教學課程：部署 Always On VPN - 設定憑證授權單位範本

• 適用於:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

• 上一頁：1 - 設定 Always On VPN 的基礎結構
• 下一頁：3 - 設定適用於 Windows 10+ 用戶端的 Always On VPN 設定檔

在部署 Always On VPN 教學課程的這個部分中，您會建立憑證範本，並為您在部署 Always On VPN - 設定環境中建立的 Active Directory (AD) 群組註冊或驗證憑證：

您將建立下列範本：

• 使用者驗證範本。 透過使用者驗證範本，您可以選取升級的相容性層級並選擇 Microsoft 平台密碼編譯提供者，以提高憑證安全性。 透過 Microsoft 平台密碼編譯提供者，您可以在用戶端電腦上使用信賴平台模組 (TPM) 來保護憑證。 如需 TPM 的概觀，請參閱信賴平台模組技術概觀。 使用者範本將會設定自動註冊。

• VPN 伺服器驗證範本。 透過 VPN 伺服器驗證範本，您將新增 IP 安全性 (IPsec) IKE 中繼應用程式原則。 IP 安全性 (IPsec) IKE 中繼應用程式原則會決定如何使用憑證，如果有多個憑證可供使用，該原則允許伺服器篩選憑證。 由於 VPN 用戶端會從公用網際網路存取此伺服器，主體和替代名稱與內部伺服器名稱不同。 因此，您不會設定用於自動註冊的 VPN 伺服器憑證。

• NPS 伺服器驗證範本。 透過 NPS 伺服器驗證範本，您將複製標準 RAS 和 IAS 伺服器範本，並將其範圍設定為 NPS 伺服器。 新的 NPS 伺服器範本包含伺服器驗證應用程式原則。

必要條件

1. 完成部署 Always On VPN - 設定環境。

建立使用者驗證範本

1. 在 CA 伺服器 (在本教學課程中為網域控制站) 上，開啟 [憑證授權單位] 嵌入式管理單元。

2. 在左窗格中，以滑鼠右鍵按一下 [憑證範本]，然後選取 [管理]。

3. 在 [憑證範本] 主控台中，以滑鼠右鍵按一下 [使用者]，然後選取 [複製範本]。

   警告

   在您完成輸入所有索引標籤的資訊之前，請勿選取 [套用] 或 [確定]。 某些選擇只能在建立範本時設定，如果在輸入「所有」參數之前選取這些按鈕，則無法變更這些參數。 例如，在 [密碼編譯] 索引標籤上，如果 [舊版密碼編譯儲存提供者] 顯示在 [提供者類別] 欄位中，該選項就會變成停用，以防止任何進一步的變更。 唯一的替代方案是刪除範本並加以重新建立。

