Partilhar via

Tutorial: Configurar modelos de Autoridade de Certificação para VPN Always On

Este tutorial mostra como configurar os modelos de Autoridade de Certificação (CA) para a implantação da VPN Always On. Continua a série de implementação do Always On VPN num ambiente de exemplo. Anteriormente, na série, você implantou uma infraestrutura de exemplo.

Os modelos de autoridade de certificação são usados para emitir certificados para o servidor VPN, o servidor NPS e os usuários. Os certificados são usados para autenticar o servidor VPN e o servidor NPS para clientes e para autenticar usuários para o servidor VPN.

Neste tutorial, você:

  • Crie um modelo de autenticação de usuário.
  • Crie um modelo de autenticação de servidor VPN.
  • Crie um modelo de autenticação de servidor NPS.
  • Registre e valide o certificado do usuário.
  • Registre e valide o certificado do servidor VPN.
  • Registre e valide o certificado do servidor NPS.

Aqui está uma descrição dos diferentes modelos:

Template Description
Modelo de autenticação do usuário Este modelo é usado para emitir certificados de usuário para clientes VPN. O certificado de usuário é usado para autenticar o usuário no servidor VPN.

Com um modelo de autenticação de usuário, você pode melhorar a segurança do certificado selecionando níveis de compatibilidade atualizados e escolhendo o Microsoft Platform Crypto Provider. Com o Microsoft Platform Crypto Provider, você pode usar um TPM (Trusted Platform Module) em computadores cliente para proteger o certificado. O modelo de usuário está configurado para registro automático.
Modelo de autenticação do servidor VPN Este modelo é usado para emitir um certificado de servidor para o servidor VPN. O certificado do servidor é usado para autenticar o servidor VPN para o cliente.

Com um modelo de autenticação de servidor VPN, você adiciona a política de aplicativo IKE Intermediate de Segurança IP (IPsec). A política de aplicativo IKE Intermediate de Segurança IP (IPsec) determina como o certificado pode ser usado, pode permitir que o servidor filtre certificados se mais de um certificado estiver disponível. Como os clientes VPN acessam esse servidor pela Internet pública, o assunto e os nomes alternativos são diferentes do nome do servidor interno. Como resultado, você não configura o certificado do servidor VPN para registro automático.
Modelo de autenticação do servidor NPS Este modelo é usado para emitir um certificado de servidor para o servidor NPS. O certificado do servidor NPS é usado para autenticar o servidor NPS no servidor VPN.

Com um modelo de autenticação de servidor NPS, copie o modelo padrão de Servidores RAS e IAS e defina o escopo dele para o servidor NPS. O novo modelo de servidor NPS inclui a política de aplicativo de autenticação do servidor.

Para saber mais sobre o Always On VPN, incluindo integrações suportadas, recursos de segurança e conectividade, consulte Visão geral do Always On VPN.

Prerequisites

Para concluir as etapas neste tutorial, você precisa:

  • Para concluir todas as etapas do tutorial anterior: Implantar infraestrutura VPN Always On.

  • Um dispositivo cliente Windows que executa uma versão suportada do Windows para se conectar à VPN Always On que está aderido ao domínio do Active Directory.

Criar o modelo de autenticação do usuário

  1. No servidor com os Serviços de Certificados do Active Directory instalados, que neste tutorial é o controlador de domínio, abra o snap-in de Autoridade de Certificação.

  2. In the left pane, right-click Certificate Templates and select Manage.

  3. In the Certificate Templates console, right-click User and select Duplicate Template. Don't select Apply or OK until you finish entering information for all tabs. Algumas opções só podem ser configuradas na criação do modelo; Se você selecionar esses botões antes de inserir todos os parâmetros, não poderá alterá-los, caso contrário, precisará excluir o modelo e recriá-lo.

  4. In the Properties of New Template dialog box, on the General tab, complete the following steps:

    1. Em Nome de exibição do modelo, insira Autenticação de Utilizador VPN.

    2. Desmarque a caixa de seleção Publicar Certificado no Active Directory.

  5. On the Security tab, complete the following steps:

    1. Select Add.

    2. On the Select Users, Computers, Service Accounts, or Groups dialog, enter VPN Users, then select OK.

    3. Em Nomes de grupo ou de utilizador, selecione Utilizadores VPN.

    4. Em Permissões para Utilizadores de VPN, selecione as caixas de seleção Inscrever e Inscrição Automática na coluna Permitir.

