Always On VPN – Verwaltung der Zertifikate

In Teil 1 dieser Serie habe ich die Infrastruktur für mein Always On VPN-Lab vorgestellt. In diesem Teil werde ich die automatische Registrierung der Computer- und VPN Benutzerzertifikate mittels Gruppenrichtlinien konfigurieren, die empfohlenen AD-Gruppen und Zertifikatsvorlagen erstellen.

Computer- und Benutzerzertifikate mittels GPOs automatisch ausrollen

  1. Als Administrator an DC01 anmelden
  2. Server Manager > Tools > Group Policy Management starten
  3. Group Policy Management\Forest\Domains\intern.einfaches-netzwerk.at erweitern
  4. Group Policy Objects rechts anklicken > New
  5. New GPO
    1. Name: Autoregistrierung Computerzertifikat > OK
  6. Autoregistrierung Computerzertifikat rechts anklicken > Edit…
  7. Group Policy Management Editor
    1. Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies erweitern
    2. Certificate Services Client – Auto-Enrollment doppelklicken
    3. Certificate Services Client – Auto-Enrollment Properties
      1. Configuration Model: Enabled
      2. Renew expired certificates… > aktivieren
      3. Update certificates… > aktivieren > OK
      4. Fenster schließen
  8. Die OU Einfaches-Netzwerk\Arbeitsstationen rechts anklicken > Link an Existing GPO…
  9. Select GPO
    1. Autoregistrierung Computerzertifikat auswählen > OK
  10. Autoregistrierung Computerzertifikat markieren
  11. Im Detailbereich auf den Reiter Details wechseln
  12. GPO Status: User configuration settings disabled
  13. Group Policy Objects rechts anklicken > New
  14. New GPO
    1. Name: Autoregistrierung VPN Benutzerzertifikat > OK
  15. Autoregistrierung VPN Benutzerzertifikat rechts anklicken > Edit…
  16. Group Policy Management Editor
    1. User Configuration\Policies\Windows Settings\Security Settings\Public Key Policies erweitern
    2. Certificate Services Client – Auto-Enrollment doppelklicken
    3. Certificate Services Client – Auto-Enrollment Properties
      1. Configuration Model: Enabled
      2. Renew expired certificates… > aktivieren
      3. Update certificates… > aktivieren > OK
  17. Fenster schließen
  18. Dieses Gruppenrichtlinienobjekt mit der OU Benutzer verknüpfen
  19. GPO Status: Computer configuration settings disabled
  20. Group Policy Management schließen

Active Directory-Sicherheitsgruppen erstellen

In diesem Abschnitt erstelle ich folgende Gruppen:

  • VPN Benutzer
  • VPN Server und
  • NPS Server

Diese Gruppen helfen dabei, Zertifikate an bestimmte Server und Benutzer automatisch auszurollen und Benutzer für den VPN-Zugriff zu berechtigen.

  1. Als Administrator an DC01 anmelden
  2. Server Manager > Tools > Active Directory Users and Computers starten
  3. Auf der linken Seite intern.einfaches-netzwerk\Einfaches-Netzwerk\Sicherheitsgruppen rechts anklicken > New > Group
    AD-Gruppe erzeugen
  4. New Object – Group
    1. Group name: VPN Benutzer > OK
      VPN Benutzergruppe
  5. Weitere Gruppen erstellen
    1. VPN Server
    2. NPS Server
      AD Gruppen
  6. Den Server NPS01 zur Gruppe NPS Server hinzufügen
  7. Den Server VPN01 Zur Gruppe VPN Server hinzufügen
  8. Die Benutzer USER01 und USER02 zur Gruppe VPN Benutzer hinzufügen
    VPN Benutzer in Gruppe
  9. Active Directory Users and Computers schließen

Zertifikatsvorlage für die Benutzerauthentifizierung erstellen

Die Zertifikatsvorlage für die Benutzerauthentifizierung wird auf Basis der User-Vorlage erstellt. Die Vorlage wird für die Verwendung eines TPM-Chips konfiguriert. Ist das nicht gewünscht oder sind nicht in allen Geräten TPM-Chips verbaut, muss in Schritt 5.4.2.1 Microsoft Software Key Storage Provider anstatt oder zusätzlich zu Microsoft Platform Crypto Provider angehakt werden.

  1. Als Administrator an SUBCA01 anmelden
  2. Server Manager > Tools > Certification Authority starten
  3. Auf der linken Seite Certification Authority (Local)\Einfaches-Netzwerk-SUBCA01\Certificate Templates rechts anklicken > Manage
    Manage CA Templates
  4. Im Detailbereich der Certificate Templates Console die Vorlage User rechts anklicken >  Duplicate Template
    Duplicate User Template
  5. Properties of New Template
    1. Reiter Compatibility
      1. Certification Authority: Windows Server 2012 R2 > Resulting Changes > OK
      2. Certificate recipient: Windows 8.1/Windows Server 2012 R2 > Resulting Changes > OK
        Compatibility Settings
    2. Reiter General
      1. Template display name: VPN Benutzerauthentifizierung
      2. Häkchen bei Publish certificate in Active Directory entfernen
    3. Reiter Request Handling
      1. Häkchen bei Allow private key to be exported entfernen
    4. Reiter Cryptography
      1. Provider Category: Key Storage Provider
      2. Requests must use one of the following providers:
        1. Microsoft Platform Crypto Provider

