In Teil 1 dieser Serie habe ich die Infrastruktur für mein Always On VPN-Lab vorgestellt. Anschließend habe ich in Teil 2 die automatische Registrierung der Computer- und VPN Benutzerzertifikate mittels Gruppenrichtlinien konfiguriert, die empfohlenen AD-Gruppen und Zertifikatsvorlagen erstellt. In diesem Teil werde ich das Zertifikat für NPS Serverauthentifizierung und das IKEv2-Zertifikat am VPN Server installieren. Außerdem werde ich eine Zertifikatsanforderung für ein SSL-Zertifikat für SSTP erstellen.

Das Zertifikat für die NPS Serverauthentifizierung installieren

1. Als Administrator an NPS01 anmelden
2. Suche: MMC > Run as administrator
3. Certificates-Snap-In für den lokalen Computer importieren
4. Certificate (Local Computer) erweitern
5. Personal rechts anklicken > All Tasks > Request New Certificate…
6. Certificate Enrollment
   1. Before You Begin > Next
   2. Select Certificate Enrollment Policy: Active Directory Enrollment Policy > Next
      
   3. Request Certificates: NPS Serverauthentifizierung > aktivieren > Enroll
      
   4. Certificate Installation Results > Finish
      
7. Personal\Certificates erweitern
   
8. Fenster schließen
9. Von NPS01 vorerst abmelden

Das Zertifikat für die VPN Serverauthentifizierung installieren

1. Als Administrator an VPN01 anmelden
2. Suche: MMC > Run as administrator
3. Certificates-Snap-In für den lokalen Computer importieren
4. Certificate (Local Computer) erweitern
5. Personal rechts anklicken > All Tasks > Request New Certificate…
6. Certificate Enrollment
   1. Before You Begin > Next
   2. Select Certificate Enrollment Policy: Active Directory Enrollment Policy > Next
   3. Request Certificates: Auf den Link More information is required… klicken
      
   4. Certificate Properties
      1. Reiter Subject
         1. Subject name
            1. Type: Common name
            2. Value: vpn.einfaches-netzwerk.at > Add
         2. Alternative name
            1. Type: DNS
            2. Value: vpn.einfaches-netzwerk.at > Add
               
   5. Fenster mit OK schließen
   6. VPN Serverauthentifizierung aktivieren > Enroll
      
   7. Certificate Installation Results > Finish
      
7. Personal\Certificates erweitern
   
8. Reiter Details
9. Enhanced Key Usage überprüfen
   
10. Fenster schließen

SSL-Zertifikat für SSTP anfordern

Es wird empfohlen, dass das SSL-Zertifikat für SSTP (Secure Socket Tunneling Protocol) von einer öffentlichen CA (Certification Authority) z.B. DigiCert ausgestellt wird. Allerdings wird die Verwendung eines intern ausgestellten SSL-Zertifikats unterstützt, was ich in meinem Lab auch machen werde.

1. Personal rechts anklicken > All Tasks > Advanced Operations > Create Custom Request…
   
   
2. Certificate Enrollment
   1. Before You Begin > Next
   2. Select Certificate Enrollment Policy: Custom Request markieren > Next
      
   3. Custom request
      1. Template: (No template) CNG key
      2. Request format: PKCS #10 > Next
         
   4. Certificate Information > Details erweitern > Properties
      
   5. Certificate Properties
      1. Reiter General
         1. Friendly name: SSL Certificate for SSTP
            
      2. Reiter Subject
         1. Subject name:
            1. Type: Common name
            2. Value: vpn.einfaches-netzwerk.at
         2. Alternative name:
            1. Type: DNS
            2. Value: vpn.einfaches-netzwerk.at
      3. Reiter Extensions
         1. Extended Key Usage
            1. Server Authentication
            2. Client Authentication
               
      4. Reiter Private Key
         1. Cryptographic Service Provider
            1. RSA deaktivieren
            2. ECDSA_P256,Microsoft Software Key Storage Provider aktivieren
         2. Key options
            1. Make private key exportable
               
      5. Fenster mit OK schließen
   6. Next
      
   7. Where do you want to save the offline request?
      1. File name: C:\Temp\SSLforSSTP.req > Finish
         
3. Die Anforderung findet man im Ordner Certificate Enrollment Requests\Certificates
   

Zertifikat für die Zertifikatsanforderung ausstellen

1. Als Administrator an SUBCA01 anmelden
2. Die Datei SSLforSSTP.req nach SUBCA01 kopieren
3. Command Prompt (Admin) starten
4. Mit folgender commandline das Zertifikat ausstellen

   certreq -submit -config "SUBCA01\Einfaches-Netwzerk-SUBCA01" -attrib "CertificateTemplate:WebServer" C:\SSLforSSTP.req C:\SSLforSSTP.cer

   

5. Die Datei SSLforSSTP.cer nach VPN01 kopieren
6. In der Zertifikate-MMC Personal\Certificates rechts anklicken > All Tasks > Import…
   
   
7. Certificate Import Wizard
   1. Welcome to the… > Next
   2. File to Import
      1. File name: C:\Temp\SSLforSSTP.cer > Next
   3. Certificate Store
      1. Place all certificates in the following store: Personal > Next
         
   4. Completing the Certificate Import Wizard > Finish
8. Das Zertifikat zum Überprüfen doppelklicken
   
   
9. Alle Fenster schließen

In diesem Teil habe ich auf den Servern NPS01 und VPN01 ein Zertifikat zur Serverauthentifizierung installiert. Die Vorlagen dafür habe ich in Teil 2 dieser Serie erstellt. Außerdem habe ich am Server VPN01 eine Anforderung für das SSL-Zertifikat für SSTP erstellt und mit der internen CA (Einfaches-Netzwerk-SUBCA01) ausgestellt. Das Besondere bei diesem SSL-Zertifikat ist, dass der private Schlüssel mittels ECDSA_P256 (Elliptic Curve Digital Signature Algorithm) erzeugt wird.