      Important

      Make sure to keep the Read permission check box selected. Você precisa de permissões de Leitura para se inscrever.

    5. Em Nomes de grupo ou de utilizador, selecione Utilizadores do Domínioe, em seguida, selecione Remover.

  6. On the Compatibility tab, complete the following steps:

    1. In Certification Authority, select Windows Server 2016.

    2. On the Resulting changes dialog, select OK.

    3. In Certificate recipient, select Windows 10/Windows Server 2016.

    4. On the Resulting changes dialog, select OK.

  7. On the Request Handling tab, clear Allow private key to be exported.

  8. On the Cryptography tab, complete the following steps:

    1. In Provider Category, select Key Storage Provider.

    2. Selecione As solicitações devem usar um dos seguintes provedores.

    3. Selecione Microsoft Platform Crypto Provider e Microsoft Software Key Storage Provider.

  9. On the Subject Name tab, clear the Include e-mail name in subject name and E-mail name.

  10. Select OK to save the VPN User Authentication certificate template.

  11. Feche a consola de Modelos de Certificado.

  12. In the left pane of the Certification Authority snap-in, right-click Certificate Templates, select New and then select Certificate Template to Issue.

  13. Selecione Autenticação de Utilizador VPN, em seguida, selecione OK.

Criar o modelo de autenticação do Servidor VPN

  1. In the left pane of the Certification Authority snap-in, right-click Certificate Templates and select Manage to open the Certificate Templates console.

  2. No console Modelos de Certificado, clique com o botão direito do mouse Servidor RAS e IAS e selecione Modelo Duplicado. Don't select Apply or OK until you finish entering information for all tabs. Algumas opções só podem ser configuradas na criação do modelo; Se você selecionar esses botões antes de inserir todos os parâmetros, não poderá alterá-los, caso contrário, precisará excluir o modelo e recriá-lo.

  3. On the Properties of New Template dialog box, on the General tab, in Template display name, enter VPN Server Authentication.

  4. On the Extensions tab, complete the following steps:

    1. Select Application Policies, then select Edit.

    2. Na caixa de diálogo Editar Extensão de Políticas de Aplicativo, selecione Adicionar.

    3. Na caixa de diálogo Adicionar Diretiva de Aplicativo, selecione IKE intermediário de segurança IP e, em seguida, selecione OK.

    4. Select OK to return to the Properties of New Template dialog.

  5. On the Security tab, complete the following steps:

    1. Select Add.

    2. Na caixa de diálogo Selecionar Utilizadores, Computadores, Contas de Serviço ou Grupos, digite Servidores VPN e depois selecione OK.

    3. Em Nomes de grupo ou de usuário, selecione Servidores VPN.

    4. Em Permissões para Servidores VPN, selecione Inscrever-se na coluna Permitir.

    5. Em Nomes de grupo ou de utilizador, selecione Servidores RAS e IAS; em seguida, selecione Remover.

  6. On the Subject Name tab, complete the following steps:

    1. Selecione Suprimento no Pedido.

    2. On the Certificate Templates warning dialog box, select OK.

  7. Select OK to save the VPN Server certificate template.

  8. Feche a consola de Modelos de Certificado.

  9. In the left pane of the Certificate Authority snap-in, right-click Certificate Templates. Select New and then select Certificate Template to Issue.

  10. Selecione de Autenticação do Servidor VPN e, em seguida, selecione OK.

  11. Reinicie o servidor VPN.

Criar o modelo de autenticação do Servidor NPS

  1. In the left pane of the Certification Authority snap-in, right-click Certificate Templates and select Manage to open the Certificate Templates console.

  2. No console Modelos de Certificado, clique com o botão direito do mouse Servidor RAS e IAS e selecione Modelo Duplicado. Don't select Apply or OK until you finish entering information for all tabs. Algumas opções só podem ser configuradas na criação do modelo; Se você selecionar esses botões antes de inserir todos os parâmetros, não poderá alterá-los, caso contrário, precisará excluir o modelo e recriá-lo.

  3. On the Properties of New Template dialog box, on the General tab, in Template display name, enter NPS Server Authentication.

  4. On the Security tab, complete the following steps:

    1. Select Add.

    2. Na caixa de diálogo Selecionar Utilizadores, Computadores, Contas de Serviço ou Grupos, digite Servidores NPSe, em seguida, selecione OK.

