Esercitazione: Distribuire VPN Always On - Configurare i modelli di autorità di certificazione
- Precedente: 1 - Configurare l'infrastruttura per VPN Always On
- Successivo: 3 - Configurare il profilo VPN Always On per i client Windows 10+
In questa parte dell'esercitazione Distribuire VPN Always On verranno creati modelli di certificato e si eseguiranno la registrazione o la convalida dei certificati per i gruppi di Active Directory (AD) creati in Distribuire VPN Always On - Impostare l’ambiente:
Verranno creati i modelli seguenti:
Modello di autenticazione utente. Con un modello di autenticazione utente, è possibile migliorare la sicurezza dei certificati selezionando i livelli di compatibilità aggiornati e scegliendo Il provider di crittografia della piattaforma Microsoft. Con il provider di crittografia della piattaforma Microsoft, è possibile usare un modulo TPM (Trusted Platform Module) nei computer client per proteggere il certificato. Per una panoramica di TPM, consultare Panoramica della tecnologia Trusted Platform Module. Il modello utente verrà configurato per la registrazione automatica.
Modello di autenticazione del server VPN. Con un modello di autenticazione del server VPN, si aggiungeranno i criteri dell'applicazione IP Security (IPsec) IKE Intermediate. I criteri dell'applicazione IP Security (IPsec) IKE Intermediate determinano come può essere usato il certificato, consentendo al server di filtrare i certificati se sono disponibili più certificati. Poiché i client VPN accedono a questo server dalla rete Internet pubblica, il soggetto e i nomi alternativi sono diversi dal nome del server interno. Di conseguenza, non si configurerà il certificato del server VPN per la registrazione automatica.
Modello di autenticazione server dei criteri di rete. Con un modello di autenticazione server dei criteri di rete, si copierà il modello server RAS e IAS standard e verrà limitato all'ambito del server dei criteri di rete. Il nuovo modello di server dei criteri di rete include i criteri dell'applicazione di autenticazione server.
Prerequisiti
- Completare Distribuire VPN Always On - Impostare l’ambiente.
Creare il modello di autenticazione utente
Nel server della CA, che in questa esercitazione è il controller di dominio, aprire lo snap-in Autorità di certificazione.
Nel riquadro sinistro fare clic con il pulsante destro su Modelli di certificato e scegliere Gestisci.
Nella console Modelli di certificato fare clic con il pulsante destro su Utente e scegliere Duplica modello.
Avviso
Non selezionare Applica o OK fino al completamento dell'immissione delle informazioni per tutte le schede. Alcune scelte possono essere configurate solo durante la creazione del modello, se si selezionano questi pulsanti prima di immettere TUTTI i parametri non è possibile modificarli. Ad esempio, nella scheda Crittografia, se il provider di archiviazione crittografico legacy viene visualizzato nel campo Categoria provider, viene disabilitato, impedendo ulteriori modifiche. L'unica alternativa consiste nell'eliminare il modello e ricrearlo.
Nella scheda Generale della finestra di dialogo Proprietà nuovo modello completare i passaggi seguenti:
In Nome visualizzato del modello immettere Autenticazione utente VPN.
Deselezionare la casella di controllo Pubblica certificato in Active Directory.
Nella scheda Sicurezza completare i passaggi seguenti:
Selezionare Aggiungi.
Nella finestra di dialogo Seleziona utenti, computer, account di servizio o gruppi immettere Utenti VPN e quindi selezionare OK.
In Nome gruppo o utente selezionare Utenti VPN.
In Autorizzazioni per utenti VPN selezionare Registra e Registra automaticamente nella colonna Consenti.
Importante
Assicurarsi di mantenere selezionata la casella di controllo Autorizzazioni di lettura. Sono necessarie autorizzazioni di lettura per la registrazione.
In Nome gruppo o utente selezionare Utenti di dominio, quindi selezionare Rimuovi.
Nella scheda Compatibilità completare i passaggi seguenti:
In Autorità di certificazione selezionare Windows Server 2016.
Nella finestra di dialogo Modifiche risultanti selezionare OK.
In destinatario certificato selezionare Windows 10/Windows Server 2016.
Nella finestra di dialogo Modifiche risultanti selezionare OK.
Nella scheda Gestione richieste deselezionare Consenti l'esportazione della chiave privata.
Nella scheda Crittografia completare la procedura seguente:
In Categoria provider selezionare Provider di archiviazione chiavi.
Selezionare Richieste deve usare uno dei provider seguenti.
Selezionare Provider di crittografia della piattaforma Microsoft e Provider di archiviazione chiavi software Microsoft.
