Partager via

Tutoriel : Configurer des modèles d’autorité de certification pour un VPN Always On

Ce tutoriel vous montre comment configurer les modèles d’autorité de certification pour le déploiement VPN Always On. Il poursuit la série pour déployer un VPN Always On dans un exemple d’environnement. Précédemment dans la série, vous avez déployé un exemple d’infrastructure.

Les modèles d’autorité de certification sont utilisés pour émettre des certificats au serveur VPN, au serveur NPS et aux utilisateurs. Les certificats sont utilisés pour authentifier le serveur VPN et le serveur NPS auprès des clients, et pour authentifier les utilisateurs auprès du serveur VPN.

Dans ce tutoriel, vous allez :

  • Créez un modèle d’authentification utilisateur.
  • Créez un modèle d’authentification de serveur VPN.
  • Créez un modèle d’authentification serveur NPS.
  • Inscrivez et validez le certificat utilisateur.
  • Inscrivez et validez le certificat de serveur VPN.
  • Inscrivez et validez le certificat de serveur NPS.

Voici une description des différents modèles :

Template Descriptif
Modèle d’authentification utilisateur Ce modèle est utilisé pour émettre des certificats utilisateur pour les clients VPN. Le certificat utilisateur est utilisé pour authentifier l’utilisateur auprès du serveur VPN.

Avec un modèle d’authentification utilisateur, vous pouvez améliorer la sécurité des certificats en sélectionnant les niveaux de compatibilité mis à niveau et en choisissant le fournisseur de chiffrement de plateforme Microsoft. Avec le fournisseur de chiffrement de plateforme Microsoft, vous pouvez utiliser un module de plateforme sécurisée (TPM) sur les ordinateurs clients pour sécuriser le certificat. Le modèle d’utilisateur est configuré pour l’inscription automatique.
Modèle d’authentification du serveur VPN Ce modèle est utilisé pour émettre un certificat de serveur pour le serveur VPN. Le certificat de serveur est utilisé pour authentifier le serveur VPN auprès du client.

Avec un modèle d’authentification de serveur VPN, vous ajoutez la stratégie d’application intermédiaire IPsec (IP Security). La stratégie d’application intermédiaire IPsec (IP Security) IKE détermine la façon dont le certificat peut être utilisé, il peut permettre au serveur de filtrer les certificats si plusieurs certificats sont disponibles. Étant donné que les clients VPN accèdent à ce serveur à partir de l’Internet public, l’objet et les autres noms sont différents du nom du serveur interne. Par conséquent, vous ne configurez pas le certificat de serveur VPN pour l’inscription automatique.
Modèle d’authentification serveur NPS Ce modèle est utilisé pour émettre un certificat de serveur pour le serveur NPS. Le certificat de serveur NPS est utilisé pour authentifier le serveur NPS auprès du serveur VPN.

Avec un modèle d’authentification serveur NPS, vous copiez le modèle de serveurs RAS et IAS standard et vous l’étendez pour votre serveur NPS. Le nouveau modèle de serveur NPS inclut la stratégie d’application d’authentification du serveur.

Pour en savoir plus sur le VPN Always On, notamment les intégrations prises en charge, la sécurité et les fonctionnalités de connectivité, consultez Vue d’ensemble du VPN Always On.

Conditions préalables

Pour effectuer les étapes décrites dans ce tutoriel, vous avez besoin des éléments suivants :

  • Pour effectuer toutes les étapes décrites dans le tutoriel précédent : Déployer l’infrastructure VPN Always On.

  • Un appareil client Windows exécutant une version prise en charge de Windows pour se connecter à un VPN Always On joint au domaine Active Directory.

Créer le modèle d’authentification utilisateur

  1. Sur le serveur avec les services de certificats Active Directory installés, qui dans ce didacticiel est le contrôleur de domaine, ouvrez le composant logiciel enfichable Autorité de certification.

  2. Dans le volet gauche, cliquez avec le bouton droit sur Modèles de certificat , puis sélectionnez Gérer.

  3. Dans la console Modèles de certificat, cliquez avec le bouton droit sur Utilisateur et sélectionnez Modèle en double. Ne sélectionnez pas Appliquer ou OK tant que vous n’avez pas terminé d’entrer des informations pour tous les onglets. Certains choix ne peuvent être configurés qu’au moment de la création du modèle ; si vous sélectionnez ces boutons avant d’entrer tous les paramètres que vous ne pouvez pas modifier, sinon vous devez supprimer le modèle et le recréer.

  4. Dans la boîte de dialogue Propriétés du nouveau modèle , sous l’onglet Général , procédez comme suit :

    1. Dans le nom d'affichage du modèle, entrez Authentification utilisateur VPN.

    2. Désactivez la case à cocher Publier le certificat dans Active Directory .

  5. Sous l’onglet Sécurité , procédez comme suit :

    1. Sélectionnez Ajouter.

    2. Dans la boîte de dialogue Sélectionner des utilisateurs, ordinateurs, comptes de service ou groupes, entrez des utilisateurs VPN, puis sélectionnez OK.

    3. Dans les noms de groupe ou d’utilisateur, sélectionnez Utilisateurs VPN.

    4. Dans Autorisations pour les utilisateurs VPN, activez les cases à cocher Inscrire et inscrire automatiquement dans la colonne Autoriser .

      Importante

      Veillez à activer la case à cocher Autorisation de lecture . Vous avez besoin d’autorisations de lecture pour l’inscription.

    5. Dans les noms de groupe ou d’utilisateur, sélectionnez Utilisateurs du domaine, puis Sélectionnez Supprimer.

  6. Sous l’onglet Compatibilité , procédez comme suit :

    1. Dans Autorité de certification, sélectionnez Windows Server 2016.

    2. Dans la boîte de dialogue Modifications résultantes , sélectionnez OK.

    3. Dans le destinataire du certificat, sélectionnez Windows 10/Windows Server 2016.

    4. Dans la boîte de dialogue Modifications résultantes , sélectionnez OK.

  7. Sous l’onglet Gestion des demandes , désactivez Autoriser l’exportation de la clé privée.

  8. Sous l’onglet Chiffrement , procédez comme suit :

    1. Dans catégorie de fournisseur, sélectionnez Fournisseur de stockage de clés.

    2. Sélectionnez Les demandes doivent utiliser l’un des fournisseurs suivants.

    3. Sélectionnez à la fois le fournisseur de chiffrement de plateforme Microsoft et le fournisseur de stockage de clés logicielles Microsoft.

  9. Sous l’onglet Nom de l’objet, désactivez le nom du courrier électronique Inclus dans le nom de l’objet et le nom de la messagerie.

  10. Sélectionnez OK pour enregistrer le modèle de certificat d’authentification utilisateur VPN.

  11. Fermez la console Modèles de certificats.

  12. Dans le volet gauche du composant logiciel enfichable Autorité de certification, cliquez avec le bouton droit sur Modèles de certificat, sélectionnez Nouveau , puis sélectionnez Modèle de certificat à émettre.

  13. Sélectionnez Authentification utilisateur VPN, puis OK.

Créer le modèle d’authentification du serveur VPN

  1. Dans le volet gauche du composant logiciel enfichable Autorité de certification, cliquez avec le bouton droit sur Modèles de certificat , puis sélectionnez Gérer pour ouvrir la console Modèles de certificats.

  2. Dans la console Modèles de certificat, cliquez avec le bouton droit sur RAS et SERVEUR IAS , puis sélectionnez Dupliquer le modèle. Ne sélectionnez pas Appliquer ou OK tant que vous n’avez pas terminé d’entrer des informations pour tous les onglets. Certains choix ne peuvent être configurés qu’au moment de la création du modèle ; si vous sélectionnez ces boutons avant d’entrer tous les paramètres que vous ne pouvez pas modifier, sinon vous devez supprimer le modèle et le recréer.

  3. Dans la boîte de dialogue Propriétés du nouveau modèle , sous l’onglet Général , dans le nom complet du modèle, entrez l’authentification du serveur VPN.

  4. Sous l’onglet Extensions , procédez comme suit :

    1. Sélectionnez Stratégies d’application, puis modifier.

    2. Dans la boîte de dialogue Modifier l’extension stratégies d’application , sélectionnez Ajouter.

    3. Dans la boîte de dialogue Ajouter une stratégie d’application , sélectionnez IKE de sécurité IP intermédiaire, puis ok.

    4. Sélectionnez OK pour revenir à la boîte de dialogue Propriétés du nouveau modèle .

  5. Sous l’onglet Sécurité , procédez comme suit :

    1. Sélectionnez Ajouter.

    2. Dans la boîte de dialogue Sélectionner des utilisateurs, ordinateurs, comptes de service ou groupes , entrez des serveurs VPN, puis sélectionnez OK.

