通过

教程:为 AlwaysOn VPN 配置证书颁发机构模板

本教程介绍如何为 AlwaysOn VPN 部署配置证书颁发机构(CA)模板。 该系列将继续在示例环境中部署 AlwaysOn VPN。 之前在系列中,你 部署了一个示例基础结构

CA 模板用于向 VPN 服务器、NPS 服务器和用户颁发证书。 证书用于向客户端验证 VPN 服务器和 NPS 服务器,以及对 VPN 服务器的用户进行身份验证。

在本教程中,你将:

  • 创建用户身份验证模板。
  • 创建 VPN 服务器身份验证模板。
  • 创建 NPS 服务器身份验证模板。
  • 注册并验证用户证书。
  • 注册并验证 VPN 服务器证书。
  • 注册并验证 NPS 服务器证书。

下面是不同模板的说明:

模板 DESCRIPTION
用户身份验证模板 此模板用于颁发 VPN 客户端的用户证书。 用户证书用于向 VPN 服务器验证用户身份。

使用用户身份验证模板,可以通过选择升级的兼容性级别并选择 Microsoft Platform Crypto Provider 来提高证书安全性。 使用 Microsoft 平台加密提供程序,可以在客户端计算机上使用 受信任的平台模块(TPM) 来保护证书。 用户模板已配置为自动注册。
VPN 服务器身份验证模板 此模板用于颁发 VPN 服务器的服务器证书。 服务器证书用于向客户端验证 VPN 服务器。

使用 VPN 服务器身份验证模板,可以添加 IP 安全性 (IPsec) IKE 中间应用程序策略。 IP 安全性 (IPsec) IKE 中间应用程序策略确定证书的使用方式,它允许服务器筛选证书(如果有多个证书可用)。 由于 VPN 客户端从公共互联网对该服务器进行访问,因此主题和备用名称不同于内部服务器名称。 因此,不会为自动注册配置 VPN 服务器证书。
NPS 服务器身份验证模板 此模板用于为 NPS 服务器颁发服务器证书。 NPS 服务器证书用于向 VPN 服务器验证 NPS 服务器。

使用 NPS 服务器身份验证模板,可以复制标准 RAS 和 IAS 服务器模板,并将其配置为适用于 NPS 服务器。 新的 NPS 服务器模板包括服务器身份验证应用程序策略。

若要详细了解 AlwaysOn VPN,包括支持的集成、安全性和连接功能,请参阅 AlwaysOn VPN 概述

先决条件

完成本教程中的步骤需要具备以下各项:

  • 若要完成上一教程中的所有步骤: 部署 AlwaysOn VPN 基础结构

  • 运行受支持的 Windows 版本的 Windows 客户端设备,用于连接到已加入 Active Directory 域的 AlwaysOn VPN。

创建用户身份验证模板

  1. 在本教程中作为域控制器的服务器上安装了 Active Directory 证书服务,打开证书颁发机构的管理单元。

  2. 在左窗格中,右键单击 “证书模板 ”,然后选择“ 管理”。

  3. 在“证书模板”控制台中,右键单击“ 用户 ”,然后选择“ 复制模板”。 在完成输入所有选项卡的信息之前,请勿选择 “应用 ”或“ 确定 ”。 某些选项只能在模板创建时进行配置;如果在输入所有参数之前选择这些按钮,则无法更改它们,否则需要删除模板并重新创建它。

  4. 在“ 新建模板 的属性”对话框中的“ 常规 ”选项卡上,完成以下步骤:

    1. 模板显示名称中,输入 VPN 用户身份验证

    2. 清除 “Active Directory 中的发布证书 ”复选框。

  5. 在“ 安全 ”选项卡上,完成以下步骤:

    1. 选择 “添加”。

    2. 在“选择用户、计算机、服务帐户或组”对话框中,输入 VPN 用户,然后选择“ 确定”。

    3. 组或用户名中,选择 “VPN 用户”。

    4. VPN 用户的权限中,选中“允许”列中的“注册自动注册”复选框。

      重要

      请确保选中“ 读取 权限”复选框。 您需要读取权限才能进行注册。

    5. 组或用户名中,选择“ 域用户”,然后选择“ 删除”。

  6. “兼容性 ”选项卡上,完成以下步骤:

    1. 证书颁发机构中,选择 Windows Server 2016

    2. 在“ 结果更改 ”对话框中,选择“ 确定”。

    3. 证书收件人中,选择 Windows 10/Windows Server 2016

    4. 在“ 结果更改 ”对话框中,选择“ 确定”。

  7. 在“ 请求处理 ”选项卡上,清除 “允许导出私钥”。

  8. 在“ 加密 ”选项卡上,完成以下步骤:

    1. “提供程序类别”中,选择 “密钥存储提供程序”。

    2. 选择 请求必须使用以下提供程序之一

    3. 选择 Microsoft平台加密提供程序Microsoft软件密钥存储提供程序

  9. “主题名称”选项卡上,清除“包括电子邮件名称在主题名称中”,以及“电子邮件名称”

  10. 选择 “确定” 保存 VPN 用户身份验证证书模板。

  11. 关闭证书模板控制台。

  12. 在证书颁发机构管理单元的左窗格中,右键单击 “证书模板”,选择“ 新建 ”,然后选择“ 要颁发的证书模板”。

  13. 选择 VPN 用户身份验证,然后选择“ 确定”。

创建 VPN 服务器身份验证模板

  1. 在证书颁发机构管理单元的左窗格中,右键单击 “证书模板 ”,然后选择“ 管理 ”以打开证书模板控制台。

  2. 在“证书模板”控制台中,右键单击 RAS 和 IAS 服务器 ,然后选择“ 复制模板”。 在完成输入所有选项卡的信息之前,请勿选择 “应用 ”或“ 确定 ”。 某些选项只能在模板创建时进行配置;如果在输入所有参数之前选择这些按钮,则无法更改它们,否则需要删除模板并重新创建它。

  3. 在“ 新建模板 的属性”对话框中的“ 常规 ”选项卡上的 “模板显示名称”中,输入 VPN 服务器身份验证

  4. 在“ 扩展 ”选项卡上,完成以下步骤:

    1. 选择 “应用程序策略”,然后选择“ 编辑”。

    2. “编辑应用程序策略扩展 ”对话框中,选择“ 添加”。

    3. 在“ 添加应用程序策略 ”对话框中,选择 IP 安全 IKE 中间,然后选择“ 确定”。

    4. 选择 “确定 ”以返回到 “新建模板的属性 ”对话框。

  5. 在“ 安全 ”选项卡上,完成以下步骤:

    1. 选择 “添加”。

    2. “选择用户、计算机、服务帐户或组 ”对话框中,输入 VPN 服务器,然后选择“ 确定”。

    3. 组或用户名中,选择 VPN 服务器

    4. VPN 服务器的权限中,在“允许”列中选择“注册”

    5. 组或用户名中,选择 RAS 和 IAS 服务器,然后选择“ 删除”。

  6. “使用者名称 ”选项卡上,完成以下步骤:

    1. 选择“在请求中提供”

    2. 在“ 证书模板 警告”对话框中,选择“ 确定”。

  7. 选择 “确定 ”保存 VPN 服务器证书模板。

  8. 关闭证书模板控制台。

  9. 在“证书颁发机构”管理单元的左侧窗格中,右键单击“证书模板”。 选择“ 新建 ”,然后选择 要颁发的证书模板

  10. 选择 VPN 服务器身份验证,然后选择“ 确定”。

  11. 重启 VPN 服务器。

创建 NPS 服务器身份验证模板

  1. 在证书颁发机构管理单元的左窗格中,右键单击 “证书模板 ”,然后选择“ 管理 ”以打开证书模板控制台。

  2. 在“证书模板”控制台中,右键单击 RAS 和 IAS 服务器 ,然后选择“ 复制模板”。 在完成输入所有选项卡的信息之前,请勿选择 “应用 ”或“ 确定 ”。 某些选项只能在模板创建时进行配置;如果在输入所有参数之前选择这些按钮,则无法更改它们,否则需要删除模板并重新创建它。

  3. 在“新建模板的属性”对话框中的“ 常规 ”选项卡上的 “模板显示名称”中,输入 NPS 服务器身份验证

  4. 在“ 安全 ”选项卡上,完成以下步骤:

