Tutorial: Implantar VPN Always On - Configurar modelos de Autoridade de Certificação
- Anterior: 1 - Infraestrutura de configuração para VPN Always On
- Próximo: 3 - Configurar o perfil VPN Always On para clientes Windows 10+
Nesta parte do tutorial Implantar VPN Always On, você criará modelos de certificado e registrará ou validará certificados para os grupos do Ative Directory (AD) criados em Implantar VPN Always On - Configurar o ambiente:
Você criará os seguintes modelos:
Modelo de autenticação do usuário. Com um modelo de autenticação de usuário, você pode melhorar a segurança do certificado selecionando níveis de compatibilidade atualizados e escolhendo o Microsoft Platform Crypto Provider. Com o Microsoft Platform Crypto Provider, você pode usar um TPM (Trusted Platform Module) em computadores cliente para proteger o certificado. Para obter uma visão geral do TPM, consulte Visão geral da tecnologia Trusted Platform Module. O modelo de usuário será configurado para registro automático.
modelo de autenticação do servidor VPN. Com um modelo de autenticação de servidor VPN, você adicionará a política de aplicativo IKE Intermediate de Segurança IP (IPsec). A política de aplicativo IKE Intermediate de Segurança IP (IPsec) determina como o certificado pode ser usado, pode permitir que o servidor filtre certificados se mais de um certificado estiver disponível. Como os clientes VPN acessam esse servidor pela Internet pública, o assunto e os nomes alternativos são diferentes do nome do servidor interno. Como resultado, você não configurará o certificado do servidor VPN para registro automático.
modelo de autenticação do servidor NPS. Com um modelo de autenticação de servidor NPS, você copiará o modelo padrão de Servidores RAS e IAS e o definirá o escopo para seu servidor NPS. O novo modelo de servidor NPS inclui a política de aplicativo de autenticação do servidor.
Pré-requisitos
Criar o modelo de autenticação do usuário
No servidor da autoridade de certificação, que neste tutorial é o controlador de domínio, abra o snap-in da Autoridade de Certificação.
No painel esquerdo, clique com o botão direito do rato em Modelos de Certificado e selecione Gerir.
No console Modelos de Certificado, clique com o botão direito do mouse Usuário e selecione Modelo Duplicado.
Advertência
Não selecione Aplicar ou OK até ter concluído a inserção de informação para todos os separadores. Algumas opções só podem ser configuradas na criação do modelo, se você selecionar esses botões antes de inserir TODOS os parâmetros, não poderá alterá-los. Por exemplo, no separador Criptografia, se o Provedor de Armazenamento Criptográfico Legado for exibido no campo Categoria do Provedor, ele será desativado, impedindo qualquer alteração adicional. A única alternativa é excluir o modelo e recriá-lo.
Na caixa de diálogo Propriedades do Novo Modelo, no separador Geral, faça o seguinte:
Em Nome de exibição do modelo, insira Autenticação de Utilizador VPN.
Desmarque a caixa de seleção Publicar Certificado no Active Directory.
Na guia de segurança, conclua as seguintes etapas:
Selecione Adicionar.
Na caixa de diálogo Selecionar Utilizadores, Computadores, Contas de Serviço ou Grupos, introduza Utilizadores VPN e, em seguida, selecione OK.
Em Nomes de grupo ou de utilizador, selecione Utilizadores VPN.
Em Permissões para Utilizadores de VPN, selecione as caixas de seleção Inscrever e Inscrição Automática na coluna Permitir.
Importante
Certifique-se de manter a caixa de seleção de permissão de leitura marcada. Você precisará de permissões de Leitura para se inscrever.
Em Nomes de grupo ou de utilizador, selecione Utilizadores do Domínioe, em seguida, selecione Remover.
Na guia de Compatibilidade , conclua as seguintes etapas:
Em Autoridade de Certificação, selecione Windows Server 2016.
Na caixa de diálogo Alterações resultantes , selecione OK.
Em destinatário do certificado, selecione Windows 10/Windows Server 2016.
Na caixa de diálogo Alterações resultantes , selecione OK.
Na guia Tratamento de Solicitações, desmarque Permitir que a chave privada seja exportada .
Na guia Criptografia, conclua as seguintes etapas:
Em Categoria de Provedor, selecione Provedor de Armazenamento de Chaves.
Selecione As solicitações devem usar um dos seguintes provedores.
Selecione Microsoft Platform Crypto Provider e Microsoft Software Key Storage Provider.
Na aba Nome do Assunto, desmarque a opção Incluir nome de e-mail no nome do assunto e Nome de e-mail.
Selecione OK para salvar o modelo de certificado de Autenticação de Usuário VPN.
Feche a consola de Modelos de Certificado.
No painel esquerdo do snap-in Autoridade de Certificação, clique com o botão direito do rato, Modelos de Certificado, selecione Novo e, em seguida, selecione Modelo de Certificado para Emitir.
Selecione Autenticação de Utilizador VPN, em seguida, selecione OK.
Criar o modelo de autenticação do Servidor VPN
No painel esquerdo do snap-in da Autoridade de Certificação, clique com o botão direito do rato em Modelos de Certificado e selecione Gerir para abrir o console Modelos de Certificado.
No console Modelos de Certificado, clique com o botão direito do mouse Servidor RAS e IAS e selecione Modelo Duplicado.
Advertência
Não selecione Aplicar ou OK até ter terminado de inserir as informações em todos os separadores. Algumas opções só podem ser configuradas na criação do modelo, se você selecionar esses botões antes de inserir TODOS os parâmetros, não poderá alterá-los. Por exemplo, no separador Criptografia, se Provedor de Armazenamento Criptográfico Legado for exibido no campo Categoria do Provedor, ele será desativado, impedindo qualquer alteração adicional. A única alternativa é excluir o modelo e recriá-lo.
Na caixa de diálogo Propriedades do Novo Modelo, no separador Geral, em Nome para exibição do modelo, digite Autenticação do Servidor VPN.
Na guia Extensões, conclua as seguintes etapas:
Selecione Políticas de Aplicaçãoe, em seguida, selecione Editar.
Na caixa de diálogo Editar Extensão de Políticas de Aplicativo, selecione Adicionar.
Na caixa de diálogo Adicionar Diretiva de Aplicativo, selecione IKE intermediário de segurança IP e, em seguida, selecione OK.
Selecione OK para retornar à caixa de diálogo Propriedades do Novo Modelo.
Na guia de segurança , conclua as seguintes etapas:
Selecione Adicionar.
Na caixa de diálogo Selecionar Utilizadores, Computadores, Contas de Serviço ou Grupos, digite Servidores VPN e depois selecione OK.
Em Nomes de grupo ou de usuário, selecione Servidores VPN.
Em Permissões para Servidores VPN, selecione Inscrever-se na coluna Permitir.
Em Nomes de grupo ou de utilizador, selecione Servidores RAS e IAS; em seguida, selecione Remover.
Na guia Nome do Assunto, conclua as seguintes etapas:
Selecione Suprimento no Pedido.
Na caixa de diálogo de aviso Modelos de Certificado, selecione OK.
Selecione OK para salvar o modelo de certificado do Servidor VPN.
Feche o console de Modelos de Certificado.
No painel esquerdo do snap-in Autoridade de Certificação, clique com o botão direito do mouse Modelos de Certificado. Selecione Novo e, em seguida, selecione Modelo de Certificado a Emitir.
Selecione de Autenticação do Servidor VPN e, em seguida, selecione OK.
Reinicialize o servidor VPN.
Criar o modelo de autenticação do Servidor NPS
No painel esquerdo do snap-in Autoridade de Certificação, clique com o botão direito do rato em Modelos de Certificado e selecione Gerir para abrir o console Modelos de Certificado.
No console Modelos de Certificado, clique com o botão direito do mouse Servidor RAS e IAS e selecione Modelo Duplicado.
Advertência
Não selecione Aplicar ou OK até ter concluído a introdução de todas as informações nos separadores. Algumas opções só podem ser configuradas na criação do modelo, se você selecionar esses botões antes de inserir TODOS os parâmetros, não poderá alterá-los. Por exemplo, no separador Criptografia, se Provedor de Armazenamento Criptográfico Legado for exibido no campo Categoria do Provedor, ele será desativado, impedindo qualquer alteração adicional. A única alternativa é excluir o modelo e recriá-lo.
Na caixa de diálogo Propriedades do Modelo Novo, no separador Geral, em Nome para exibição do modelo, introduza Autenticação do Servidor NPS .
Na guia de segurança , conclua as seguintes etapas:
Selecione Adicionar.
Na caixa de diálogo Selecionar Utilizadores, Computadores, Contas de Serviço ou Grupos, digite Servidores NPSe, em seguida, selecione OK.
Em Nomes de grupo ou de usuário, selecione Servidores NPS.
Em Permissões para Servidores NPS, selecione Registrar na coluna Permitir.
Em Nomes de grupo ou de utilizador, selecione Servidores RAS e IASe depois selecione Remover.
Selecione OK para salvar o modelo de certificado do Servidor NPS.
Feche o console de Modelos de Certificado.
No painel esquerdo da extensão Autoridade de Certificação, clique com o botão direito do rato no menu Modelos de Certificado. Selecione Novo e, em seguida, selecione Modelo de Certificado para Emitir.
Selecione de Autenticação do Servidor NPS e, em seguida, selecione OK.
Registrar e validar o certificado de usuário
Como você está usando a Política de Grupo para registrar automaticamente certificados de usuário, você só precisa atualizar a política e o Windows 10 registrará automaticamente a conta de usuário para o certificado correto. Em seguida, você pode validar o certificado no console Certificados.
Para validar o certificado de usuário:
Entre no cliente VPN do Windows como o usuário que você criou para o grupo Usuários VPN.
Pressione a tecla Windows + R, digite gpupdate /forcee pressione ENTER.
No menu Iniciar, digite certmgr.msce pressione ENTER.
No snap-in Certificados, na secção Pessoal, selecione Certificados. Seus certificados aparecem no painel de detalhes.
Clique com o botão direito do rato no certificado que tem o seu nome de utilizador de domínio atual e, em seguida, selecione Abrir.
Na guia Geral, confirme se a data listada em Válido desde é a data de hoje. Se não estiver, você pode ter selecionado o certificado errado.
Selecione OKe feche o snap-in de Certificados.
Registrar e validar o certificado do servidor VPN
Ao contrário do certificado de usuário, você deve registrar manualmente o certificado do servidor VPN.
Para registrar o certificado do servidor VPN:
No menu Iniciar do servidor VPN, escreva certlm.msc para abrir o snap-in de Certificados e pressione ENTER.
Clique com o botão direito do rato Pessoal, selecione Todas as Tarefas e, em seguida, selecione Solicitar Novo Certificado para iniciar o Assistente de Registo de Certificados.
Na página Antes de começar, selecione Avançar.
Na página Selecionar Política de Registro de Certificado, selecione Avançar.
Na página Solicitar Certificados, selecione de Autenticação do Servidor VPN.
Na caixa de seleção Servidor VPN, marque Mais informações são necessárias para abrir a caixa de diálogo Propriedades do Certificado.
Selecione a aba Assunto e insira as seguintes informações:
Na seção Nome do assunto:
- Para Tipo selecione Nome comum.
- Para Valor, insira o nome do domínio externo que os clientes usam para se conectar à VPN (por exemplo, vpn.contoso.com).
- Selecione Adicionar.
Selecione OK para fechar Propriedades do Certificado.
Selecione Inscrever-se.
Selecione Concluir.
Para validar o certificado do servidor VPN:
Na extensão Certificados, em Pessoal , selecione Certificados .
Os certificados listados devem aparecer no painel de detalhes.
Clique com o botão direito do rato no certificado que tem o nome do seu servidor VPN e, em seguida, selecione Abrir.
Na aba Geral, confirme se a data listada sob Válido desde é a data de hoje. Se não estiver, você pode ter selecionado o certificado errado.
Na guia Detalhes, selecione Uso Avançado de Chavee verifique se segurança IP intermediário IKE e Autenticação de Servidor são exibidos na lista.
Selecione OK para fechar o certificado.
Registrar e validar o certificado NPS
Como você está usando a Diretiva de Grupo para registrar automaticamente certificados NPS, você só precisa atualizar a política, e o servidor Windows registrará automaticamente o servidor NPS para obter o certificado correto. Em seguida, você pode validar o certificado no console Certificados.
Para registrar o certificado NPS:
No menu Iniciar do servidor NPS, digite certlm.msc para abrir o snap-in Certificados e pressione ENTER.
Clique com o botão direito do rato no Pessoal, selecione Todas as Tarefas e, em seguida, selecione Solicitar Novo Certificado para iniciar o Assistente de Inscrição de Certificados.
Na página Antes de começar, selecione Avançar.
Na página Selecionar Política de Registro de Certificado, selecione Avançar.
Na página Solicitar Certificados, selecione Autenticação do Servidor NPS.
Selecione Inscrever-se.
Selecione Concluir.
Para validar o certificado NPS:
No snap-in Certificados, em Pessoal , selecione Certificados .
Os certificados listados devem aparecer no painel de detalhes.
Clique com o botão direito do rato no certificado que tem o nome do servidor NPS e, em seguida, selecione Abrir.
Na aba Geral, confirme se a data listada em Válido a partir de é a data de hoje. Se não estiver, você pode ter selecionado o certificado errado.
Selecione OKe depois feche Certificados no snap-in.