Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este tutorial mostra como configurar os modelos de AC (Autoridade de Certificação) para a implantação de VPN Always On. Ele continua a série para implantar a VPN Always On em um ambiente de exemplo. Anteriormente na série, você implantou uma infraestrutura de exemplo.
Os modelos de AC são usados para emitir certificados para o servidor VPN, servidor NPS e usuários. Os certificados são usados para autenticar o servidor VPN e o servidor NPS para clientes e autenticar usuários no servidor VPN.
Neste tutorial, você:
- Crie um modelo de autenticação de usuário.
- Crie um modelo de autenticação do servidor VPN.
- Crie um modelo de autenticação de servidor NPS.
- Registre e valide o certificado do usuário.
- Registre e valide o certificado do servidor VPN.
- Registre e valide o certificado do servidor NPS.
Aqui está uma descrição dos diferentes modelos:
| Template | Description |
|---|---|
| Modelo de autenticação do usuário | Esse modelo é usado para emitir certificados de usuário para clientes VPN. O certificado do usuário é usado para autenticar o usuário no servidor VPN. Com um modelo de autenticação de usuário, você pode melhorar a segurança do certificado selecionando níveis de compatibilidade atualizados e escolhendo o Provedor de Criptografia da Plataforma Microsoft. Com o Provedor de Criptografia da Plataforma Microsoft, você pode usar um TPM (Trusted Platform Module) em computadores cliente para proteger o certificado. O modelo de usuário está configurado para registro automático. |
| Modelo de autenticação do servidor VPN | Esse modelo é usado para emitir um certificado de servidor para o servidor VPN. O certificado do servidor é usado para autenticar o servidor VPN no cliente. Com um modelo de autenticação de servidor VPN, você adiciona a política de aplicativo IKE Intermediate IKE (Segurança ip). A política de aplicação IPsec IKE Intermediate determina como o certificado pode ser utilizado e permite que o servidor filtre certificados se mais de um certificado estiver disponível. Como os clientes VPN acessam esse servidor da Internet pública, o assunto e os nomes alternativos são diferentes do nome do servidor interno. Como resultado, você não configura o certificado do servidor VPN para registro automático. |
| Modelo de autenticação de servidor NPS | Esse modelo é usado para emitir um certificado de servidor para o servidor NPS. O certificado do servidor NPS é usado para autenticar o servidor NPS no servidor VPN. Com um modelo de autenticação de servidor NPS, você copia o modelo padrão de SERVIDORes RAS e IAS e o define como escopo para o servidor NPS. O novo modelo de servidor NPS inclui a política de aplicativo de autenticação de servidor. |
Para saber mais sobre a VPN Always On, incluindo integrações com suporte, recursos de segurança e conectividade, consulte a Visão geral da VPN Always On.
Pré-requisitos
Para concluir as etapas neste tutorial, você precisa:
Para concluir todas as etapas do tutorial anterior: implantar a Infraestrutura vpn Always On.
Um dispositivo cliente Windows que executa uma versão com suporte do Windows para se conectar à VPN Always On que está ingressada no domínio do Active Directory.
Criar o modelo de autenticação do usuário
No servidor com os Serviços de Certificados do Active Directory instalados, que neste tutorial é o controlador de domínio, abra o snap-in da Autoridade de Certificação.
No painel esquerdo, clique com o botão direito do mouse em Modelos de Certificado e selecione Gerenciar.
Na console Modelos de Certificado, clique com o botão direito do mouse em Usuário e selecione Duplicar Modelo. Não selecione Aplicar ou OK até concluir a inserção de informações para todas as guias. Algumas opções só podem ser configuradas na criação do modelo; se você selecionar esses botões antes de inserir todos os parâmetros, não poderá alterá-los, caso contrário, precisará excluir o modelo e recriá-lo.
Na caixa de diálogo Propriedades do Novo Modelo , na guia Geral , conclua as seguintes etapas:
No nome de exibição do modelo, insira Autenticação de Usuário VPN.
Desmarque a caixa de seleção Publicar certificado no Active Directory .
Na guia Segurança , conclua as seguintes etapas:
Selecione Adicionar.
Na caixa de diálogo Selecionar Usuários, Computadores, Contas de Serviço ou Grupos, insira Usuários VPN e selecione OK.
Em Nomes de grupo ou de usuário, selecione Usuários vpn.
Em Permissões para Usuários de VPN, marque as caixas de seleção Registrar e Registrar Automaticamente na coluna Permitir .
Importante
Certifique-se de manter a caixa de seleção de permissão de leitura selecionada. Você precisa de permissões de leitura para registro.
Em Nomes de grupo ou de usuário, selecione Usuários de Domínio e, em seguida, selecione Remover.
Na guia Compatibilidade , conclua as seguintes etapas:
Na Autoridade de Certificação, selecione Windows Server 2016.
Na caixa de diálogo Alterações Resultantes , selecione OK.
No destinatário do Certificado, selecione Windows 10/Windows Server 2016.
Na caixa de diálogo Alterações Resultantes , selecione OK.
Na guia Tratamento de Solicitações , desmarque Permitir que a chave privada seja exportada.
Na guia Criptografia , conclua as seguintes etapas:
Na Categoria do Provedor, selecione Provedor de Armazenamento de Chaves.
Selecione Solicitações devem usar um dos provedores a seguir.
Selecione o Provedor de Criptografia da Plataforma Microsoft e o Provedor de Armazenamento de Chaves de Software da Microsoft.
Na guia Nome da Entidade , desmarque o nome incluir email no nome da entidade e nonome do email.
Selecione OK para salvar o modelo de certificado de Autenticação de Usuário vpn.
Feche o console de Modelos de Certificado.
No painel esquerdo do snap-in da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado, selecione Novo e selecione Modelo de Certificado para Emitir.
Selecione Autenticação de Usuário vpn e, em seguida, selecione OK.
Criar o modelo de autenticação do servidor VPN
No painel esquerdo do snap-in da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado e selecione Gerenciar para abrir o console de Modelos de Certificado.
No console de Modelos de Certificado, clique com o botão direito do mouse em RAS e servidor IAS e selecione Modelo duplicado. Não selecione Aplicar ou OK até concluir a inserção de informações para todas as guias. Algumas opções só podem ser configuradas na criação do modelo; se você selecionar esses botões antes de inserir todos os parâmetros, não poderá alterá-los, caso contrário, precisará excluir o modelo e recriá-lo.
Na caixa de diálogo Propriedades do Novo Modelo , na guia Geral , no nome de exibição modelo, insira a Autenticação do Servidor VPN.
Na guia Extensões , conclua as seguintes etapas:
Selecione Políticas de Aplicativo e, em seguida, selecione Editar.
Na caixa de diálogo Editar Extensão de Políticas de Aplicativo , selecione Adicionar.
Na caixa de diálogo Adicionar Política de Aplicativo , selecione IKE intermediário de segurança ip e, em seguida, selecione OK.
Selecione OK para retornar à caixa de diálogo Propriedades do Novo Modelo .
Na guia Segurança , conclua as seguintes etapas:
Selecione Adicionar.
Na caixa de diálogo Selecionar Usuários, Computadores, Contas de Serviço ou Grupos , insira servidores VPN e selecione OK.
Em nomes de grupo ou de usuário, selecione Servidores VPN.
Em Permissões para Servidores VPN, selecione Registrar na coluna Permitir .
Em Nomes de grupo ou de usuário, selecione Servidores RAS e IAS, em seguida, selecione Remover.
Na guia Nome da Entidade , conclua as seguintes etapas:
Selecione Fornecer na Solicitação.
Na caixa de diálogo de aviso Modelos de Certificado , selecione OK.
Selecione OK para salvar o modelo de certificado do servidor VPN.
Feche o console de Modelos de Certificado.
No painel esquerdo do snap-in da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado. Selecione Novo e selecione Modelo de Certificado para Emitir.
Selecione Autenticação do Servidor VPN e, em seguida, selecione OK.
Reinicie o servidor VPN.
Criar o modelo de autenticação do servidor NPS
No painel esquerdo do snap-in da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado e selecione Gerenciar para abrir o console de Modelos de Certificado.
No console de Modelos de Certificado, clique com o botão direito do mouse em RAS e servidor IAS e selecione Modelo duplicado. Não selecione Aplicar ou OK até concluir a inserção de informações para todas as guias. Algumas opções só podem ser configuradas na criação do modelo; se você selecionar esses botões antes de inserir todos os parâmetros, não poderá alterá-los, caso contrário, precisará excluir o modelo e recriá-lo.
Na caixa de diálogo Propriedades do Novo Modelo, na guia Geral, no nome de Exibição do Modelo, insira Autenticação do Servidor NPS.
Na guia Segurança , conclua as seguintes etapas:
Selecione Adicionar.
Na caixa de diálogo Selecionar Usuários, Computadores, Contas de Serviço ou Grupos , insira servidores NPS e selecione OK.
Em nomes de grupo ou de usuário, selecione Servidores NPS.
Em Permissões para Servidores NPS, selecione Registrar na coluna Permitir .
Em Nomes de grupo ou de usuário, selecione Servidores RAS e IAS, em seguida, selecione Remover.
Selecione OK para salvar o modelo de certificado do servidor NPS.
Feche o console de Modelos de Certificado.
No painel esquerdo do snap-in da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado. Selecione Novo e selecione Modelo de Certificado para Emitir.
Selecione Autenticação de Servidor NPS e, em seguida, selecione OK.
Agora você criou os modelos de certificado necessários para registrar e validar os certificados.
Registrar e validar o certificado do usuário
A Política de Grupo é configurada para registrar automaticamente certificados de usuário, portanto, depois que a política é aplicada a dispositivos cliente Windows, eles registram automaticamente a conta de usuário para o certificado correto. Em seguida, você pode validar o certificado no console de Certificados no dispositivo local.
Para verificar se a política é aplicada e o certificado está registrado:
Entre no dispositivo cliente Windows como o usuário que você criou para o grupo usuários de VPN .
Abra o Prompt de Comando e execute o comando a seguir. Como alternativa, reinicie o dispositivo cliente Windows.
gpupdate /forceNo menu Iniciar, digite certmgr.msc e pressione ENTER.
No snap-in de Certificados, em Pessoal, selecione Certificados. Seus certificados aparecem no painel de detalhes.
Clique com o botão direito do mouse no certificado que tem o nome de usuário do domínio atual e selecione Abrir.
Na guia Geral, confirme se a data listada sob Valid from é a data de hoje. Se não estiver, talvez você tenha selecionado o certificado errado.
Selecione OK e feche o snap-in de Certificados.
Registrar e validar o certificado do servidor VPN
Para registrar o certificado do servidor VPN:
No menu Iniciar do servidor de VPN, digite certlm.msc para abrir o snap-in de Certificados e pressione ENTER.
Clique com o botão direito do mouse em Pessoal, selecione Todas as Tarefas e selecione Solicitar Novo Certificado para iniciar o Assistente de Registro de Certificado.
Na página Antes de Começar, selecione Avançar.
Na página Selecionar Política de Registro de Certificado, selecione Avançar.
Na página Solicitar Certificados, selecione Autenticação do Servidor VPN.
Na caixa de seleção do servidor VPN, selecione Mais informações necessárias para abrir a caixa de diálogo Propriedades do Certificado.
Selecione a guia Assunto e insira as seguintes informações na seção Nome da Entidade :
- Para Tipo , selecione Nome Comum.
- Para Valor, insira o nome do domínio externo que os clientes usam para se conectar à VPN (por exemplo, vpn.contoso.com).
- Selecione Adicionar.
Selecione OK para fechar as Propriedades do Certificado.
Selecione Registrar.
Selecione Concluir.
Para validar o certificado do servidor VPN:
No snap-in de Certificados, em Pessoal, selecione Certificados. Seus certificados listados devem aparecer no painel de detalhes.
Clique com o botão direito do mouse no certificado que tem o nome do servidor VPN e selecione Abrir.
Na guia Geral, confirme se a data listada sob Valid from é a data de hoje. Se não estiver, talvez você tenha selecionado o certificado errado.
Na guia Detalhes , selecione Uso Avançado de Chave e verifique se a IKE de segurança ip intermediária e a Autenticação de Servidor são exibidas na lista.
Selecione OK para fechar o certificado.
Registrar e validar o certificado NPS
Para registrar o certificado NPS:
No menu Iniciar do servidor NPS, digite certlm.msc para abrir o snap-in de Certificados e pressione Enter.
Clique com o botão direito do mouse em Pessoal, selecione Todas as Tarefas e selecione Solicitar Novo Certificado para iniciar o Assistente de Registro de Certificado.
Na página Antes de Começar, selecione Avançar.
Na página Selecionar Política de Registro de Certificado, selecione Avançar.
Na página Solicitar Certificados, selecione Autenticação de Servidor NPS.
Selecione Registrar.
Selecione Concluir.
Para validar o certificado NPS:
No snap-in de Certificados, em Pessoal, selecione Certificados. Seus certificados listados devem aparecer no painel de detalhes.
Clique com o botão direito do mouse no certificado que tem o nome do servidor NPS e selecione Abrir.
Na guia Geral, confirme se a data listada sob Valid from é a data de hoje. Se não estiver, talvez você tenha selecionado o certificado errado.
Selecione OK e feche o snap-in de Certificados.
Próxima etapa
Agora que você criou os modelos de certificado e registrou os certificados, pode configurar um dispositivo cliente Windows para usar a conexão VPN AlwaysOn.