    1. 选择 “添加”。

    2. “选择用户、计算机、服务帐户或组 ”对话框中,输入 NPS 服务器,然后选择“ 确定”。

    3. 组或用户名中,选择 NPS 服务器

    4. NPS 服务器的权限中,选中允许列中的注册

    5. 组或用户名中,选择 RAS 和 IAS 服务器,然后选择“ 删除”。

  5. 选择 “确定 ”保存 NPS 服务器证书模板。

  6. 关闭证书模板控制台。

  7. 在“证书颁发机构”管理单元的左侧窗格中,右键单击“证书模板”。 选择“ 新建 ”,然后选择 要颁发的证书模板

  8. 选择 NPS 服务器身份验证,然后选择“ 确定”。

现在,你创建了需要注册和验证证书的证书模板。

注册并验证用户证书

组策略配置为自动注册用户证书,因此,将策略应用到 Windows 客户端设备后,会自动为正确的证书注册用户帐户。 然后,可以在本地设备上的 “证书 ”控制台中验证证书。

若要检查策略是否已应用,并注册了证书:

  1. 以您为 VPN 用户组 创建的用户身份登录到 Windows 客户端设备。

  2. 打开命令提示符并运行以下命令。 或者,重启 Windows 客户端设备。

    gpupdate /force

  3. 在“开始”菜单上,键入 certmgr.msc,然后按 Enter。

  4. 在证书管理单元的“个人”下,选择“证书”。 证书将显示在详细信息窗格中。

  5. 右键单击具有当前域用户名的证书,然后选择“ 打开”。

  6. 在“ 常规 ”选项卡上,确认“ 有效日期 ”下列出的日期是今天的日期。 如果没有,则可能选择了错误的证书。

  7. 选择“确定”,然后关闭证书管理单元

注册并验证 VPN 服务器证书

注册 VPN 服务器的证书:

  1. 在 VPN 服务器的“开始”菜单上,键入 certlm.msc 以打开证书管理单元,然后按 Enter。

  2. 右键单击 “个人”,选择“ 所有任务 ”,然后选择“ 请求新证书 ”以启动证书注册向导。

  3. 在“开始之前”页上,选择“ 下一步”。

  4. 在“选择证书注册策略”页上,选择“ 下一步”。

  5. 在“请求证书”页上,选择 “VPN 服务器身份验证”。

  6. 在“VPN 服务器”复选框下,选择需要更多信息以打开“证书属性”对话框。

  7. 选择 “主题 ”选项卡,并在 “使用者名称 ”部分中输入以下信息:

    1. 对于 “类型 ”,请选择 “公用名”。
    2. 对于“值”,请输入由客户端用来连接到 VPN 的外部域的名称(例如 vpn.contoso.com)
    3. 选择 “添加”。

  8. 选择 “确定 ”关闭证书属性。

  9. 选择“注册”。

  10. 选择 “完成”。

验证 VPN 服务器证书:

  1. 在证书管理单元的“个人”下,选择“证书”。 列出的证书应显示在详细信息窗格中。

  2. 右键单击具有 VPN 服务器名称的证书,然后选择“ 打开”。

  3. 在“ 常规 ”选项卡上,确认“ 有效日期 ”下列出的日期是今天的日期。 如果没有,则可能选择了错误的证书。

  4. 在“ 详细信息 ”选项卡上,选择 “增强密钥使用情况”,并验证 IP 安全 IKE 中间 身份验证和 服务器身份验证 是否显示在列表中。

  5. 选择 “确定” 关闭证书。

注册并验证 NPS 证书

申请 NPS 证书的步骤:

  1. 在 NPS 服务器的“开始”菜单上,键入 certlm.msc 以打开证书管理单元,然后按 Enter。

  2. 右键单击 “个人”,选择“ 所有任务 ”,然后选择“ 请求新证书 ”以启动证书注册向导。

  3. 在“开始之前”页上,选择“ 下一步”。

  4. 在“选择证书注册策略”页上,选择“ 下一步”。

  5. 在“请求证书”页上,选择 “NPS 服务器身份验证”。

  6. 选择“注册”。

  7. 选择 “完成”。

验证 NPS 证书:

  1. 在证书管理单元的“个人”下,选择“证书”。 列出的证书应显示在详细信息窗格中。

  2. 右键单击具有 NPS 服务器名称的证书,然后选择“ 打开”。

  3. 在“ 常规 ”选项卡上,确认“ 有效日期 ”下列出的日期是今天的日期。 如果没有,则可能选择了错误的证书。

  4. 选择“确定”,然后关闭证书管理单元

后续步骤

现在,你创建了证书模板并注册了证书,可以将 Windows 客户端设备配置为使用 AlwaysOn VPN 连接。

教程:为 Windows 客户端设备创建 AlwaysOn VPN 连接