4. 在 [新範本的內容] 對話方塊的 [一般] 索引標籤上，完成下列步驟：

   1. 在 [範本顯示名稱] 中，輸入 VPN 使用者驗證。

   2. 清除 [將憑證發佈到 Active Directory] 核取方塊。

5. 在 [安全性] 索引標籤上，完成下列步驟：

   1. 選取新增。

   2. 在 [選取使用者、電腦、服務帳戶或群組] 對話方塊中，輸入 VPN 使用者，然後選取 [確定]。

   3. 在 [群組或使用者名稱] 中，選取 [VPN 使用者]。

   4. 在 [VPN 使用者的權限] 中，選取 [允許] 資料行中的 [註冊] 和 [自動註冊] 核取方塊。

      重要

      請務必選取 [讀取權限] 核取方塊。 您需要有讀取權限才能註冊。

   5. 在 [群組或使用者名稱] 中，選取 [網域使用者]，然後選取 [移除]。

6. 在 [相容性] 索引標籤上，完成下列步驟：

   1. 在 [憑證授權單位] 中，選取 [Windows Server 2016]。

   2. 在 [產生的變更] 對話方塊中，選取 [確定]。

   3. 在 [憑證收件者] 中，選取 [Windows 10/Windows Server 2016]。

   4. 在 [產生的變更] 對話方塊中，選取 [確定]。

7. 在 [要求處理] 索引標籤上，清除 [允許匯出私密金鑰]。

8. 在 [密碼編譯] 索引標籤上，完成下列步驟：

   1. 在 [提供者類別目錄] 中，選取 [金鑰儲存提供者]。

   2. 選取 [要求必須使用下列其中一個提供者]。

   3. 選取 [Microsoft 平台密碼編譯提供者] 和 [Microsoft 軟體金鑰儲存提供者]。

9. 在 [主體名稱] 索引標籤上，清除 [在主體名稱中包含電子郵件名稱] 和 [電子郵件名稱]。

10. 選取 [確定] 以儲存 VPN 使用者驗證憑證範本。

11. 關閉 [憑證範本] 主控台。

12. 在 [憑證授權單位] 嵌入式管理單元的左窗格中，以滑鼠右鍵按一下 [憑證範本]，選取 [新增]，然後選取 [要發出的憑證範本]。

13. 選取 [VPN 使用者驗證]，然後選取 [確定]。

建立 VPN 伺服器驗證範本

1. 在 [憑證授權單位] 嵌入式管理單元的左窗格中，以滑鼠右鍵按一下 [憑證範本]，然後選取 [管理] 以開啟 [憑證範本] 主控台。

2. 在 [憑證範本] 主控台中，以滑鼠右鍵按一下 [RAS 和 IAS 伺服器]，然後選取 [複製範本]。

   警告

   在您完成輸入所有索引標籤的資訊之前，請勿選取 [套用] 或 [確定]。 某些選擇只能在建立範本時設定，如果在輸入「所有」參數之前選取這些按鈕，則無法變更這些參數。 例如，在 [密碼編譯] 索引標籤上，如果 [舊版密碼編譯儲存提供者] 顯示在 [提供者類別] 欄位中，該選項就會變成停用，以防止任何進一步的變更。 唯一的替代方案是刪除範本並加以重新建立。

3. 在 [新範本的內容] 對話方塊的 [一般] 索引標籤上，於 [範本顯示名稱] 中輸入 VPN 伺服器驗證。

4. 在 [延伸模組] 索引標籤上，完成下列步驟：

   1. 選取 [應用程式原則]，然後選取 [編輯]。

   2. 在 [編輯應用程式原則延伸模組] 對話方塊中，選取 [新增]。

   3. 在 [新增應用程式原則] 對話方塊中，選取 [IP 安全性 IKE 中繼]，然後選取 [確定]。

   4. 選取 [確定] 以返回 [新範本的內容] 對話方塊。

5. 在 [安全性] 索引標籤上，完成下列步驟：

   1. 選取新增。

   2. 在 [選取使用者、電腦、服務帳戶或群組] 對話方塊中，輸入 VPN 伺服器，然後選取 [確定]。

   3. 在 [群組或使用者名稱] 中，選取 [VPN 伺服器]。

   4. 在 [VPN 伺服器的權限] 中，選取 [允許] 資料行中的 [註冊]。

   5. 在 [群組或使用者名稱] 中，選取 [RAS 和 IAS 伺服器]，然後選取 [移除]。

6. 在 [主體名稱] 索引標籤上，完成下列步驟：

   1. 選取 [在要求中提供]。

   2. 在 [憑證範本] 警告對話方塊中，選取 [確定]。

7. 選取 [確定] 以儲存 VPN 伺服器憑證範本。

8. 關閉 [憑證範本] 主控台。

9. 在 [憑證授權單位] 嵌入式管理單元的左窗格中，以滑鼠右鍵按一下 [憑證範本]。 選取 [新增]，然後選取 [要發出的憑證範本]。

10. 選取 [VPN 伺服器驗證]，然後選取 [確定]。

11. 將 VPN 伺服器重新開機。

建立 NPS 伺服器驗證範本

1. 在 [憑證授權單位] 嵌入式管理單元的左窗格中，以滑鼠右鍵按一下 [憑證範本]，然後選取 [管理] 以開啟 [憑證範本] 主控台。

2. 在 [憑證範本] 主控台中，以滑鼠右鍵按一下 [RAS 和 IAS 伺服器]，然後選取 [複製範本]。

   警告

   在您完成輸入所有索引標籤的資訊之前，請勿選取 [套用] 或 [確定]。 某些選擇只能在建立範本時設定，如果在輸入「所有」參數之前選取這些按鈕，則無法變更這些參數。 例如，在 [密碼編譯] 索引標籤上，如果 [舊版密碼編譯儲存提供者] 顯示在 [提供者類別] 欄位中，該選項就會變成停用，以防止任何進一步的變更。 唯一的替代方案是刪除範本並加以重新建立。

3. 在 [新範本的內容] 對話方塊的 [一般] 索引標籤上，於 [範本顯示名稱] 中輸入 NPS 伺服器驗證。

4. 在 [安全性] 索引標籤上，完成下列步驟：

   1. 選取新增。

   2. 在 [選取使用者、電腦、服務帳戶或群組] 對話方塊中，輸入 NPS 伺服器，然後選取 [確定]。

   3. 在 [群組或使用者名稱] 中，選取 [NPS 伺服器]。

   4. 在 [NPS 伺服器的權限] 中，選取 [允許] 資料行中的 [註冊]。

   5. 在 [群組或使用者名稱] 中，選取 [RAS 和 IAS 伺服器]，然後選取 [移除]。

5. 選取 [確定] 以儲存 NPS 伺服器憑證範本。

6. 關閉 [憑證範本] 主控台。

7. 在 [憑證授權單位] 嵌入式管理單元的左窗格中，以滑鼠右鍵按一下 [憑證範本]。 選取 [新增]，然後選取 [要發出的憑證範本]。

8. 選取 [NPS 伺服器驗證]，然後選取 [確定]。

註冊並驗證使用者憑證

由於您使用群組原則自動註冊使用者憑證，因此只需要更新原則，Windows 10 就會自動註冊使用者帳戶以取得正確的憑證。 接著，您可以在 [憑證] 主控台中驗證憑證。

