN Server Authentication」と入力します。

4. [拡張] タブで、次の手順を実行します。

   1. [アプリケーション ポリシー] を選択し、[編集] を選択します。

   2. [アプリケーション ポリシー拡張の編集] ダイアログで、[追加] を選択します。

   3. [アプリケーション ポリシーの追加] ダイアログで、[IP セキュリティ IKE 中間] を選択して、[OK] を選択します。

   4. [OK] を選択して、[新しいテンプレートのプロパティ] ダイアログに戻ります。

5. [セキュリティ] タブで、次の手順を実行します。

   1. [追加] を選択します。

   2. [ユーザー、コンピューター、サービス アカウントまたはグループの選択] ダイアログで、「VPN Users」と入力し、[OK] を選択します。

   3. [グループ名またはユーザー名] で [VPN サーバー] を選択します。

   4. [VPN サーバーのアクセス許可] で、[許可] 列の [登録] を選択します。

   5. [グループ名またはユーザー名] で、[RAS および IAS サーバー] を選択し、[削除] をクリックします。

6. [サブジェクト名] タブで、次の手順を実行します。

   1. [要求に含める] を選択します。

   2. [証明書テンプレート] の警告ダイアログボックスで、[OK] を選択します。

7. [OK] をクリックして、VPN サーバー証明書テンプレートを保存します。

8. 証明書テンプレート コンソールを閉じます。

9. [証明機関] スナップインの左側のウィンドウで、[証明書テンプレート] を右クリックします。 [新規作成] を選択し、[発行する証明書テンプレート] を選択します。

10. [VPN サーバー認証] を選択し、[OK] を選択します。

11. VPN サーバーを再起動します。

NPS サーバーの認証テンプレートを作成する

1. [証明機関] スナップインの左側のウィンドウで、[証明書テンプレート] を右クリックし、[管理] を選択して証明書テンプレート コンソールを開きます。

2. [証明書テンプレート] コンソールで、[RAS および IAS サーバー] を右クリックし、[テンプレートの複製] を選択します。

   警告

   すべてのタブの情報の入力が完了するまで、[適用] や [OK] を選択しないでください。 一部の選択肢はテンプレートの作成時にのみ構成でき、すべてのパラメーターを入力する前にこれらのボタンを選択した場合、これらを変更できません。 たとえば、[暗号化] タブの [プロバイダーカテゴリ] フィールドに [レガシー暗号化記憶域プロバイダー] が表示されている場合、これは無効になり、それ以上は変更できなくなります。 唯一の選択肢は、テンプレートを削除して再作成することです。

3. [新しいテンプレートのプロパティ] ダイアログ ボックスの [全般] タブで、[テンプレートの表示名] に「NPS Server Authentication」と入力します。

4. [セキュリティ] タブで、次の手順を実行します。

   1. [追加] を選択します。

   2. [ユーザー、コンピューター、サービス アカウントまたはグループの選択] ダイアログで、「NPS Users」と入力し、[OK] を選択します。

   3. [グループ名またはユーザー名] で [NPS サーバー] を選択します。

   4. [NPS サーバーのアクセス許可] で、[許可] 列の [登録] を選択します。

   5. [グループ名またはユーザー名] で、[RAS および IAS サーバー] を選択し、[削除] をクリックします。

5. [OK] をクリックして、NPS サーバー証明書テンプレートを保存します。

6. 証明書テンプレート コンソールを閉じます。

7. [証明機関] スナップインの左側のウィンドウで、[証明書テンプレート] を右クリックします。 [新規作成] を選択し、[発行する証明書テンプレート] を選択します。

8. [NPS サーバー認証] を選択し、[OK] を選択します。

ユーザー証明書を登録および検証する

グループ ポリシーを使用してユーザー証明書を自動登録するため、ポリシーのみを更新する必要があります。Windows 10 によって、正しい証明書のユーザーアカウントが自動的に登録されます。 その後、証明書コンソールで証明書を検証します。

ユーザー証明書を検証するには:

