次の方法で共有

チュートリアル: Always On VPN 用に証明機関テンプレートを構成する

このチュートリアルでは、Always On VPN 展開用に証明機関 (CA) テンプレートを構成する方法について説明します。 このシリーズは、サンプル環境で Always On VPN をデプロイし続けます。 以前のシリーズでは、 サンプル インフラストラクチャをデプロイしました

CA テンプレートは、VPN サーバー、NPS サーバー、およびユーザーに証明書を発行するために使用されます。 証明書は、クライアントに対して VPN サーバーと NPS サーバーを認証し、VPN サーバーに対してユーザーを認証するために使用されます。

このチュートリアルでは、次の操作を行います。

  • ユーザー認証テンプレートを作成します。
  • VPN サーバー認証テンプレートを作成します。
  • NPS サーバー認証テンプレートを作成します。
  • ユーザー証明書を登録して検証します。
  • VPN サーバー証明書を登録して検証します。
  • NPS サーバー証明書を登録して検証します。

さまざまなテンプレートの説明を次に示します。

テンプレート 説明
ユーザー認証テンプレート このテンプレートは、VPN クライアントのユーザー証明書を発行するために使用されます。 ユーザー証明書は、VPN サーバーに対してユーザーを認証するために使用されます。

ユーザー認証テンプレートを使用すると、アップグレードされた互換性レベルを選択し、Microsoft Platform Crypto Provider を選択することで、証明書のセキュリティを向上させることができます。 Microsoft Platform Crypto Provider を使用すると、クライアント コンピューターで トラステッド プラットフォーム モジュール (TPM) を使用して証明書をセキュリティで保護できます。 ユーザー テンプレートは自動登録用に構成されます。
VPN サーバー認証テンプレート このテンプレートは、VPN サーバーのサーバー証明書を発行するために使用されます。 サーバー証明書は、クライアントに対して VPN サーバーを認証するために使用されます。

VPN サーバー認証テンプレートを使用して、IP セキュリティ (IPsec) IKE 中間アプリケーション ポリシーを追加します。 IP セキュリティ (IPsec) IKE 中間アプリケーション ポリシーは、証明書の使用方法を決定します。複数の証明書が使用可能な場合は、サーバーで証明書をフィルター処理できます。 VPN クライアントはパブリック インターネットからこのサーバーにアクセスするため、サブジェクト名と代替名は内部サーバー名とは異なります。 その結果、自動登録用に VPN サーバー証明書は構成されません。
NPS サーバー認証テンプレート このテンプレートは、NPS サーバーのサーバー証明書を発行するために使用されます。 NPS サーバー証明書は、NPS サーバーを VPN サーバーに対して認証するために使用されます。

NPS サーバー認証テンプレートでは、標準の RAS および IAS サーバー テンプレートをコピーし、NPS サーバーのスコープを設定します。 新しい NPS サーバー テンプレートには、サーバー認証アプリケーション ポリシーが含まれています。

サポートされている統合、セキュリティ、接続機能など、Always On VPN の詳細については、「 Always On VPN の概要」を参照してください。

[前提条件]

このチュートリアルを完了するには、以下が必要になります。

  • 前のチュートリアルのすべての手順を完了するには: Always On VPN インフラストラクチャをデプロイします。

  • サポートされているバージョンの Windows を実行して、Active Directory ドメインに参加している Always On VPN に接続する Windows クライアント デバイス。

ユーザー認証テンプレートを作成する

  1. Active Directory 証明書サービスがインストールされているサーバー (このチュートリアルではドメイン コントローラー) で、証明機関スナップインを開きます。

  2. 左側のウィンドウで、[ 証明書テンプレート ] を右クリックし、[ 管理] を選択します。

  3. [証明書テンプレート] コンソールで、[ ユーザー ] を右クリックし、[ テンプレートの複製] を選択します。 すべてのタブの情報の入力が完了するまで、[適用] または [OK] を選択しないでください。 一部の選択肢は、テンプレートの作成時にのみ構成できます。すべてのパラメーターを入力する前にこれらのボタンを選択した場合は変更できません。それ以外の場合は、テンプレートを削除して再作成する必要があります。

