Шаг 2. Step 2. Настройка инфраструктуры серверов Configure the server infrastructure

Область применения: Windows Server (половина ежегодного канала), Windows Server 2016, Windows Server 2012 R2, Windows 10 Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows 10

На этом шаге вы установите и настроите компоненты на стороне сервера, необходимые для поддержки VPN. In this step, you’ll install and configure the server-side components necessary to support the VPN. Серверные компоненты включают настройку PKI для распространения сертификатов, используемых пользователями, VPN-сервером и сервером NPS. The server-side components include configuring PKI to distribute the certificates used by users, the VPN server, and the NPS server. Вы также настроите RRAS для поддержки подключений по протоколу IKEv2 и сервера NPS для выполнения авторизации подключений VPN. You also configure RRAS to support IKEv2 connections and the NPS server to perform authorization for the VPN connections.

Настройка автоматической регистрации сертификатов в групповая политика Configure certificate autoenrollment in Group Policy

В этой процедуре вы настраиваете групповая политика на контроллере домена, чтобы члены домена автоматически запрашивают сертификаты пользователей и компьютеров. In this procedure, you configure Group Policy on the domain controller so that domain members automatically request user and computer certificates. Это позволяет пользователям VPN запрашивать и получать сертификаты пользователей, которые автоматически проходят проверку подлинности VPN-подключений. Doing so allows VPN users to request and retrieve user certificates that authenticate VPN connections automatically. Аналогичным образом эта политика позволяет серверам NPS запрашивать сертификаты проверки подлинности сервера автоматически. Likewise, this policy allows NPS servers to request server authentication certificates automatically.

Вы вручную регистрируете сертификаты на VPN-серверах. You manually enroll certificates on VPN servers.

Для компьютеров, не присоединенных к домену, см. раздел Настройка ЦС для компьютеров, не присоединенных к домену. For non-domained joined computers, see CA configuration for non-domain joined computers. Так как сервер RRAS не присоединен к домену, автоматическая регистрация не может быть использована для регистрации сертификата VPN-шлюза. Since the RRAS server is not domain joined, autoenrollment cannot be used to enroll the VPN gateway certificate. Поэтому используйте процедуру запроса к автономному сертификату. Therefore, use an offline certificate request procedure.

На контроллере домена откройте управление групповая политика. On a domain controller, open Group Policy Management.

В области навигации щелкните правой кнопкой мыши домен (например, corp.contoso.com), а затем выберите создать объект GPO в этом домене и свяжите его. In the navigation pane, right-click your domain (for example, corp.contoso.com), then select Create a GPO in this domain, and Link it here.

В диалоговом окне Создание объекта групповой политики введите Политика автоматической регистрации, а затем нажмите кнопку ОК. On the New GPO dialog box, enter Autoenrollment Policy, then select OK.

В области навигации щелкните правой кнопкой мыши политику автоматической регистрации, а затем выберите изменить. In the navigation pane, right-click Autoenrollment Policy, then select Edit.

В редактор «Управление групповыми политиками» выполните следующие действия, чтобы настроить автоматическую регистрацию сертификатов компьютеров. In the Group Policy Management Editor, complete the following steps to configure computer certificate autoenrollment:

В области навигации выберите Конфигурация компьютера > политики > Параметры Windows настройки > безопасности параметры > политики открытого ключа. In the navigation pane, go to Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies.

В области сведений щелкните правой кнопкой мыши клиент службы сертификатов — автоматическая регистрация, а затем выберите пункт свойства. In the details pane, right-click Certificate Services Client – Auto-Enrollment, then select Properties.

В диалоговом окне Клиент служб сертификатов — свойства автоматической регистрации в поле модель конфигурациивыберите значение включено. On the Certificate Services Client – Auto-Enrollment Properties dialog box, in Configuration Model, select Enabled.

Установите флажки Обновлять сертификаты с истекшим сроком действия или в состоянии ожидания и удалять отозванные сертификаты и Обновлять сертификаты, использующие шаблоны сертификатов. Select Renew expired certificates, update pending certificates, and remove revoked certificates and Update certificates that use certificate templates.

Нажмите кнопку OK. Select OK.

В редактор «Управление групповыми политиками» выполните следующие действия, чтобы настроить автоматическую регистрацию сертификатов пользователей. In the Group Policy Management Editor, complete the following steps to Configure user certificate autoenrollment:

В области навигации последовательно выберите Пользователи политики конфигурации > Policies > Windows параметры > безопасности параметры > политики открытого ключа. In the navigation pane, go to User Configuration > Policies > Windows Settings > Security Settings > Public Key Policies.

В области сведений щелкните правой кнопкой мыши Клиент служб сертификации: автоматическая регистрация и выберите Свойства. In the details pane, right-click Certificate Services Client – Auto-Enrollment and select Properties.

