教程:部署 Always On VPN - 配置证书颁发机构模板
在“部署 Always On VPN”教程的这一部分,你将创建证书模板,并为在部署 Always On VPN - 设置环境中创建的 Active Directory (AD) 组注册或验证证书:
你将创建以下模板:
用户身份验证模板。 使用用户身份验证模板,可以通过选择已升级的兼容性级别并选择 Microsoft 平台加密提供程序来提高证书安全性。 借助 Microsoft 平台加密提供程序,可以在客户端计算机上使用受信任的平台模块 (TPM) 来保护证书。 有关 TPM 的概述,请参阅受信任的平台模块技术概述。 将配置用于自动注册的用户模板。
VPN 服务器身份验证模板。 在 VPN 服务器身份验证模板中,你将添加 IP 安全性 (IPsec) IKE 中间应用程序策略。 IP 安全性 (IPsec) IKE 中间应用程序策略决定了证书的使用方式,如果有多个可用证书,它可以允许服务器筛选证书。 由于 VPN 客户端从公共 Internet 访问此服务器,使用者名称和备用名称与内部服务器名称不同。 因此,你将不会为自动注册配置 VPN 服务器证书。
NPS 服务器身份验证模板。 在 NPS 服务器身份验证模板中,你将复制标准 RAS 和 IAS 服务器模板,并将其范围限定为你的 NPS 服务器。 新的 NPS 服务器模板包括服务器身份验证应用程序策略。
先决条件
创建用户身份验证模板
在 CA 服务器(本教程中为域控制器)上,打开“证书颁发机构”管理单元。
在左侧窗格中,右键单击“证书模板”并选择“管理”。
在“证书模板”控制台中,右键单击“用户”,然后选择“复制模板”。
警告
在所有选项卡中输入完信息之前,请不要选择“应用”或“确定”。 某些选项只能在创建模板时配置,如果在输入所有参数之前选择这些按钮,将无法更改这些选项。 例如,在“加密”选项卡上,如果“提供程序类别”字段中显示“旧版加密存储提供程序”,则会禁用该提供程序,从而阻止任何进一步的更改。 唯一的替代方法是删除模板并重新创建它。
在“新模板的属性”对话框中的“常规”选项卡上,完成以下步骤:
在“模板显示名称”中,输入“VPN 用户身份验证”。
清除“在 Active Directory 中颁发证书”复选框。
在“安全性”选项卡上,完成以下步骤:
选择“添加” 。
在“选择用户、计算机、服务帐户或组”对话框中输入“VPN 用户”,然后选择“确定”。
在“组或用户名”中,选择“VPN 用户”。
在“VPN 用户的权限”中,选中“允许”列中的“注册”和“自动注册”复选框。
重要
确保将“读取”权限复选框保持选中状态。 需要使用“读取”权限来注册。
在“组或用户名”中,选择“域用户”,然后选择“删除”。
在“兼容性”选项卡上,完成以下步骤:
在“证书颁发机构”中,选择“Windows Server 2016”。
在“产生的更改”对话框中,选择“确定”。
在“证书接收人”中,选择“Windows 10/Windows Server 2016”。
在“产生的更改”对话框中,选择“确定”。
在“请求处理”选项卡上,清除“允许导出私钥”。
在“加密”选项卡上,完成以下步骤:
在“提供程序类别”下,选择“密钥存储提供程序”。
选择“请求必须使用以下提供程序之一”。
选择“Microsoft 平台加密提供程序”和“Microsoft 软件密钥存储提供程序”。
在“使用者名称”选项卡上,清除“在使用者名称中包括电子邮件名”和“电子邮件名”。
选择“确定”以保存 VPN 用户身份验证证书模板。
关闭证书模板控制台。
在“证书颁发机构”管理单元的左侧窗格中,右键单击“证书模板”,选择“新建”,然后选择“要颁发的证书模板”。
选择“VPN 用户身份验证”,然后选择“确定”。
创建 VPN 服务器身份验证模板
在“证书颁发机构”管理单元的左侧窗格中,右键单击“证书模板”,然后选择“管理”打开“证书模板”控制台。
在“证书模板”控制台中,右键单击“RAS 和 IAS 服务器”,然后选择“复制模板”。
警告
在所有选项卡中输入完信息之前,请不要选择“应用”或“确定”。 某些选项只能在创建模板时配置,如果在输入所有参数之前选择这些按钮,将无法更改这些选项。 例如,在“加密”选项卡上,如果“提供程序类别”字段中显示“旧版加密存储提供程序”,则会禁用该提供程序,从而阻止任何进一步的更改。 唯一的替代方法是删除模板并重新创建它。
在“新模板的属性”对话框的“常规”选项卡上的“模板显示名称”中,输入“VPN 服务器身份验证”。
在“扩展”选项卡上,完成以下步骤:
选择“应用程序策略”,然后选择“编辑”。
在“编辑应用程序策略扩展”对话框中,选择“添加”。
在“添加应用程序策略”对话框中,选择“IP 安全 IKE 中级”,然后选择“确定”。
选择“确定”返回到“新模板的属性”对话框。
在“安全性”选项卡上,完成以下步骤:
选择“添加” 。
在“选择用户、计算机、服务帐户或组”对话框中,输入“VPN 服务器”,然后选择“确定”。
在“组或用户名”中,选择“VPN 服务器”。
在“VPN 服务器的权限”中,选择“允许”列中的“注册”。
在“组或用户名”中,选择“RAS 和 IAS 服务器”,然后选择“删除”。