    3. Em Nomes de grupo ou de usuário, selecione Servidores NPS.

    4. Em Permissões para Servidores NPS, selecione Registrar na coluna Permitir.

    5. Em Nomes de grupo ou de utilizador, selecione Servidores RAS e IAS; em seguida, selecione Remover.

  5. Select OK to save the NPS Server certificate template.

  6. Feche a consola de Modelos de Certificado.

  7. In the left pane of the Certificate Authority snap-in, right-click Certificate Templates. Select New and then select Certificate Template to Issue.

  8. Selecione de Autenticação do Servidor NPS e, em seguida, selecione OK.

Agora você criou os modelos de certificado necessários para registrar e validar os certificados.

Registrar e validar o certificado de usuário

A Diretiva de Grupo é configurada para registrar automaticamente certificados de usuário, portanto, assim que a política for aplicada a dispositivos cliente Windows, eles registrarão automaticamente a conta de usuário para o certificado correto. You can then validate the certificate in the Certificates console on the local device.

Para verificar se a política é aplicada e se o certificado está inscrito:

  1. Sign in to the Windows client device as the user that you created for the VPN Users group.

  2. Abra o Prompt de Comando e execute o seguinte comando. Como alternativa, reinicie o dispositivo cliente Windows.

    gpupdate /force

  3. On the Start menu, type certmgr.msc, and press ENTER.

  4. In the Certificates snap-in, under Personal, select Certificates. Seus certificados aparecem no painel de detalhes.

  5. Right-click the certificate that has your current domain username, and then select Open.

  6. On the General tab, confirm that the date listed under Valid from is today's date. Se não estiver, você pode ter selecionado o certificado errado.

  7. Select OK, and close the Certificates snap-in.

Registrar e validar o certificado do servidor VPN

Para registrar o certificado do servidor VPN:

  1. On the VPN server's Start menu, type certlm.msc to open the Certificates snap-in, and press ENTER.

  2. Right-click Personal, select All Tasks and then select Request New Certificate to start the Certificate Enrollment Wizard.

  3. On the Before You Begin page, select Next.

  4. On the Select Certificate Enrollment Policy page, select Next.

  5. Na página Solicitar Certificados, selecione de Autenticação do Servidor VPN.

  6. Na caixa de seleção Servidor VPN, marque Mais informações são necessárias para abrir a caixa de diálogo Propriedades do Certificado.

  7. Select the Subject tab and enter the following information in the Subject name section:

    1. For Type select Common Name.
    2. For Value, enter the name of the external domain that clients use to connect to the VPN (for example, vpn.contoso.com).
    3. Select Add.

  8. Select OK to close Certificate Properties.

  9. Select Enroll.

  10. Select Finish.

Para validar o certificado do servidor VPN:

  1. In the Certificates snap-in, under Personal, select Certificates. Os certificados listados devem aparecer no painel de detalhes.

  2. Right-click the certificate that has your VPN server's name, and then select Open.

  3. On the General tab, confirm that the date listed under Valid from is today's date. Se não estiver, você pode ter selecionado o certificado errado.

  4. On the Details tab, select Enhanced Key Usage, and verify that IP security IKE intermediate and Server Authentication display in the list.

  5. Select OK to close the certificate.

Registrar e validar o certificado NPS

Para inscrever o certificado NPS:

  1. On the NPS server's Start menu, type certlm.msc to open the Certificates snap-in, and press ENTER.

  2. Right-click Personal, select All Tasks and then select Request New Certificate to start the Certificate Enrollment Wizard.

  3. On the Before You Begin page, select Next.

  4. On the Select Certificate Enrollment Policy page, select Next.

  5. Na página Solicitar Certificados, selecione Autenticação do Servidor NPS.

  6. Select Enroll.

  7. Select Finish.

Para validar o certificado NPS:

  1. In the Certificates snap-in, under Personal, select Certificates. Os certificados listados devem aparecer no painel de detalhes.

  2. Right-click the certificate that has your NPS server's name, and then select Open.

  3. On the General tab, confirm that the date listed under Valid from is today's date. Se não estiver, você pode ter selecionado o certificado errado.

  4. Select OK, and close the Certificates snap-in.

Next step

Agora que você criou os modelos de certificado e inscreveu os certificados, você pode configurar um dispositivo cliente Windows para usar a conexão VPN Always On.

Tutorial: Criar uma conexão VPN Always On para dispositivos cliente Windows

  • Last updated on