В диалоговом окне Клиент служб сертификатов — свойства автоматической регистрации в поле модель конфигурациивыберите значение включено. On the Certificate Services Client – Auto-Enrollment Properties dialog box, in Configuration Model, select Enabled.

Установите флажки Обновлять сертификаты с истекшим сроком действия или в состоянии ожидания и удалять отозванные сертификаты и Обновлять сертификаты, использующие шаблоны сертификатов. Select Renew expired certificates, update pending certificates, and remove revoked certificates and Update certificates that use certificate templates.

Нажмите кнопку OK. Select OK.

Закройте редактор управления групповыми политиками. Close the Group Policy Management Editor.

Закройте оснастку «Управление групповой политикой». Close Group Policy Management.

Конфигурация ЦС для компьютеров, не присоединенных к домену CA configuration for non-domain joined computers

Так как сервер RRAS не присоединен к домену, автоматическая регистрация не может быть использована для регистрации сертификата VPN-шлюза. Since the RRAS server is not domain joined, autoenrollment cannot be used to enroll the VPN gateway certificate. Поэтому используйте процедуру запроса к автономному сертификату. Therefore, use an offline certificate request procedure.

На сервере RRAS создайте файл с именем VPNGateway. INF , основанный на примере запроса политики сертификата, предоставленного в приложении a (раздел 0), и настройте следующие записи: On the RRAS server, generate a file called VPNGateway.inf based upon the example certificate policy request provided in Appendix A (section 0) and customize the following entries:

В разделе [NewRequest] замените vpn.contoso.com, используемый для имени субъекта, на выбранное полное доменное имя конечной точки VPN-сервера [Customer]. In the [NewRequest] section, replace vpn.contoso.com used for the Subject Name with the chosen [Customer] VPN endpoint FQDN.

В разделе [Extensions] замените vpn.contoso.com, используемый для альтернативного имени субъекта, на выбранное полное доменное имя конечной точки VPN-сервера [Customer]. In the [Extensions] section, replace vpn.contoso.com used for the Subject Alternate Name with the chosen [Customer] VPN endpoint FQDN.

Сохраните или скопируйте файл VPNGateway. INF в выбранное расположение. Save or copy the VPNGateway.inf file to a chosen location.

В командной строке с повышенными привилегиями перейдите в папку, содержащую файл VPNGateway. INF , и введите: From an elevated command prompt, navigate to the folder that contains the VPNGateway.inf file and type:

Скопируйте созданный выходной файл VPNGateway. req на сервер центра сертификации или рабочую станцию привилегированного доступа (привилегированным доступом). Copy the newly created VPNGateway.req output file to a Certification Authority server, or Privileged Access Workstation (PAW).

Сохраните или скопируйте файл VPNGateway. req в выбранное расположение на сервере центра сертификации или рабочую станцию привилегированного доступа (привилегированным доступом). Save or copy the VPNGateway.req file to a chosen location on the Certification Authority server, or Privileged Access Workstation (PAW).

В командной строке с повышенными привилегиями перейдите в папку, содержащую файл VPNGateway. req, созданный на предыдущем шаге, и введите следующую команду: From an elevated command prompt, navigate to the folder that contains the VPNGateway.req file created in the previous step and type:

При появлении запроса в окне Список центров сертификации выберите соответствующий ЦС предприятия для обслуживания запроса на сертификат. If prompted by the Certification Authority List window, select the appropriate Enterprise CA to service the certificate request.

Скопируйте созданный выходной файл VPNGateway. cer на сервер RRAS. Copy the newly created VPNGateway.cer output file to the RRAS server.

Сохраните или скопируйте файл VPNGateway. cer в выбранное расположение на сервере RRAS. Save or copy the VPNGateway.cer file to a chosen location on the RRAS server.

В командной строке с повышенными привилегиями перейдите в папку, содержащую файл VPNGateway. cer, созданный на предыдущем шаге, и введите следующую команду: From an elevated command prompt, navigate to the folder that contains the VPNGateway.cer file created in the previous step and type:

Запустите оснастку MMC «сертификаты», как описано в разделе выбор учетной записи компьютера . Run the Certificates MMC snap-in as described here selecting the Computer account option.

Убедитесь, что для сервера RRAS существует допустимый сертификат со следующими свойствами: Ensure that a valid certificate exists for the RRAS server with the following properties:

Предполагаемое назначение: Проверка подлинности сервера, промежуточный IP-адрес IKE Intended Purposes: Server Authentication, IP security IKE intermediate

Шаблон сертификата: [клиент] VPN-сервер Certificate Template: [Customer] VPN Server

Пример: сценарий VPNGateway. INF Example: VPNGateway.inf script

Здесь можно просмотреть пример скрипта политики запроса сертификатов, используемый для запроса сертификата VPN-шлюза с помощью внешнего процесса. Here you can see an example script of a certificate request policy used to request a VPN gateway certificate using an out-of-band process.

Копию скрипта VPNGateway. inf можно найти в пакете IP-адресов предложения VPN в папке политики запросов сертификатов. You can find a copy of the VPNGateway.inf script in the VPN Offering IP Kit under the Certificate Request Policies folder. Обновляйте только значения «subject» и » _ Continue _ » с учетом значений, относящихся к заказчику. Only update the ‘Subject’ and ‘_continue_’ with customer-specific values.

Создание групп «пользователи VPN», «VPN-серверы» и «NPS-серверы» Create the VPN Users, VPN Servers, and NPS Servers Groups

В этой процедуре можно добавить новую группу Active Directory (AD), содержащую пользователей, которым разрешено использовать VPN для подключения к сети Организации. In this procedure, you can add a new Active Directory (AD) group that contains the users allowed to use the VPN to connect to your organization network.

Эта группа служит двум целям: This group serves two purposes:

Он определяет, какие пользователи могут выполнять автоматическую регистрацию для сертификатов пользователей, необходимых VPN. It defines which users are allowed to autoenroll for the user certificates the VPN requires.

Он определяет пользователей, которые NPS авторизует для доступа к VPN. It defines which users the NPS authorizes for VPN access.

Если вы хотите отозвать доступ к VPN пользователя, вы можете удалить пользователя из группы, используя пользовательскую группу. By using a custom group, if you ever want to revoke a user’s VPN access, you can remove that user from the group.

Вы также добавляете группу, содержащую VPN-серверы и другую группу, содержащую серверы NPS. You also add a group containing VPN servers and another group containing NPS servers. Эти группы используются для ограничения запросов на сертификаты к их членам. You use these groups to restrict certificate requests to their members.

Рекомендуется, чтобы VPN-серверы, расположенные в DMA/периметре, не были присоединены к домену. We recommend VPN servers that reside in the DMA/Perimeter not be domain-joined. Тем не менее, если вы предпочитаете присоединить к домену VPN-серверы для повышения управляемости (групповых политик, агента резервного копирования и мониторинга, локальных пользователей для управления и т. д.), добавьте группу AD в шаблон сертификата VPN-сервера. However, if you prefer to have the VPN servers domain-joined for better manageability (Group Policies, Backup/Monitoring agent, no local users to manage, and so on), then add an AD group to the VPN server certificate template.

Настройка группы «пользователи VPN» Configure the VPN Users group

На контроллере домена откройте Active Directory пользователи и компьютеры. On a domain controller, open Active Directory Users and Computers.

Щелкните правой кнопкой мыши контейнер или подразделение, выберите создать, а затем выберите Группа. Right-click a container or organizational unit, select New, then select Group.

В окне имя группывведите VPN-пользователи, а затем нажмите кнопку ОК. In Group name, enter VPN Users, then select OK.

Щелкните правой кнопкой мыши VPN-пользователи и выберите свойства. Right-click VPN Users and select Properties.

На вкладке члены диалогового окна Свойства VPN-пользователей нажмите кнопку Добавить. On the Members tab of the VPN Users Properties dialog box, select Add.

В диалоговом окне Выбор пользователей добавьте всех пользователей, которым требуется доступ к VPN, и нажмите кнопку ОК. On the Select Users dialog box, add all the users who need VPN access and select OK.

Закройте окно «Пользователи и компьютеры Active Directory». Close Active Directory Users and Computers.

Настройка групп VPN-серверов и серверов NPS Configure the VPN Servers and NPS Servers groups

На контроллере домена откройте Active Directory пользователи и компьютеры. On a domain controller, open Active Directory Users and Computers.

Щелкните правой кнопкой мыши контейнер или подразделение, выберите создать, а затем выберите Группа. Right-click a container or organizational unit, select New, then select Group.

В списке имя группывведите VPN-серверы, а затем нажмите кнопку ОК. In Group name, enter VPN Servers, then select OK.

Щелкните правой кнопкой мыши элемент VPN-серверы и выберите пункт свойства. Right-click VPN Servers and select Properties.

На вкладке члены диалогового окна Свойства VPN-серверов нажмите кнопку Добавить. On the Members tab of the VPN Servers Properties dialog box, select Add.

Выберите типы объектов, установите флажок Компьютеры , а затем нажмите кнопку ОК. select Object Types, select the Computers check box, then select OK.

В поле Введите имена объектов для выборавведите имена VPN-серверов, а затем нажмите кнопку ОК. In Enter the object names to select, enter the names of your VPN servers, then select OK.