    3. Dans les noms de groupe ou d’utilisateur, sélectionnez Serveurs VPN.

    4. Dans Autorisations pour les serveurs VPN, sélectionnez Inscrire dans la colonne Autoriser .

    5. Dans les noms de groupe ou d’utilisateur, sélectionnez SERVEURs RAS et IAS, puis sélectionnez Supprimer.

  6. Sous l’onglet Nom de l’objet , procédez comme suit :

    1. Sélectionnez Fournir dans la demande.

    2. Dans la boîte de dialogue d'avertissement des modèles de certificat, sélectionnez OK.

  7. Sélectionnez OK pour enregistrer le modèle de certificat de serveur VPN.

  8. Fermez la console Modèles de certificats.

  9. Dans le volet gauche du composant logiciel enfichable Autorité de certification, cliquez avec le bouton droit sur Modèles de certificat. Sélectionnez Nouveau , puis sélectionnez Modèle de certificat à émettre.

  10. Sélectionnez Authentification du serveur VPN, puis OK.

  11. Redémarrez le serveur VPN.

Créer le modèle d’authentification serveur NPS

  1. Dans le volet gauche du composant logiciel enfichable Autorité de certification, cliquez avec le bouton droit sur Modèles de certificat , puis sélectionnez Gérer pour ouvrir la console Modèles de certificats.

  2. Dans la console Modèles de certificat, cliquez avec le bouton droit sur RAS et SERVEUR IAS , puis sélectionnez Dupliquer le modèle. Ne sélectionnez pas Appliquer ou OK tant que vous n’avez pas terminé d’entrer des informations pour tous les onglets. Certains choix ne peuvent être configurés qu’au moment de la création du modèle ; si vous sélectionnez ces boutons avant d’entrer tous les paramètres que vous ne pouvez pas modifier, sinon vous devez supprimer le modèle et le recréer.

  3. Dans la boîte de dialogue Propriétés du nouveau modèle, sous l’onglet Général , dans le nom complet du modèle, entrez l’authentification du serveur NPS.

  4. Sous l’onglet Sécurité , procédez comme suit :

    1. Sélectionnez Ajouter.

    2. Dans la boîte de dialogue Sélectionner des utilisateurs, ordinateurs, comptes de service ou groupes , entrez serveurs NPS, puis sélectionnez OK.

    3. Dans les noms de groupe ou d’utilisateur, sélectionnez Serveurs NPS.

    4. Dans Autorisations pour les serveurs NPS, sélectionnez Inscrire dans la colonne Autoriser .

    5. Dans les noms de groupe ou d’utilisateur, sélectionnez SERVEURs RAS et IAS, puis sélectionnez Supprimer.

  5. Sélectionnez OK pour enregistrer le modèle de certificat serveur NPS.

  6. Fermez la console Modèles de certificats.

  7. Dans le volet gauche du composant logiciel enfichable Autorité de certification, cliquez avec le bouton droit sur Modèles de certificat. Sélectionnez Nouveau , puis sélectionnez Modèle de certificat à émettre.

  8. Sélectionnez Authentification du serveur NPS, puis ok.

Vous avez maintenant créé les modèles de certificat dont vous avez besoin pour inscrire et valider les certificats.

Inscrire et valider le certificat utilisateur

La stratégie de groupe est configurée pour réinscrire automatiquement les certificats utilisateur. Par conséquent, une fois que la stratégie est appliquée aux appareils clients Windows, elle inscrit automatiquement le compte d’utilisateur pour le certificat approprié. Vous pouvez ensuite valider le certificat dans la console Certificats sur l’appareil local.

Pour vérifier que la stratégie est appliquée et que le certificat est inscrit :

  1. Connectez-vous à l’appareil client Windows en tant qu’utilisateur que vous avez créé pour le groupe Utilisateurs VPN .

  2. Ouvrez l’invite de commandes et exécutez la commande suivante. Vous pouvez également redémarrer l’appareil client Windows.

    gpupdate /force

  3. Dans le menu Démarrer, tapez certmgr.msc, puis appuyez sur Entrée.

  4. Dans le composant logiciel enfichable Certificats, sous Personnel, sélectionnez Certificats. Vos certificats apparaissent dans le volet d’informations.

  5. Cliquez avec le bouton droit sur le certificat qui possède votre nom d’utilisateur de domaine actuel, puis sélectionnez Ouvrir.

  6. Sous l’onglet Général , vérifiez que la date indiquée sous Valide est la date du jour. Si ce n’est pas le cas, vous avez peut-être sélectionné le certificat incorrect.

  7. Sélectionnez OK, puis fermez le composant logiciel enfichable Certificats.

Inscrire et valider le certificat de serveur VPN

Pour inscrire le certificat du serveur VPN :

  1. Dans le menu Démarrer du serveur VPN, tapez certlm.msc pour ouvrir le composant logiciel enfichable Certificats, puis appuyez sur ENTRÉE.

  2. Cliquez avec le bouton droit sur Personnel, sélectionnez Toutes les tâches , puis sélectionnez Demander un nouveau certificat pour démarrer l’Assistant Inscription de certificat.

  3. Dans la page Avant de commencer, sélectionnez Suivant.

  4. Dans la page Sélectionner une stratégie d’inscription de certificat, sélectionnez Suivant.

  5. Dans la page Demander des certificats, sélectionnez Authentification du serveur VPN.

  6. Sous la case à cocher serveur VPN, sélectionnez Plus d’informations nécessaires pour ouvrir la boîte de dialogue Propriétés du certificat.

  7. Sélectionnez l’onglet Objet et entrez les informations suivantes dans la section Nom de l’objet :

    1. Pour type, sélectionnez Nom commun.
    2. Pour Valeur, entrez le nom du domaine externe que les clients utilisent pour se connecter au VPN (par exemple, vpn.contoso.com).
    3. Sélectionnez Ajouter.

  8. Sélectionnez OK pour fermer les propriétés du certificat.

  9. Sélectionnez Inscrire.

  10. Sélectionnez Terminer.

Pour valider le certificat de serveur VPN :

  1. Dans le composant logiciel enfichable Certificats, sous Personnel, sélectionnez Certificats. Vos certificats répertoriés doivent apparaître dans le volet d’informations.

  2. Cliquez avec le bouton droit sur le certificat portant le nom de votre serveur VPN, puis sélectionnez Ouvrir.

  3. Sous l’onglet Général , vérifiez que la date indiquée sous Valide est la date du jour. Si ce n’est pas le cas, vous avez peut-être sélectionné le certificat incorrect.

  4. Sous l’onglet Détails, sélectionnez Utilisation améliorée de la clé, puis vérifiez que l’authentification intermédiaire et l’authentification serveur IKE de sécurité IP s’affichent dans la liste.

  5. Sélectionnez OK pour fermer le certificat.

Inscrire et valider le certificat NPS

Pour inscrire le certificat NPS :

  1. Dans le menu Démarrer du serveur NPS, tapez certlm.msc pour ouvrir le composant logiciel enfichable Certificats, puis appuyez sur ENTRÉE.

  2. Cliquez avec le bouton droit sur Personnel, sélectionnez Toutes les tâches , puis sélectionnez Demander un nouveau certificat pour démarrer l’Assistant Inscription de certificat.

  3. Dans la page Avant de commencer, sélectionnez Suivant.

  4. Dans la page Sélectionner une stratégie d’inscription de certificat, sélectionnez Suivant.

  5. Dans la page Demander des certificats, sélectionnez Authentification du serveur NPS.

  6. Sélectionnez Inscrire.

  7. Sélectionnez Terminer.

Pour valider le certificat NPS :

  1. Dans le composant logiciel enfichable Certificats, sous Personnel, sélectionnez Certificats. Vos certificats répertoriés doivent apparaître dans le volet d’informations.

  2. Cliquez avec le bouton droit sur le certificat portant le nom de votre serveur NPS, puis sélectionnez Ouvrir.

  3. Sous l’onglet Général , vérifiez que la date indiquée sous Valide est la date du jour. Si ce n’est pas le cas, vous avez peut-être sélectionné le certificat incorrect.

  4. Sélectionnez OK, puis fermez le composant logiciel enfichable Certificats.

Étape suivante

Vous avez maintenant créé les modèles de certificat et inscrit les certificats, vous pouvez configurer un appareil client Windows pour utiliser la connexion VPN Always On.

Tutoriel : Créer une connexion VPN Always On pour les appareils clients Windows

  • Last updated on