  4. [ 新しいテンプレート のプロパティ] ダイアログ ボックスの [ 全般 ] タブで、次の手順を実行します。

    1. テンプレートの表示名に、「VPN ユーザー認証」と入力します。

    2. [ Active Directory で証明書を発行 する] チェック ボックスをオフにします。

  5. [ セキュリティ ] タブで、次の手順を実行します。

    1. [] を選択し、[] を追加します。

    2. [ユーザー、コンピューター、サービス アカウント、またはグループの選択] ダイアログで、「 VPN ユーザー」と入力し、[ OK] を選択します

    3. [グループ名] または [ユーザー名] で、[VPN ユーザー] を選択します。

    4. [VPN ユーザーのアクセス許可] で、[許可] 列の [登録自動登録] チェック ボックスをオンにします。

      重要

      [ 読み取り アクセス許可] チェック ボックスはオンのままにしてください。 登録には読み取りアクセス許可が必要です。

    5. [グループ名またはユーザー名] で、[ドメイン ユーザー] を選択し、[削除] を選択します

  6. [ 互換性 ] タブで、次の手順を実行します。

    1. 証明機関で、Windows Server 2016 を選択します。

    2. [ 結果の変更 ] ダイアログで、[ OK] を選択します

    3. 証明書の受信者で、Windows 10/Windows Server 2016 を選択します。

    4. [ 結果の変更 ] ダイアログで、[ OK] を選択します

  7. [ 要求処理 ] タブで、[ 秘密キーのエクスポートを許可する] をオフにします。

  8. [暗号化] タブ 、次の手順を実行します。

    1. [プロバイダー カテゴリ] で、[キー ストレージ プロバイダー] を選択します。

    2. 次のいずれかのプロバイダーを使用する要求を選択してください。

    3. Microsoft Platform Crypto ProviderMicrosoft Software Key Storage Provider の両方を選択します。

  9. 件名 タブで、[件名に電子メール名を含める] と [電子メール名] をクリアします。

  10. [ OK] を 選択して VPN ユーザー認証証明書テンプレートを保存します。

  11. [証明書テンプレート] コンソールを閉じます。

  12. 証明機関スナップインの左側のウィンドウで、[ 証明書テンプレート] を右クリックし、[ 新規 ] を選択し、[ 発行する証明書テンプレート] を選択します。

  13. [ VPN ユーザー認証] を選択し、[ OK] を選択します

VPN Server 認証テンプレートを作成する

  1. 証明機関スナップインの左側のウィンドウで、[ 証明書テンプレート ] を右クリックし、[ 管理 ] を選択して [証明書テンプレート] コンソールを開きます。

  2. [証明書テンプレート] コンソールで、[ RAS] と [IAS サーバー ] を右クリックし、[ テンプレートの複製] を選択します。 すべてのタブの情報の入力が完了するまで、[適用] または [OK] を選択しないでください。 一部の選択肢は、テンプレートの作成時にのみ構成できます。すべてのパラメーターを入力する前にこれらのボタンを選択した場合は変更できません。それ以外の場合は、テンプレートを削除して再作成する必要があります。

  3. [ 新しいテンプレート のプロパティ] ダイアログ ボックスの [ 全般 ] タブの [ テンプレート] 表示名に「 VPN Server Authentication」と入力します