Нажмите кнопку ОК , чтобы закрыть диалоговое окно Свойства VPN-серверов. Select OK to close the VPN Servers Properties dialog box.

Повторите предыдущие шаги для группы NPS Servers. Repeat the previous steps for the NPS Servers group.

Закройте окно «Пользователи и компьютеры Active Directory». Close Active Directory Users and Computers.

Создание шаблона проверки подлинности пользователя Create the User Authentication template

В этой процедуре настраивается настраиваемый шаблон проверки подлинности клиента и сервера. In this procedure, you configure a custom client-server authentication template. Этот шаблон является обязательным, так как требуется повысить общую безопасность сертификата, выбрав обновленные уровни совместимости и выбрав поставщик шифрования платформы Майкрософт. This template is required because you want to improve the certificate’s overall security by selecting upgraded compatibility levels and choosing the Microsoft Platform Crypto Provider. Это Последнее изменение позволяет использовать доверенный платформенный модуль на клиентских компьютерах для защиты сертификата. This last change lets you use the TPM on the client computers to secure the certificate. Общие сведения о TPM см. в разделе Обзор технологии доверенный платформенный модуль (TPM). For an overview of the TPM, see Trusted Platform Module Technology Overview.

Поставщику шифрования платформы (Майкрософт) «требуется Микросхема TPM, если вы используете ВИРТУАЛЬную машину, и вы получаете следующую ошибку:» не удается найти допустимый CSP на локальном компьютере «при попытке вручную зарегистрировать сертификат, необходимо проверить» поставщик хранилища ключей программного обеспечения Майкрософт «и поместить его в секунду после» поставщика Microsoft Platform шифра «на вкладке» шифрование «в свойствах сертификата. Microsoft Platform Crypto Provider» requires a TPM chip, in the case that you are running a VM and you get the following error: «Can not find a valid CSP in the local machine» when trying to manually enroll the certificate you need to check «Microsoft Software Key Storage Provider» and have it second in order after «Microsoft Platform Crypto Provider» in the Cryptography tab in certificate properties.

PROCEDURE Procedure:

В центре сертификации откройте центр сертификации. On the CA, open Certification Authority.

В области навигации щелкните правой кнопкой мыши шаблоны сертификатов и выберите пункт Управление. In the navigation pane, right-click Certificate Templates and select Manage.

В консоли Шаблоны сертификатов щелкните правой кнопкой мыши элемент пользователь и выберите пункт дублировать шаблон. In the Certificate Templates console, right-click User and select Duplicate Template.

Не выбирайте » Применить » или » ОК » в любое время до шага 10. Do not select Apply or OK at any time prior to step 10. Если вы выберете эти кнопки перед вводом всех параметров, многие варианты станут фиксированными и больше не будут изменены. If you select these buttons before entering ALL parameters, many choices become fixed and no longer editable. Например, на вкладке Криптография , если устаревший поставщик криптографической службы хранилища отображается в поле Категория поставщика, он будет отключен, что предотвращает дальнейшие изменения. For example, on the Cryptography tab, if Legacy Cryptographic Storage Provider shows in the Provider Category field, it becomes disabled, preventing any further change. Единственная альтернатива — удалить шаблон и создать его заново. The only alternative is to delete the template and recreate it.

В диалоговом окне Свойства нового шаблона на вкладке Общие выполните следующие действия. On the Properties of New Template dialog box, on the General tab, complete the following steps:

В окне Отображаемое имя шаблонавведите Проверка подлинности пользователя VPN. In Template display name, type VPN User Authentication.

Снимите флажок опубликовать сертификат в Active Directory . Clear the Publish certificate in Active Directory check box.

На вкладке Безопасность выполните следующие действия. On the Security tab, complete the following steps:

Нажмите кнопку Добавить. Select Add.

В диалоговом окне Выбор пользователей, компьютеров, учетных записей служб или групп введите VPN-пользователей, а затем нажмите кнопку ОК. On the Select Users, Computers, Service Accounts, or Groups dialog box, enter VPN Users, then select OK.

В списке имена групп или пользователейвыберите VPN-пользователей. In Group or user names, select VPN Users.

В поле разрешения для VPN-пользователейустановите флажки Регистрация и автоматическая Регистрация в столбце Разрешить . In Permissions for VPN Users, select the Enroll and Autoenroll check boxes in the Allow column.

Убедитесь, что установлен флажок Read (чтение). Make sure to keep the Read check box selected. Иными словами, вам потребуются разрешения на чтение для регистрации. In other words, you need the Read permissions for enrollment.

В области имена групп или пользователейвыберите Пользователи домена, а затем щелкните Удалить. In Group or user names, select Domain Users, then select Remove.

На вкладке Совместимость выполните следующие действия. On the Compatibility tab, complete the following steps:

В центре сертификациивыберите Windows Server 2012 R2. In Certification Authority, select Windows Server 2012 R2.

В диалоговом окне « итоговые изменения » нажмите кнопку ОК. On the Resulting changes dialog box, select OK.

В окне получатель сертификатавыберите Windows 8.1/Windows Server 2012 R2. In Certificate recipient, select Windows 8.1/Windows Server 2012 R2.

В диалоговом окне « итоговые изменения » нажмите кнопку ОК. On the Resulting changes dialog box, select OK.

На вкладке Обработка запроса снимите флажок Разрешить экспорт закрытого ключа . On the Request Handling tab, clear the Allow private key to be exported check box.

На вкладке Шифрование выполните следующие действия. On the Cryptography tab, complete the following steps:

В списке Категория поставщикавыберите поставщик хранилища ключей. In Provider Category, select Key Storage Provider.

Запросы SELECT должны использовать одного из следующих поставщиков. Select Requests must use one of the following providers.

Установите флажок поставщик криптографии платформы (Майкрософт ). Select the Microsoft Platform Crypto Provider check box.

На вкладке имя субъекта , если у вас нет адреса электронной почты для всех учетных записей пользователей, снимите флажки включить имя электронной почты в имя субъекта и имя электронной почты . On the Subject Name tab, if you don’t have an email address listed on all user accounts, clear the Include e-mail name in subject name and E-mail name check boxes.

Нажмите кнопку ОК , чтобы сохранить шаблон сертификата проверки подлинности пользователя VPN. Select OK to save the VPN User Authentication certificate template.

Закройте консоль Шаблоны сертификатов. Close the Certificate Templates console.

В области навигации оснастки «центр сертификации» щелкните правой кнопкой мыши шаблоны сертификатов, выберите команду создать , а затем выберите шаблон сертификата для выдачи. In the navigation pane of the Certification Authority snap-in, right-click Certificate Templates, select New and then select Certificate Template to Issue.

Выберите Проверка подлинности пользователя VPN, а затем нажмите кнопку ОК. Select VPN User Authentication, then select OK.

Закройте оснастку «центр сертификации». Close the Certification Authority snap-in.

Создание шаблона проверки подлинности VPN-сервера Create the VPN Server Authentication template

В этой процедуре можно настроить новый шаблон проверки подлинности сервера для VPN-сервера. In this procedure, you can configure a new Server Authentication template for your VPN server. Добавление политики промежуточного приложения IKE IPsec позволяет серверу фильтровать сертификаты, если в расширенном использовании ключа проверки подлинности сервера доступно более одного сертификата. Adding the IP Security (IPsec) IKE Intermediate application policy allows the server to filter certificates if more than one certificate is available with the Server Authentication extended key usage.

Так как VPN-клиенты получают доступ к этому серверу из общедоступного Интернета, субъект и альтернативные имена отличаются от имен внутренних серверов. Because VPN clients access this server from the public Internet, the subject and alternative names are different than the internal server name. В результате автоматическая регистрация этого сертификата на VPN-серверах невозможна. As a result, you cannot autoenroll this certificate on VPN servers.

Предварительные условия. Prerequisites:

Присоединенные к домену VPN-серверы Domain-joined VPN servers

PROCEDURE Procedure:

В центре сертификации откройте центр сертификации. On the CA, open Certification Authority.

В области навигации щелкните правой кнопкой мыши шаблоны сертификатов и выберите пункт Управление. In the navigation pane, right-click Certificate Templates and select Manage.

В консоли Шаблоны сертификатов щелкните правой кнопкой мыши элемент RAS и IAS-сервер и выберите пункт дублировать шаблон. In the Certificate Templates console, right-click RAS and IAS Server and select Duplicate Template.

В диалоговом окне Свойства нового шаблона на вкладке Общие в поле Отображаемое имя шаблонавведите описательное имя VPN-сервера, например Проверка подлинности VPN-сервера или сервер RADIUS. On the Properties of New Template dialog box, on the General tab, in Template display name, enter a descriptive name for the VPN server, for example, VPN Server Authentication or RADIUS Server.

На вкладке расширения выполните следующие действия. On the Extensions tab, complete the following steps:

Выберите политики приложения, а затем щелкните изменить. Select Application Policies, then select Edit.

В диалоговом окне изменение расширения политик применения выберите Добавить. In the Edit Application Policies Extension dialog box, select Add.

В диалоговом окне Добавление политики применения выберите пункт IP-адрес IKE Security Intermediate, а затем нажмите кнопку ОК. On the Add Application Policy dialog box, select IP security IKE intermediate, then select OK.

