Tutorial: implantar VPN Always On – Configurar modelos de Autoridade de Certificação
- Anterior: 1 – Configurar infraestrutura para Always On VPN
- Próximo: 3 – Configurar perfil da VPN Always On para clientes do Windows 10+
Nesta parte do tutorial Implantar VPN Always On, você criará modelos de certificado e registrará ou validará certificados para os grupos do Active Directory (AD) criados em Implantar VPN Always On – Configurar o ambiente:
Você criará os seguintes modelos:
Modelo de autenticação do usuário. Com um modelo de autenticação de usuário, você pode melhorar a segurança do certificado selecionando níveis de compatibilidade atualizados e escolhendo o Provedor de Criptografia da Plataforma Microsoft. Com o Provedor de Criptografia da Plataforma Microsoft, você pode usar um TPM (Trusted Platform Module) em computadores cliente para proteger o certificado. Para obter uma visão geral do TPM, confira Visão geral da tecnologia Trusted Platform Module. O modelo de usuário será configurado para registro automático.
Modelo de autenticação de servidor de VPN. Com um modelo de autenticação de servidor de VPN, você adiciona a política de aplicativo intermediária IKE de IPsec (Segurança IP). A política de aplicativo intermediária IKE de IPsec (Segurança IP) determina como o certificado pode ser usado e pode permitir ao servidor filtrar certificados, caso mais de um certificado esteja disponível. Como os clientes VPN acessam esse servidor da Internet pública, a entidade e os nomes alternativos são diferentes do nome do servidor interno. Como resultado, você não configurará o certificado do servidor de VPN para fazer registro automático.
Modelo de autenticação de servidor de NPS. Com um modelo de autenticação de servidor NPS, você copiará o modelo padrão de servidores RAS e IAS e os definirá como escopo para o servidor de NPS. O novo modelo de servidor de NPS inclui a política de aplicativo de autenticação de servidor.
Pré-requisitos
Criar o modelo de autenticação de usuário
No servidor da CA, que neste tutorial é o controlador de domínio, abra o snap-in da Autoridade de Certificação.
No painel esquerdo, clique com o botão direito do mouse em Modelos de certificado e selecione Gerenciar.
No console modelos de certificado, clique com o botão direito do mouse em Usuário e selecione Duplicar modelo.
Aviso
Não selecione Aplicar ou OK até que você tenha concluído a inserção de informações em todas as guias. Algumas opções só poderão ser configuradas na criação do modelo, se você selecionar esses botões antes de inserir TODOS os parâmetros, não será possível alterá-los. Por exemplo, na guia Criptografia, se o Provedor de armazenamento criptográfico herdado aparecer no campo Categoria do provedor, ele será desabilitado, impedindo qualquer alteração adicional. A única alternativa é excluir o modelo e recriá-lo.
Na caixa de diálogo Propriedades de modelo novo, na guia Geral, conclua as seguintes etapas:
Em Nome de exibição do modelo, insira Autenticação do usuário de VPN.
Desmarque a caixa de seleção Publicar certificado no Active Directory.
Na guia Segurança, conclua as seguintes etapas:
Selecione Adicionar.
Na caixa de diálogo Selecionar usuários, Computadores, Contas de serviço ou grupos, insira Usuários VPN e selecione OK.
Em Nomes de grupo ou de usuário, selecione Usuários de VPN.
Em Permissões para usuários VPN, marque as caixas de seleção Registrar e Registrar automaticamente na coluna Permitir.
Importante
Certifique-se de manter a caixa de seleção Permissão de leitura selecionada. Você precisará de permissões de leitura para registrar.
Em Nomes de grupo ou de usuário, selecione Usuários de domínio e, em seguida, Remover.
Na guia Compatibilidade, conclua as seguintes etapas:
Em Autoridade de Certificação, selecione Windows Server 2016.
Na caixa de diálogo Alterações resultantes, selecione OK.
Em Destinatário do certificado, selecione Windows 10/Windows Server 2016.
Na caixa de diálogo Alterações resultantes, selecione OK.
Na guia Tratamento de solicitação, desmarque Permitir que a chave privada seja exportada.
Na guia Criptografia, conclua as seguintes etapas:
Em Categoria de provedor, selecione Provedor de armazenamento de chaves.
Selecionar Solicitações devem usar um dos provedores a seguir.
Selecione Provedor de Criptografia da Plataforma Microsoft e Provedor de armazenamento de chaves de software da Microsoft.
Na guia Nome de entidade, desmarque Incluir nome de email na entidade de email e Nome de email.
Selecione OK para salvar o modelo de certificado da Autenticação de Usuário VPN.
Feche o console de Modelos de Certificado.
No painel esquerdo do snap-in da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de certificado, selecione Novo e, em seguida, selecione Modelo de certificado para emitir.
Selecione Autenticação de Usuário VPN e, em seguida, selecione OK.
Criar o modelo de autenticação de servidor de VPN
No painel esquerdo do snap-in da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de certificado e selecione Gerenciar para abrir o console de modelos de certificado.
No console modelos de certificado, clique com o botão direito do mouse em Servidor RAS e IAS e selecione Duplicar modelo.
Aviso
Não selecione Aplicar ou OK até que você tenha concluído a inserção de informações em todas as guias. Algumas opções só poderão ser configuradas na criação do modelo, se você selecionar esses botões antes de inserir TODOS os parâmetros, não será possível alterá-los. Por exemplo, na guia Criptografia, se o Provedor de armazenamento criptográfico herdado aparecer no campo Categoria do provedor, ele será desabilitado, impedindo qualquer alteração adicional. A única alternativa é excluir o modelo e recriá-lo.
Na caixa de diálogo Propriedades de modelo novo, na guia Geral, em Nome de exibição de modelo, insira Autenticação do servidor de VPN.
Na guia Extensões, conclua as seguintes etapas:
Selecione Políticas de aplicativo e, em seguida, Editar.
Na caixa de diálogo Editar extensão de políticas de aplicativo, selecione Adicionar.
Na caixa de diálogo Adicionar política de aplicativo, selecione Intermediário IKE de segurança IP e, em seguida, selecione OK.
Selecione OK para retornar à caixa de diálogo Propriedades de modelo novo.
Na guia Segurança, conclua as seguintes etapas:
Selecione Adicionar.
Na caixa de diálogo Selecionar usuários, computadores, contas de serviço ou grupos, insira os Servidores de VPN e selecione OK.
Em Nomes de grupo ou de usuário, selecione Servidores de VPN.
Em Permissões para servidores de VPN, selecione Registrar na coluna Permitir.
Em Nomes de grupo ou de usuário, selecione Servidores RAS e IAS e, em seguida, selecione Remover.
Na guia Nome da Entidade, conclua as seguintes etapas:
Selecione Fornecer na solicitação.
Na caixa de diálogo aviso Modelos de certificado, selecione OK.
Clique em OK para salvar o modelo de certificado do Servidor de VPN.
Feche o console de Modelos de Certificado.
No painel esquerdo do snap-in da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de certificado. Selecione Novo e, em seguida, selecione Modelo de certificado para emitir.
Selecione Autenticação de servidor de VPN e, em seguida, selecione OK.
Reinicializar o servidor de VPN.
Criar o modelo de autenticação de servidor de NPS
No painel esquerdo do snap-in da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de certificado e selecione Gerenciar para abrir o console de modelos de certificado.
No console modelos de certificado, clique com o botão direito do mouse em Servidor RAS e IAS e selecione Duplicar modelo.
Aviso
Não selecione Aplicar ou OK até que você tenha concluído a inserção de informações em todas as guias. Algumas opções só poderão ser configuradas na criação do modelo, se você selecionar esses botões antes de inserir TODOS os parâmetros, não será possível alterá-los. Por exemplo, na guia Criptografia, se o Provedor de armazenamento criptográfico herdado aparecer no campo Categoria do provedor, ele será desabilitado, impedindo qualquer alteração adicional. A única alternativa é excluir o modelo e recriá-lo.
Na caixa de diálogo Propriedades de modelo novo, na guia Geral, em Nome de exibição de modelo, insira Autenticação do servidor de NPS.
Na guia Segurança, conclua as seguintes etapas:
Selecione Adicionar.
Na caixa de diálogo Selecionar usuários, computadores, contas de serviço ou grupos, insira os Servidores de NPS e selecione OK.
Em Nomes de grupo ou de usuário, selecione Servidores de NPS.
Em Permissões para servidores de NPS, selecione Registrar na coluna Permitir.
Em Nomes de grupo ou de usuário, selecione Servidores RAS e IAS e, em seguida, selecione Remover.
Clique em OK para salvar o modelo de certificado do Servidor de NPS.