1. VPN ユーザー グループ用に作成したユーザーとして、VPN Windows クライアントにサインインします。

2. Windows キー + R キーを押し、「gpupdate /force」と入力して、Enter キーを押します。

3. [スタート] メニューで「certmgr.msc」と入力して、Enter キーを押します。

4. [証明書] スナップインで、[個人] の [証明書] を選択します。 証明書が詳細ウィンドウに表示されます。

5. 最新のドメイン ユーザー名を持つ証明書を右クリックし、[開く] をクリックします。

6. [全般] タブで、[有効期間の開始] で表示されている日付が今日の日付であることを確認します。 そうでない場合は、間違った証明書を選択している可能性があります。

7. [OK] を選択し、[証明書] スナップインを閉じます。

VPN サーバー証明書を登録および検証する

VPN サーバーの証明書は、ユーザー証明書とは異なり、手動で登録する必要があります。

VPN サーバーの証明書を登録するには:

1. VPN サーバーの [スタート] メニューで、「certlm.msc」と入力して証明書スナップインを開き、Enter キーを押します。

2. [個人] を右クリックし、[すべてのタスク] を選択し、[新しい証明書の要求] をクリックして証明書の登録ウィザードを起動します。

3. [開始する前に] ページで、[次へ ] を選択します。

4. [証明書の登録ポリシーの選択] ページで、[次へ] をクリックします。

5. [証明書の要求] ページで、[VPN サーバー認証] を選択します。

6. [VPN サーバー] チェック ボックスで、[詳細情報が必要] をクリックして [証明書のプロパティ] ダイアログボックスを開きます。

7. [サブジェクト] タブを選択し、次の情報を入力します。

   [サブジェクト名] セクションで、次の操作を行います。

   1. [種類] に [共通名] を選択します。
   2. [値] に、クライアントが VPN への接続に使用する外部ドメインの名前 (たとえば、vpn.contoso.com) を入力します。
   3. [追加] を選択します。

8. [OK] を選択して証明書のプロパティを閉じます。

9. [登録] を選択します。

10. [完了] を選択します。

VPN サーバー証明書を検証するには:

1. [証明書] スナップインで、[個人] の [証明書] を選択します。

   一覧表示された証明書が詳細ウィンドウに表示されます。

2. VPN サーバーの名前が含まれている証明書を右クリックし、[開く] を選択します。

3. [全般] タブで、[有効期間の開始] で表示されている日付が今日の日付であることを確認します。 そうでない場合は、間違った証明書を選択している可能性があります。

4. [詳細] タブで、[拡張キー使用法] を選択し、[IP セキュリティ IKE 中間] と [サーバー認証] が一覧に表示されていることを確認します。

5. [OK] をクリックして、[証明書] ダイアログ ボックスを閉じます。

NPS 証明書を登録および検証する

グループ ポリシーを使用して NPS 証明書を自動登録するため、ポリシーのみを更新する必要があります。Windows サーバーによって、正しい証明書の NPS サーバーが自動的に登録されます。 その後、証明書コンソールで証明書を検証します。

NPS 証明書を登録するには:

1. NPS サーバーの [スタート] メニューで、「certlm.msc」と入力して証明書スナップインを開き、Enter キーを押します。

2. [個人] を右クリックし、[すべてのタスク] を選択し、[新しい証明書の要求] をクリックして証明書の登録ウィザードを起動します。

3. [開始する前に] ページで、[次へ ] を選択します。

4. [証明書の登録ポリシーの選択] ページで、[次へ] をクリックします。

5. [証明書の要求] ページで、[NPS サーバー認証] を選択します。

6. [登録] を選択します。

7. [完了] を選択します。

NPS 証明書を検証するには:

1. [証明書] スナップインで、[個人] の [証明書] を選択します。

   一覧表示された証明書が詳細ウィンドウに表示されます。

2. NPS サーバーの名前が含まれている証明書を右クリックし、[開く] をクリックします。

3. [全般] タブで、[有効期間の開始] で表示されている日付が今日の日付であることを確認します。 そうでない場合は、間違った証明書を選択している可能性があります。

4. [OK] を選択し、[証明書] スナップインを閉じます。

次のステップ

• Always On VPN の展開のチュートリアル: Windows クライアントの Always On VPN 接続を構成する

• Always On VPN のトラブルシューティング