Добавление посредника IP-безопасности IKE к расширению EKU помогает в сценариях, где на VPN-сервере существует несколько сертификатов проверки подлинности сервера. Adding IP security IKE intermediate to the EKU helps in scenarios where more than one server authentication certificate exists on the VPN server. При наличии промежуточного протокола IP-безопасности IPSec использует сертификат только с параметрами EKU. When IP security IKE intermediate is present, IPSec only uses the certificate with both EKU options. Без этого проверка подлинности IKEv2 может завершиться ошибкой 13801: учетные данные проверки подлинности IKE недопустимы. Without this, IKEv2 authentication could fail with Error 13801: IKE authentication credentials are unacceptable.

Нажмите кнопку ОК , чтобы вернуться к диалоговому окну Свойства нового шаблона . Select OK to return to the Properties of New Template dialog box.

На вкладке Безопасность выполните следующие действия. On the Security tab, complete the following steps:

Нажмите кнопку Добавить. Select Add.

В диалоговом окне Выбор пользователей, компьютеров, учетных записей служб или групп введите VPN-серверы, а затем нажмите кнопку ОК. On the Select Users, Computers, Service Accounts, or Groups dialog box, enter VPN Servers, then select OK.

В списке имена групп или пользователейвыберите VPN-серверы. In Group or user names, select VPN Servers.

В поле разрешения для VPN-серверовустановите флажок Регистрация в столбце Разрешить . In Permissions for VPN Servers, select the Enroll check box in the Allow column.

В списке имена групп или пользователейвыберите Серверы RAS и IAS, а затем нажмите кнопку Удалить. In Group or user names, select RAS and IAS Servers, then select Remove.

На вкладке имя субъекта выполните следующие действия. On the Subject Name tab, complete the following steps:

Выберите в запросе пункт указать. Select Supply in the Request.

В диалоговом окне предупреждения шаблонов сертификатов нажмите кнопку ОК. On the Certificate Templates warning dialog box, select OK.

Используемых Если вы настраиваете условный доступ для VPN-подключения, перейдите на вкладку Обработка запроса , а затем выберите Разрешить экспорт закрытого ключа. (Optional) If you’re configuring conditional access for VPN connectivity, select the Request Handling tab, then select Allow private key to be exported.

Нажмите кнопку ОК , чтобы сохранить шаблон сертификата VPN-сервера. Select OK to save the VPN Server certificate template.

Закройте консоль Шаблоны сертификатов. Close the Certificate Templates console.

В области навигации оснастки «центр сертификации» щелкните правой кнопкой мыши шаблоны сертификатов, выберите команду создать , а затем выберите пункт Выдаваемый шаблон сертификата. In the navigation pane of the Certification Authority snap-in, right-click Certificate Templates, click New and then click Certificate Template to Issue.

Перезапустите службы центра сертификации. (*) Restart the Certificate Authority services.(*)

В области навигации оснастки «центр сертификации» щелкните правой кнопкой мыши шаблоны сертификатов, выберите команду создать , а затем выберите шаблон сертификата для выдачи. In the navigation pane of the Certification Authority snap-in, right-click Certificate Templates, select New and then select Certificate Template to Issue.

Выберите имя, выбранное на шаге 4 выше, и нажмите кнопку ОК. Select the name you chose in step 4 above, and click OK.

Закройте оснастку «центр сертификации». Close the Certification Authority snap-in.

• Чтобы запустить службу ЦС, выполните следующую команду в CMD:You can stop/start the CA service by running the following command in CMD:

Создание шаблона проверки подлинности сервера NPS Create the NPS Server Authentication template

Третий и последний создаваемый шаблон сертификата — это шаблон проверки подлинности сервера NPS. The third and last certificate template to create is the NPS Server Authentication template. Шаблон проверки подлинности сервера NPS — это простая копия шаблона сервера RAS и IAS, защищенная группой серверов политики сети, созданной ранее в этом разделе. The NPS Server Authentication template is a simple copy of the RAS and IAS Server template secured to the NPS Server group that you created earlier in this section.

Этот сертификат будет настроен для автоматической регистрации. You will configure this certificate for autoenrollment.

PROCEDURE Procedure:

В центре сертификации откройте центр сертификации. On the CA, open Certification Authority.

В области навигации щелкните правой кнопкой мыши шаблоны сертификатов и выберите пункт Управление. In the navigation pane, right-click Certificate Templates and select Manage.

В консоли Шаблоны сертификатов щелкните правой кнопкой мыши элемент RAS и IAS-сервери выберите пункт дублировать шаблон. In the Certificate Templates console, right-click RAS and IAS Server, and select Duplicate Template.