若要驗證使用者憑證，請執行下列動作：

1. 以您為 [VPN 使用者] 群組建立的使用者身分登入 VPN Windows 用戶端。

2. 按 Windows 鍵 + R、鍵入 gpupdate /force，然後按 ENTER 鍵。

3. 在 [開始] 功能表上，鍵入 certmgr.msc，然後按 ENTER 鍵。

4. 在 [憑證] 嵌入式管理單元的 [個人] 底下，選取 [憑證]。 憑證即會顯示在詳細資料窗格中。

5. 以滑鼠右鍵按一下具有目前網域使用者名稱的憑證，然後選取 [開啟]。

6. 在 [一般] 索引標籤上，確認 [有效開始日期] 底下列出的日期是今天的日期。 如果不是，您可能已選取錯誤的憑證。

7. 選取 [確定]，然後關閉 [憑證] 嵌入式管理單元。

註冊並驗證 VPN 伺服器憑證

不同於使用者憑證，您必須手動註冊 VPN 伺服器的憑證。

若要註冊 VPN 伺服器的憑證，請執行下列動作：

1. 在 VPN 伺服器的 [開始] 功能表上，鍵入 certlm.msc 以開啟 [憑證] 嵌入式管理單元，然後按 ENTER 鍵。

2. 以滑鼠右鍵按一下 [個人]，選取 [所有工作]，然後選取 [要求新憑證] 以啟動 [憑證註冊] 精靈。

3. 在 [開始之前] 頁面上，選取 [下一步]。

4. 在 [選取憑證註冊原則] 頁面上，選取 [下一步]。

5. 在 [要求憑證] 頁面上，選取 [VPN 伺服器驗證]。

6. 在 [VPN 伺服器] 核取方塊底下，選取 [需要更多資訊]，才能開啟 [憑證內容] 對話方塊。

7. 選取 [主體] 索引標籤，然後輸入下列資訊：

   在 [主體名稱] 區段中：

   1. 對於 [類型]，請選取 [一般名稱]。
   2. 對於 [值]，請輸入用戶端用來連線至 VPN 的外部網域名稱 (例如 vpn.contoso.com)。
   3. 選取新增。

8. 選取 [確定] 以關閉 [憑證內容]。

9. 選取 [註冊]。

10. 選取 [完成] 。

若要驗證 VPN 伺服器憑證，請執行下列動作：

1. 在 [憑證] 嵌入式管理單元的 [個人] 底下，選取 [憑證]。

   列出的憑證應該會顯示在詳細資料窗格中。

2. 以滑鼠右鍵按一下具有 VPN 伺服器名稱的憑證，然後選取 [開啟]。

3. 在 [一般] 索引標籤上，確認 [有效開始日期] 底下列出的日期是今天的日期。 如果不是，您可能已選取錯誤的憑證。

4. 在 [詳細資料] 索引標籤上，選取 [增強金鑰使用方法]，並驗證清單中是否會顯示 [IP 安全性 IKE 中繼] 和 [伺服器驗證]。

5. 選取 [確定] 以關閉憑證。

註冊並驗證 NPS 憑證

由於您使用群組原則自動註冊 NPS 憑證，因此只需要更新原則，Windows 伺服器就會自動註冊 NPS 伺服器以取得正確的憑證。 接著，您可以在 [憑證] 主控台中驗證憑證。

若要註冊 NPS 憑證，請執行下列動作：

1. 在 NPS 伺服器的 [開始] 功能表上，鍵入 certlm.msc 以開啟 [憑證] 嵌入式管理單元，然後按 ENTER 鍵。

2. 以滑鼠右鍵按一下 [個人]，選取 [所有工作]，然後選取 [要求新憑證] 以啟動 [憑證註冊] 精靈。

3. 在 [開始之前] 頁面上，選取 [下一步]。

4. 在 [選取憑證註冊原則] 頁面上，選取 [下一步]。

5. 在 [要求憑證] 頁面上，選取 [NPS 伺服器驗證]。

6. 選取 [註冊]。

7. 選取 [完成] 。

若要驗證 NPS 憑證，請執行下列動作：

1. 在 [憑證] 嵌入式管理單元的 [個人] 底下，選取 [憑證]。

   列出的憑證應該會顯示在詳細資料窗格中。

2. 以滑鼠右鍵按一下具有 NPS 伺服器名稱的憑證，然後選取 [開啟]。

3. 在 [一般] 索引標籤上，確認 [有效開始日期] 底下列出的日期是今天的日期。 如果不是，您可能已選取錯誤的憑證。

4. 選取 [確定]，然後關閉 [憑證] 嵌入式管理單元。

下一步

• 部署 Always On VPN 教學課程：設定 Windows 用戶端 Always On VPN 連線

• Always On VPN 疑難排解