Feche o console de Modelos de Certificado.
No painel esquerdo do snap-in da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de certificado. Selecione Novo e, em seguida, selecione Modelo de certificado para emitir.
Selecione Autenticação de servidor de NPS e, em seguida, selecione OK.
Registrar e validar o certificado do usuário
Como você está usando a Política de Grupo para registrar automaticamente certificados de usuário, você só precisa atualizar a política e o Windows 10 registrará automaticamente a conta de usuário para o certificado correto. Em seguida, você pode validar o certificado no console de certificados.
Para validar o certificado do usuário:
Entre no cliente VPN do Windows como o usuário que você criou para o grupo Usuários de VPN.
Pressione a tecla Windows + R, digite gpupdate /force e pressione ENTER.
No menu Iniciar, digite certmgr.msc e pressione ENTER.
No snap-in de Certificados, em Pessoal, selecione Certificados. Seus certificados são exibidos no painel de detalhes.
Clique com o botão direito do mouse no certificado que tem o nome de usuário do domínio atual e selecione Abrir.
Na guia Geral, confirme se a data listada em Válido a partir de é a data de hoje. Caso não seja, você pode ter selecionado o certificado errado.
Selecione OK e feche o snap-in de Certificados.
Registrar e validar o certificado do servidor VPN
Ao contrário do certificado do usuário, você deve registrar manualmente o certificado do servidor de VPN.
Para registrar o certificado do servidor de VPN:
No menu Iniciar do servidor de VPN, digite certlm.msc para abrir o snap-in de Certificados e pressione ENTER.
Clique com o botão direito do mouse em Pessoal, selecione Todas as tarefas e, em seguida, selecione Solicitar novo certificado para iniciar o Assistente de registro de certificado.
Na página Antes de começar, selecione Avançar.
Na página Selecionar política de registro de certificado, selecione Avançar.
Na página Solicitar certificados, selecione Autenticação de servidor de VPN.
Na caixa de seleção do servidor de VPN, selecione Mais informações são necessárias para abrir a caixa de diálogo Propriedades do certificado.
Selecione a guia Entidade e insira as seguintes informações:
Na seção Nome da entidade:
- Para o Tipo, selecione Nome comum.
- Em Valor, insira o nome do domínio externo que os clientes usam para se conectar à VPN (por exemplo, vpn.contoso.com).
- Selecione Adicionar.
Selecione OK para fechar Propriedades do certificado.
Selecione Registrar.
Selecione Concluir.
Para validar o certificado do servidor de VPN:
No snap-in de Certificados, em Pessoal, selecione Certificados.
Os certificados listados devem ser exibidos no painel de detalhes.
Clique com o botão direito do mouse no certificado que tem o nome do servidor de VPN e selecione Abrir.
Na guia Geral, confirme se a data listada em Válido a partir de é a data de hoje. Caso não seja, você pode ter selecionado o certificado errado.
Na guia Detalhes, selecione Uso de chave aprimorado e verifique se a Intermediária IKE de segurança IP e a Autenticação de servidor são exibidas na lista.
SelecioneOK para fechar o certificado.
Registrar e validar o certificado de NPS
Como você está usando a Política de Grupo para registrar automaticamente certificados de NPS, você só precisa atualizar a política e o servidor do Windows registrará automaticamente o servidor de NPS para o certificado correto. Em seguida, você pode validar o certificado no console de certificados.
Para registrar o certificado de NPS:
No menu Iniciar do servidor de NPS, digite certlm.msc para abrir o snap-in de Certificados e pressione ENTER.
Clique com o botão direito do mouse em Pessoal, selecione Todas as tarefas e, em seguida, selecione Solicitar novo certificado para iniciar o Assistente de registro de certificado.
Na página Antes de começar, selecione Avançar.
Na página Selecionar política de registro de certificado, selecione Avançar.
Na página Solicitar certificados, selecione Autenticação de servidor de NPS.
Selecione Registrar.
Selecione Concluir.
Para validar o certificado de NPS:
No snap-in de Certificados, em Pessoal, selecione Certificados.
Os certificados listados devem ser exibidos no painel de detalhes.
Clique com o botão direito do mouse no certificado que tem o nome do servidor de NPS e selecione Abrir.
Na guia Geral, confirme se a data listada em Válido a partir de é a data de hoje. Caso não seja, você pode ter selecionado o certificado errado.
Selecione OK e feche o snap-in de Certificados.