В диалоговом окне Свойства нового шаблона на вкладке Общие в поле Отображаемое имя шаблонавведите Проверка подлинности сервера NPS. On the Properties of New Template dialog box, on the General tab, in Template display name, type NPS Server Authentication.

На вкладке Безопасность выполните следующие действия. On the Security tab, complete the following steps:

Нажмите кнопку Добавить. Select Add.

В диалоговом окне Выбор пользователей, компьютеров, учетных записей служб или групп введите NPS Serversи нажмите кнопку ОК. On the Select Users, Computers, Service Accounts, or Groups dialog box, enter NPS Servers, then select OK.

В списке имена групп или пользователейвыберите NPS Servers. In Group or user names, select NPS Servers.

В поле разрешения для серверов политики сетиустановите флажки Регистрация и автоматическая Регистрация в столбце Разрешить . In Permissions for NPS Servers, select the Enroll and Autoenroll check boxes in the Allow column.

В списке имена групп или пользователейвыберите Серверы RAS и IAS, а затем нажмите кнопку Удалить. In Group or user names, select RAS and IAS Servers, then select Remove.

Нажмите кнопку ОК , чтобы сохранить шаблон сертификата сервера политики сети. Select OK to save the NPS Server certificate template.

Закройте консоль Шаблоны сертификатов. Close the Certificate Templates console.

В области навигации оснастки «центр сертификации» щелкните правой кнопкой мыши шаблоны сертификатов, выберите команду создать , а затем выберите шаблон сертификата для выдачи. In the navigation pane of the Certification Authority snap-in, right-click Certificate Templates, select New and then select Certificate Template to Issue.

Выберите Проверка подлинности сервера NPSи нажмите кнопку ОК. Select NPS Server Authentication, and select OK.

Закройте оснастку «центр сертификации». Close the Certification Authority snap-in.

Регистрация и проверка сертификата пользователя Enroll and validate the user certificate

Так как вы используете групповая политика для автоматической регистрации сертификатов пользователей, необходимо только обновить политику, и Windows 10 будет автоматически регистрировать учетную запись пользователя для правильного сертификата. Because you’re using Group Policy to autoenroll user certificates, you need only update the policy, and Windows 10 will automatically enroll the user account for the correct certificate. Затем сертификат можно проверить в консоли сертификатов. You can then validate the certificate in the Certificates console.

PROCEDURE Procedure:

Войдите на клиентский компьютер, присоединенный к домену, как член группы » пользователи VPN «. Sign in to a domain-joined client computer as a member of the VPN Users group.

Нажмите клавиши Windows + R, введите gpupdate/Forceи нажмите клавишу ВВОД. Press Windows key + R, type gpupdate /force, and press Enter.

В меню Пуск введите CertMgr. mscи нажмите клавишу ВВОД. On the Start menu, type certmgr.msc, and press Enter.

В оснастке Сертификаты в разделе Личныевыберите Сертификаты. In the Certificates snap-in, under Personal, select Certificates. Сертификаты отобразятся в области сведений. Your certificates appear in the details pane.

Щелкните правой кнопкой мыши сертификат с именем пользователя текущего домена и выберите Открыть. Right-click the certificate that has your current domain username, and then select Open.

На вкладке Общие убедитесь, что дата в списке действительна с сегодняшней даты. On the General tab, confirm that the date listed under Valid from is today’s date. Если это не так, возможно, вы выбрали неправильный сертификат. If it isn’t, you might have selected the wrong certificate.

Нажмите кнопку ОКи закройте оснастку Сертификаты. Select OK, and close the Certificates snap-in.

Регистрация и проверка сертификатов сервера Enroll and validate the server certificates

В отличие от сертификата пользователя, необходимо вручную зарегистрировать сертификат VPN-сервера. Unlike the user certificate, you must manually enroll the VPN server’s certificate. После регистрации проверьте его, используя тот же процесс, который использовался для сертификата пользователя. After you’ve enrolled it, validate it by using the same process you used for the user certificate. Как и сертификат пользователя, NPS-сервер автоматически регистрирует сертификат проверки подлинности, поэтому все, что нужно сделать, — это проверить его. Like the user certificate, the NPS server automatically enrolls its authentication certificate, so all you need to do is validate it.

Возможно, потребуется перезапустить серверы VPN и NPS, чтобы они могли обновить членство в группах, прежде чем выполнять эти действия. You might need to restart the VPN and NPS servers to allow them to update their group memberships before you can complete these steps.

Регистрация и проверка сертификата VPN-сервера Enroll and validate the VPN server certificate

В меню Пуск VPN-сервера введите certlm. mscи нажмите клавишу ВВОД. On the VPN server’s Start menu, type certlm.msc, and press Enter.