Nella scheda Nome soggetto deselezionare Includi nome posta elettronica in nome soggetto e Nome posta elettronica.
Selezionare OK per salvare il modello di certificato autenticazione utente VPN.
Chiudere la console Modelli di certificato.
Nel riquadro sinistro dello snap-in Autorità di certificazione fare clic con il pulsante destro su Modelli di certificato, selezionare Nuovo e quindi selezionare Modello di certificato da rilasciare.
Selezionare Autenticazione utente VPN, quindi selezionare OK.
Creare il modello di autenticazione del server VPN
Nel riquadro sinistro dello snap-in Autorità di certificazione fare clic con il pulsante destro del mouse su Modelli di certificato e scegliere Gestisci per aprire la console Modelli di certificato.
Nella console Modelli di certificato fare clic con il pulsante destro del mouse su server RAS e IAS e scegliere Duplica modello.
Avviso
Non selezionare Applica o OK fino al completamento dell'immissione delle informazioni per tutte le schede. Alcune scelte possono essere configurate solo durante la creazione del modello, se si selezionano questi pulsanti prima di immettere TUTTI i parametri non è possibile modificarli. Ad esempio, nella scheda Crittografia, se il provider di archiviazione crittografico legacy viene visualizzato nel campo Categoria provider, viene disabilitato, impedendo ulteriori modifiche. L'unica alternativa consiste nell'eliminare il modello e ricrearlo.
Nella finestra di dialogo Proprietà nuovo modello, nella scheda Generale, in Nome visualizzato modello immettere Autenticazione server VPN.
Nella scheda Estensioni completare i passaggi seguenti:
Selezionare Criteri applicazione e quindi Modifica.
Nella finestra di dialogo Modifica estensione criteri applicazione selezionare Aggiungi.
Nella finestra di dialogo Aggiungi criteri applicazione selezionare IP security IKE intermediate e quindi selezionare OK.
Selezionare OK per tornare alla finestra di dialogo Proprietà nuovo modello.
Nella scheda Sicurezza completare i passaggi seguenti:
Selezionare Aggiungi.
Nella finestra di dialogo Seleziona utenti, computer, account di servizio o gruppi immettere Server VPN e quindi selezionare OK.
In Nome gruppo o utente selezionare Server VPN.
In Autorizzazioni per server VPN selezionare Registra nella colonna Consenti.
In Nome gruppo o utenteselezionare server RAS e IAS, quindi selezionare Rimuovi.
Nella scheda Nome soggetto completare i passaggi seguenti:
Selezionare Specifica nella richiesta.
Nella finestra di dialogo avviso Modelli di certificato selezionare OK.
Selezionare OK per salvare il modello di certificato del server VPN.
Chiudere la console Modelli di certificato.
Nel riquadro sinistro dello snap-in Autorità di certificazione fare clic con il pulsante destro su Modelli di certificato. Selezionare Nuovo e quindi Modello di certificato da rilasciare.
Selezionare Autenticazione server VPN, quindi selezionare OK.
Riavviare il server VPN.
Creare il modello di autenticazione del server dei criteri di rete
Nel riquadro sinistro dello snap-in Autorità di certificazione fare clic con il pulsante destro del mouse su Modelli di certificato e scegliere Gestisci per aprire la console Modelli di certificato.
Nella console Modelli di certificato fare clic con il pulsante destro del mouse su server RAS e IAS e scegliere Duplica modello.
Avviso
Non selezionare Applica o OK fino al completamento dell'immissione delle informazioni per tutte le schede. Alcune scelte possono essere configurate solo durante la creazione del modello, se si selezionano questi pulsanti prima di immettere TUTTI i parametri non è possibile modificarli. Ad esempio, nella scheda Crittografia, se il provider di archiviazione crittografico legacy viene visualizzato nel campo Categoria provider, viene disabilitato, impedendo ulteriori modifiche. L'unica alternativa consiste nell'eliminare il modello e ricrearlo.
Nella finestra di dialogo Proprietà nuovo modello, nella scheda Generale, in Nome visualizzato modello immettere Autenticazione server dei criteri di rete.
Nella scheda Sicurezza completare i passaggi seguenti:
Selezionare Aggiungi.
Nella finestra di dialogo Seleziona utenti, computer, account di servizio o gruppi immettere Server dei criteri di rete e quindi selezionare OK.
In Gruppi o nomi utente selezionare Server dei criteri di rete.
In Autorizzazioni per server dei criteri di rete selezionare Registra nella colonna Consenti.
In Nome gruppo o utenteselezionare server RAS e IAS, quindi selezionare Rimuovi.
Selezionare OK per salvare il modello di certificato del Server dei criteri di rete.