  4. [ 拡張機能 ] タブで、次の手順を実行します。

    1. [ アプリケーション ポリシー] を選択し、[ 編集] を選択します。

    2. [ アプリケーション ポリシー拡張機能の編集 ] ダイアログで、[ 追加] を選択します。

    3. [ アプリケーション ポリシーの追加 ] ダイアログで、[ IP セキュリティ IKE 中間] を選択し、[ OK] を選択します

    4. [ OK] を 選択して、[ 新しいテンプレートのプロパティ ] ダイアログに戻ります。

  5. [ セキュリティ ] タブで、次の手順を実行します。

    1. [] を選択し、[] を追加します。

    2. [ ユーザー、コンピューター、サービス アカウント、またはグループの選択 ] ダイアログで、「 VPN サーバー」と入力し、[ OK] を選択します

    3. [グループ名] または [ユーザー名] で、[VPN サーバー] を選択します。

    4. [VPN サーバーのアクセス許可] で、[許可] 列で [登録] を選択します。

    5. [グループ名またはユーザー名] で、[RAS および IAS サーバー] を選択し、[削除] を選択します

  6. [ サブジェクト名 ] タブで、次の手順を実行します。

    1. 要求で [供給] を選択します

    2. [証明書テンプレートの警告] ダイアログ ボックスで、[OK] を選択します。

  7. [ OK] を 選択して VPN Server 証明書テンプレートを保存します。

  8. [証明書テンプレート] コンソールを閉じます。

  9. 証明機関スナップインの左側のウィンドウで、[ 証明書テンプレート] を右クリックします。 [ 新規 ] を選択し、[ 発行する証明書テンプレート] を選択します。

  10. [ VPN サーバー認証] を選択し、[ OK] を選択します

  11. VPN サーバーを再起動します。

NPS サーバー認証テンプレートを作成する

  1. 証明機関スナップインの左側のウィンドウで、[ 証明書テンプレート ] を右クリックし、[ 管理 ] を選択して [証明書テンプレート] コンソールを開きます。

  2. [証明書テンプレート] コンソールで、[ RAS] と [IAS サーバー ] を右クリックし、[ テンプレートの複製] を選択します。 すべてのタブの情報の入力が完了するまで、[適用] または [OK] を選択しないでください。 一部の選択肢は、テンプレートの作成時にのみ構成できます。すべてのパラメーターを入力する前にこれらのボタンを選択した場合は変更できません。それ以外の場合は、テンプレートを削除して再作成する必要があります。

  3. [新しいテンプレートのプロパティ] ダイアログ ボックスの [ 全般 ] タブの [ テンプレートの表示名] に「 NPS サーバー認証」と入力します。

  4. [ セキュリティ ] タブで、次の手順を実行します。

    1. [] を選択し、[] を追加します。

    2. [ ユーザー、コンピューター、サービス アカウント、またはグループの選択 ] ダイアログで、「 NPS サーバー」と入力し、[ OK] を選択します

    3. [グループ名] または [ユーザー名] で、[NPS サーバー] を選択します。

    4. [NPS サーバーのアクセス許可] で、[許可] 列で [登録] を選択します。

    5. [グループ名またはユーザー名] で、[RAS および IAS サーバー] を選択し、[削除] を選択します

  5. [ OK] を 選択して NPS サーバー証明書テンプレートを保存します。

  6. [証明書テンプレート] コンソールを閉じます。

  7. 証明機関スナップインの左側のウィンドウで、[ 証明書テンプレート] を右クリックします。 [ 新規 ] を選択し、[ 発行する証明書テンプレート] を選択します。

  8. [ NPS サーバー認証] を選択し、[ OK] を選択します

次に、証明書を登録して検証するために必要な証明書テンプレートを作成しました。

ユーザー証明書を登録して検証する

グループ ポリシーはユーザー証明書を自動登録するように構成されているため、ポリシーが Windows クライアント デバイスに適用されると、ユーザー アカウントが正しい証明書に自動的に登録されます。 その後、ローカル デバイスの証明書コンソールで 証明書 を検証できます。

ポリシーが適用され、証明書が登録されていることを確認するには:

  1. VPN Users グループ用に作成したユーザーとして Windows クライアント デバイスにサインインします。

  2. コマンド プロンプトを開き、次のコマンドを実行します。 または、Windows クライアント デバイスを再起動します。

    gpupdate /force

  3. [スタート] メニューで、「 certmgr.msc」と入力し、Enter キーを押します。

  4. [証明書] スナップインの [ 個人用] で、[証明書] を選択 します。 証明書が詳細ウィンドウに表示されます。

  5. 現在のドメイン ユーザー名を持つ証明書を右クリックし、[ 開く] を選択します。

  6. [ 全般 ] タブで、[ 有効開始日 ] に一覧表示されている日付が今日の日付であることを確認します。 そうでない場合は、間違った証明書を選択している可能性があります。

  7. [ OK] を選択し、[証明書] スナップインを閉じます。

VPN サーバー証明書を登録して検証する

VPN サーバーの証明書を登録するには:

  1. VPN サーバーの [スタート] メニューで、「 certlm.msc 」と入力して証明書スナップインを開き、Enter キーを押します。

  2. [個人用] を右クリックし、[すべてのタスク] を選択し、[新しい証明書の要求] を選択して証明書登録ウィザードを開始します。

  3. [開始する前に] ページで、[ 次へ] を選択します。

  4. [証明書登録ポリシーの選択] ページで、[ 次へ] を選択します。

  5. [証明書の要求] ページで、[ VPN サーバー認証] を選択します。

  6. [VPN サーバー] チェック ボックスで、[証明書のプロパティ] ダイアログ ボックスを開くには [ 詳細情報が必要 ] を選択します。

  7. [ 件名 ] タブを選択し、[ サブジェクト名 ] セクションに次の情報を入力します。

    1. [ 種類] で [ 共通名] を選択します。
    2. [ 値] に、クライアントが VPN への接続に使用する外部ドメインの名前を入力します (例: vpn.contoso.com)。
    3. [] を選択し、[] を追加します。

  8. [ OK] を 選択して証明書のプロパティを閉じます。

  9. [ 登録] を選択します。

  10. 完了 を選択します。

VPN サーバー証明書を検証するには:

  1. [証明書] スナップインの [ 個人用] で、[証明書] を選択 します。 一覧表示された証明書が詳細ウィンドウに表示されます。

  2. VPN サーバーの名前を持つ証明書を右クリックし、[ 開く] を選択します。

  3. [ 全般 ] タブで、[ 有効開始日 ] に一覧表示されている日付が今日の日付であることを確認します。 そうでない場合は、間違った証明書を選択している可能性があります。

  4. [ 詳細 ] タブで [ 拡張キー使用法] を選択し、 IP セキュリティ IKE 中間 認証と サーバー認証 が一覧に表示されることを確認します。

  5. [ OK] を 選択して証明書を閉じます。

NPS 証明書を登録して検証する

NPS 証明書を登録するには:

  1. NPS サーバーの [スタート] メニューで、「 certlm.msc 」と入力して証明書スナップインを開き、Enter キーを押します。

  2. [個人用] を右クリックし、[すべてのタスク] を選択し、[新しい証明書の要求] を選択して証明書登録ウィザードを開始します。

  3. [開始する前に] ページで、[ 次へ] を選択します。

  4. [証明書登録ポリシーの選択] ページで、[ 次へ] を選択します。

  5. [証明書の要求] ページで、[ NPS サーバー認証] を選択します。

  6. [ 登録] を選択します。

  7. 完了 を選択します。

NPS 証明書を検証するには:

  1. [証明書] スナップインの [ 個人用] で、[証明書] を選択 します。 一覧表示された証明書が詳細ウィンドウに表示されます。

  2. NPS サーバーの名前を持つ証明書を右クリックし、[ 開く] を選択します。

  3. [ 全般 ] タブで、[ 有効開始日 ] に一覧表示されている日付が今日の日付であることを確認します。 そうでない場合は、間違った証明書を選択している可能性があります。

  4. [ OK] を選択し、[証明書] スナップインを閉じます。

次のステップ

証明書テンプレートを作成し、証明書を登録したら、Always On VPN 接続を使用するように Windows クライアント デバイスを構成できます。

チュートリアル: Windows クライアント デバイス用の Always On VPN 接続を作成する