Щелкните правой кнопкой мыши личное, выберите все задачи , а затем — запросить новый сертификат , чтобы запустить мастер регистрации сертификатов. Right-click Personal, select All Tasks and then select Request New Certificate to start the Certificate Enrollment Wizard.

На странице Перед началом работы нажмите кнопку Далее. On the Before You Begin page, select Next.

На странице Выбор политики регистрации сертификатов нажмите кнопку Далее. On the Select Certificate Enrollment Policy page, select Next.

На странице запрос сертификатов установите флажок рядом с VPN-сервером, чтобы выбрать его. On the Request Certificates page, select the check box next to the VPN server to select it.

В поле VPN-сервер установите флажок Дополнительные сведения , чтобы открыть диалоговое окно Свойства сертификата, и выполните следующие действия. Under the VPN server check box, select More information is required to open the Certificate Properties dialog box and complete the following steps:

Перейдите на вкладку Тема , выберите в поле имя субъектапункт Общее имя в разделе тип. Select the Subject tab, select Common Name under Subject name, in Type.

В поле» имя субъекта» введите имя клиента внешнего домена, используемого для подключения к VPN, например VPN.contoso.com, а затем нажмите кнопку добавить. Under Subject name, in Value, enter the name of the external domain clients used to connect to the VPN, for example, vpn.contoso.com, then select Add.

В разделе альтернативное имяв поле типвыберите DNS. Under Alternative Name, in Type, select DNS.

В разделе альтернативное имяв поле значениевведите все имена серверов, используемые клиентами для подключения к VPN, например VPN.contoso.com, VPN, 132.64.86.2. Under Alternative Name, in Value, enter all of the server names clients use to connect to the VPN, for example, vpn.contoso.com, vpn, 132.64.86.2.

Выберите Добавить после ввода каждого имени. Select Add after entering each name.

Выберите ОК после завершения. Select OK when finished.

Выберите Регистрация. Select Enroll.

Нажмите кнопку Готово. Select Finish.

В оснастке Сертификаты в разделе Личныевыберите Сертификаты. In the Certificates snap-in, under Personal, select Certificates.

Указанные сертификаты отображаются в области сведений. Your listed certificates appear in the details pane.

Щелкните правой кнопкой мыши сертификат с именем VPN-сервера и выберите Открыть. Right-click the certificate that has your VPN server’s name, and then select Open.

На вкладке Общие убедитесь, что дата в списке действительна с сегодняшней даты. On the General tab, confirm that the date listed under Valid from is today’s date. Если это не так, возможно, был выбран неверный сертификат. If it isn’t, you might have selected the incorrect certificate.

На вкладке сведения выберите Расширенное использование ключаи убедитесь, что в списке отображается промежуточный IP-адрес IKE и отображение проверки подлинности сервера . On the Details tab, select Enhanced Key Usage, and verify that IP security IKE intermediate and Server Authentication display in the list.

Нажмите кнопку ОК , чтобы закрыть сертификат. Select OK to close the certificate.

Закройте оснастку Сертификаты. Close the Certificates snap-in.

Проверка сертификата сервера NPS Validate the NPS server certificate

Перезапустите сервер политики сети. Restart the NPS server.

В меню Пуск сервера политики сети введите certlm. mscи нажмите клавишу ВВОД. On the NPS server’s Start menu, type certlm.msc, and press Enter.

В оснастке Сертификаты в разделе Личныевыберите Сертификаты. In the Certificates snap-in, under Personal, select Certificates.

Указанные сертификаты отображаются в области сведений. Your listed certificates appear in the details pane.

Щелкните правой кнопкой мыши сертификат с именем сервера NPS и выберите Открыть. Right-click the certificate that has your NPS server’s name, and then select Open.

На вкладке Общие убедитесь, что дата в списке действительна с сегодняшней даты. On the General tab, confirm that the date listed under Valid from is today’s date. Если это не так, возможно, был выбран неверный сертификат. If it isn’t, you might have selected the incorrect certificate.

Нажмите кнопку ОК , чтобы закрыть сертификат. Select OK to close the certificate.

Закройте оснастку Сертификаты. Close the Certificates snap-in.

Дальнейшие действия Next steps

Шаг 3. Настройка сервера удаленного доступа для Always On VPN. на этом шаге вы настроите VPN-подключение удаленного доступа, разрешающее подключения по протоколу IKEv2, запретите подключения от других протокола VPN и назначаете пул статических IP-адресов для выдачи IP-адресов для подключения разрешенных VPN-клиентов. Step 3. Configure the Remote Access Server for Always On VPN: In this step, you configure Remote Access VPN to allow IKEv2 VPN connections, deny connections from other VPN protocols, and assign a static IP address pool for issuance of IP addresses to connecting authorized VPN clients.