Chiudere la console Modelli di certificato.
Nel riquadro sinistro dello snap-in Autorità di certificazione fare clic con il pulsante destro su Modelli di certificato. Selezionare Nuovo e quindi Modello di certificato da rilasciare.
Selezionare Autenticazione server dei criteri di rete, quindi selezionare OK.
Registrare e convalidare il certificato utente
Poiché si usano Criteri di gruppo per registrare automaticamente i certificati utente, è sufficiente aggiornare i criteri e Windows 10 registrerà automaticamente l'account utente per il certificato corretto. È quindi possibile convalidare il certificato nella console Certificati.
Per convalidare il certificato utente:
Accedere al client Windows VPN come utente creato per il gruppo Utenti VPN.
Premere Il tasto Windows + R, digitare gpupdate /force e premere INVIO.
Nel menu Start digitare certmgr.msc e premere INVIO.
Nello snap-in Certificati, in Personale, selezionare Certificati. I certificati vengono visualizzati nel riquadro dei dettagli.
Fare clic con il pulsante destro sul certificato con il nome utente del dominio corrente e quindi scegliere Apri.
Nella scheda Generale verificare che la data elencata in Valido da sia la data odierna. In caso contrario, è possibile che sia stato selezionato il certificato errato.
Selezionare OKe chiudere lo snap-in Certificati.
Registrare e convalidare il certificato del server VPN
A differenza del certificato utente, è necessario registrare manualmente il certificato del server VPN.
Per registrare il certificato del server VPN:
Nel menu Start del server VPN digitare certlm.msc per aprire lo snap-in Certificati e premere INVIO.
Fare clic con il pulsante destro su Personale, selezionare Tutte le attività e quindi selezionare Richiedi nuovo certificato per avviare la Registrazione guidata certificati.
Nella pagina Prima di iniziare selezionare Avanti.
Nella pagina Seleziona criteri di registrazione certificati selezionare Avanti.
Nella pagina Richiedi certificati selezionare Autenticazione server VPN.
Nella casella di controllo Server VPN selezionare Altre informazioni necessarie per aprire la finestra di dialogo Proprietà certificato.
Selezionare la scheda Oggetto e immettere le informazioni seguenti:
Nella sezione Nome soggetto:
- In Tiposelezionare Nome comune.
- In Valore immettere il nome del dominio esterno usato dai client per connettersi alla VPN, ad esempio vpn.contoso.com.
- Selezionare Aggiungi.
Selezionare OK per chiudere Proprietà certificato.
Selezionare Registra.
Selezionare Fine.
Per convalidare il certificato del server VPN:
Nello snap-in Certificati, in Personale, selezionare Certificati.
I certificati elencati verranno visualizzati nel riquadro dei dettagli.
Fare clic con il pulsante destro sul certificato con il nome del server VPN e quindi scegliere Apri.
Nella scheda Generale verificare che la data elencata in Valido da sia la data odierna. In caso contrario, è possibile che sia stato selezionato il certificato errato.
Nella scheda Dettagli selezionare Utilizzo chiavi avanzato e verificare che IP security IKE intermediate e Autenticazione server siano visualizzati nell'elenco.
Selezionare OK per chiudere il certificato.
Registrare e convalidare il certificato Criteri di rete
Poiché si usano Criteri di gruppo per registrare automaticamente i certificati Criteri di rete, è sufficiente aggiornare i criteri e Windows server registrerà automaticamente il server dei criteri di rete per il certificato corretto. È quindi possibile convalidare il certificato nella console Certificati.
Per registrare il certificato Criteri di rete:
Nel menu Start del server dei criteri di rete digitare certlm.msc per aprire lo snap-in Certificati e premere INVIO.
Fare clic con il pulsante destro su Personale, selezionare Tutte le attività e quindi selezionare Richiedi nuovo certificato per avviare la Registrazione guidata certificati.
Nella pagina Prima di iniziare selezionare Avanti.
Nella pagina Seleziona criteri di registrazione certificati selezionare Avanti.
Nella pagina Richiedi certificati selezionare Autenticazione server dei criteri di rete.
Selezionare Registra.
Selezionare Fine.
Per convalidare il certificato Criteri di rete:
Nello snap-in Certificati, in Personale, selezionare Certificati.
I certificati elencati verranno visualizzati nel riquadro dei dettagli.
Fare clic con il pulsante destro sul certificato con il nome del server dei criteri di rete e quindi scegliere Apri.
Nella scheda Generale verificare che la data elencata in Valido da sia la data odierna. In caso contrario, è possibile che sia stato selezionato il certificato errato.
Selezionare OKe chiudere lo snap-in Certificati.