在“使用者名称”选项卡上,完成以下步骤:
选择“在请求中提供”。
在“证书模板”警告对话框中,选择“确定”。
选择“确认”以保存 VPN 服务器证书模板。
关闭证书模板控制台。
在“证书颁发机构”管理单元的左侧窗格中,右键单击“证书模板”。 选择“新建”,然后选择“要颁发的证书模板”。
选择“VPN 服务器身份验证”,然后选择“确定”。
重新启动 VPN 服务器。
创建 NPS 服务器身份验证模板
在“证书颁发机构”管理单元的左侧窗格中,右键单击“证书模板”,然后选择“管理”打开“证书模板”控制台。
在“证书模板”控制台中,右键单击“RAS 和 IAS 服务器”,然后选择“复制模板”。
警告
在所有选项卡中输入完信息之前,请不要选择“应用”或“确定”。 某些选项只能在创建模板时配置,如果在输入所有参数之前选择这些按钮,将无法更改这些选项。 例如,在“加密”选项卡上,如果“提供程序类别”字段中显示“旧版加密存储提供程序”,则会禁用该提供程序,从而阻止任何进一步的更改。 唯一的替代方法是删除模板并重新创建它。
在“新模板的属性”对话框的“常规”选项卡上的“模板显示名称”中,输入“NPS 服务器身份验证”。
在“安全性”选项卡上,完成以下步骤:
选择“添加” 。
在“选择用户、计算机、服务帐户或组”对话框中,输入“NPS 服务器”,然后选择“确定”。
在“组或用户名”中,选择“NPS 服务器”。
在“NPS 服务器的权限”中,选择“允许”列中的“注册”。
在“组或用户名”中,选择“RAS 和 IAS 服务器”,然后选择“删除”。
选择“确认”以保存 NPS 服务器证书模板。
关闭证书模板控制台。
在“证书颁发机构”管理单元的左侧窗格中,右键单击“证书模板”。 选择“新建”,然后选择“要颁发的证书模板”。
选择“NPS 服务器身份验证”,然后选择“确定”。
注册并验证用户证书
由于你将使用组策略来自动注册用户证书,因此只需更新策略,Windows 10 将自动注册用户帐户以获取正确的证书。 然后,可以在证书控制台中验证证书。
若要验证用户证书,请执行以下操作:
以你为“VPN 用户”组创建的用户身份登录到 VPN Windows 客户端。
按 Windows 徽标键 + R,键入 gpupdate /force,然后按 ENTER。
在“开始”菜单中键入 certmgr.msc,然后按 ENTER。
在证书管理单元的“个人”下,选择“证书”。 证书将显示在详细信息窗格中。
右键单击具有当前域用户名的证书,然后选择“打开”。
在“常规”选项卡上,确认“有效期起始日期”下列出的日期是当天的日期。 如果不是,则可能是选择了错误的证书。
选择“确定”,然后关闭证书管理单元。
注册并验证 VPN 服务器证书
与用户证书不同,必须手动注册 VPN 服务器的证书。
若要注册 VPN 服务器的证书,请执行以下操作:
在 VPN 服务器的“开始”菜单中,键入 certlm.msc 打开“证书”管理单元,然后按 ENTER。
右键单击“个人”,选择“所有任务”,然后选择“请求新证书”以启动证书注册向导。
在“开始之前”页面上,选择“下一步”。
在“选择证书注册策略”页上,单击“下一步”。
在“请求证书”页上,选择“VPN 服务器身份验证”。
在“VPN 服务器”复选框下,选择“需要更多信息”打开“证书属性”对话框。
选择“使用者”选项卡并输入以下信息:
在“使用者名称”部分:
- 对于“类型”,请选择“公用名”。
- 对于“值”,请输入由客户端用来连接到 VPN 的外部域的名称(例如 vpn.contoso.com)。
- 选择 添加 。
选择“确定”关闭“证书属性”。
选择“注册”。
选择“完成”。
若要验证 VPN 服务器证书,请执行以下操作:
在证书管理单元的“个人”下,选择“证书”。
所列证书应显示在详细信息窗格中。
右键单击具有 VPN 服务器名称的证书,然后选择“打开”。
在“常规”选项卡上,确认“有效期起始日期”下列出的日期是当天的日期。 如果不是,则可能是选择了错误的证书。
在“详细信息 ”选项卡上,选择“增强型密钥用法”,并验证“IP 安全 IKE 中级”和“服务器身份验证”是否显示在列表中。
选择“确定”关闭该证书。
注册并验证 NPS 证书
由于你将使用组策略来自动注册 NPS 证书,因此只需更新策略,Windows 服务器将自动注册 NPS 服务器以获取正确的证书。 然后,可以在证书控制台中验证证书。
若要注册 NPS 证书,请执行以下操作:
在 NPS 服务器的“开始”菜单中,键入 certlm.msc 打开“证书”管理单元,然后按 ENTER。
右键单击“个人”,选择“所有任务”,然后选择“请求新证书”以启动证书注册向导。
在“开始之前”页面上,选择“下一步”。
在“选择证书注册策略”页上,单击“下一步”。
在“请求证书”页上,选择“NPS 服务器身份验证”。
选择“注册”。
选择“完成”。
若要验证 NPS 证书,请执行以下操作:
在证书管理单元的“个人”下,选择“证书”。
所列证书应显示在详细信息窗格中。
右键单击具有 NPS 服务器名称的证书,然后选择“打开”。
在“常规”选项卡上,确认“有效期起始日期”下列出的日期是当天的日期。 如果不是,则可能是选择了错误的证书。
选择“确定”,然后关闭证书管理单元。