          Hinweis: Sind nicht in allen Geräten TPM-Chips verbaut, muss Microsoft Software Key Storage Provider anstatt oder zusätzlich zu Microsoft Platform Crypto Provider angehakt werden.
    5. Reiter Subject Name
      1. Häkchen bei Include e-mail name in subject name deaktivieren
      2. Häkchen bei E-mail name deaktivieren
    6. Reiter Security
      1. Add… > Gruppe VPN Benutzer > OK
      2. Permissions for VPN Benutzer
        1. Read
        2. Enroll
        3. Autoenroll
        4. Domain Users markieren > Remove
  6. Fenter mit OK schließen

Zertifikatsvorlage für die Computerauthentifizierung erstellen

  1. Im Detailbereich der Certificate Templates Console die Vorlage Workstation Authentication rechts anklicken >  Duplicate Template
  2. Reiter Compatibility
    1. Certification Authority: Windows Server 2012 R2 > Resulting Changes > OK
    2. Certificate recipient: Windows 8.1/Windows Server 2012 R2 > Resulting Changes > OK
  3. Reiter General
    1. Template display name: Computerauthentifizierung
  4. Reiter Security
    1. Domain Computers markieren
    2. Permissions for Domain Computers
      1. Enroll
      2. Autoenroll
  5. Fenster mit OK schließen

Zertifikatsvorlage für die VPN Serverauthentifizierung erstellen

  1. Im Detailbereich der Certificate Templates Console die Vorlage RAS and IAS Server rechts anklicken >  Duplicate Template
  2. Reiter Compatibility
    1. Certification Authority: Windows Server 2012 R2 > Resulting Changes > OK
    2. Certificate recipient: Windows 8.1/Windows Server 2012 R2 > Resulting Changes > OK
  3. Reiter General
    1. Template display name: VPN Serverauthentifizierung
  4. Reiter Subject Name
    1. Supply in the request
  5. Reiter Extensions
    1. Application Policies markieren > Edit…
    2. Edit Application Policies Extension > Add…
    3. Add Application Policy
      1. IP security IKE intermediate > OK
    4. Edit Application Policies Extension mit OK schließen
  6. Reiter Security
    1. Add… > Gruppe VPN Server > OK
    2. Permissions for VPN Server
      1. Read
      2. Enroll
    3. RAS and IAS Servers markieren > Remove
  7. Fenster mit OK schließen

Zertifikatsvorlage für die NPS Serverauthentifizierung erstellen

  1. Im Detailbereich der Certificate Templates Console die Vorlage RAS and IAS Server rechts anklicken >  Duplicate Template
  2. Reiter Compatibility
    1. Certification Authority: Windows Server 2012 R2 > Resulting Changes > OK
    2. Certificate recipient: Windows 8.1/Windows Server 2012 R2 > Resulting Changes > OK
  3. Reiter General
    1. Template display name: NPS Serverauthentifizierung
  4. Reiter Security
    1. Add… > Gruppe NPS Server > OK
    2. Permissions for NPS Server
      1. Read
      2. Enroll
      3. Autoenroll
    3. RAS and IAS Servers markieren > Remove
  5. Fenster mit OK schließen
  6. Certificate Templates Console schließen

Zertifikatsvorlagen aktivieren

  1. Zurück in der Certification Authority Console Certificate Templates rechts anklicken > New > Certificate Template to Issue
  2. Enable Certificate Templates
    1. Folgende Templates markieren und mit OK hinzufügen
      1. Computerauthentifizierung
      2. VPN Benutzerauthentifizierung
      3. VPN Serverauthentifizierung
      4. NPS Serverauthentifizierung
  3. Certification Authority Console schließen
  4. Von SUBCA01 abmelden

Automatische Registrierung der Computer- und Benutzerzertifikate

  1. Als USER01 an CLIENT01 anmelden
  2. cmd > gpupdate /force
  3. MMC mit Zertifikate-Snap-In für das lokale Computerkonto öffnen
  4. MMC mit Zertifikate-Snap-In für den Benutzer öffnen

In diesem Teil habe ich die für Always On VPN notwendigen AD-Gruppen und Zertifikatsvorlagen erstellt. Die Computer- und VPN Benutzer-Zertifikate werden mittels Gruppenrichtlinien automatisch ausgerollt. Im nächsten Teil werde ich am VPN- und NPS-Server die Zertifikate installieren.

Ein Gedanke zu „Always On VPN – Verwaltung der Zertifikate

  1. Hallo alle miteinander 🙂

    Beim erstellen der Zertifikatsvorlage für die Benutzerauthentifizierung wird das Zertifikat nicht automatisch ausgerollt, wenn ich die Gruppe Domain Users im Reiter Sicherheit entferne.
    Schlimmer noch, ich muss bei dieser Gruppe das Registrieren und Automatische Registrieren aktivieren. Hat jemand eine Idee woran es liegen könnte?
    Und ja, ich habe die globalen Sicherheitsgruppen erstellt und den Test-User hinzugefügt 🙂

    Mit besten Grüßen Stephan

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert