Always On VPN – Serverzertifikate installieren

Veröffentlicht am von

In Teil 1 dieser Serie habe ich die Infrastruktur für mein Always On VPN-Lab vorgestellt. Anschließend habe ich in Teil 2 die automatische Registrierung der Computer- und VPN Benutzerzertifikate mittels Gruppenrichtlinien konfiguriert, die empfohlenen AD-Gruppen und Zertifikatsvorlagen erstellt. In diesem Teil werde ich das Zertifikat für NPS Serverauthentifizierung und das IKEv2-Zertifikat am VPN Server installieren. Außerdem werde ich eine Zertifikatsanforderung für ein SSL-Zertifikat für SSTP erstellen.

Das Zertifikat für die NPS Serverauthentifizierung installieren

  1. Als Administrator an NPS01 anmelden
  2. Suche: MMC > Run as administrator
  3. Certificates-Snap-In für den lokalen Computer importieren
  4. Certificate (Local Computer) erweitern
  5. Personal rechts anklicken > All Tasks > Request New Certificate…
  6. Certificate Enrollment
    1. Before You Begin > Next
    2. Select Certificate Enrollment Policy: Active Directory Enrollment Policy > Next
    3. Request Certificates: NPS Serverauthentifizierung > aktivieren > Enroll
    4. Certificate Installation Results > Finish
  7. Personal\Certificates erweitern
  8. Fenster schließen
  9. Von NPS01 vorerst abmelden

Das Zertifikat für die VPN Serverauthentifizierung installieren

  1. Als Administrator an VPN01 anmelden
  2. Suche: MMC > Run as administrator
  3. Certificates-Snap-In für den lokalen Computer importieren
  4. Certificate (Local Computer) erweitern
  5. Personal rechts anklicken > All Tasks > Request New Certificate…
  6. Certificate Enrollment
    1. Before You Begin > Next
    2. Select Certificate Enrollment Policy: Active Directory Enrollment Policy > Next
    3. Request Certificates: Auf den Link More information is required… klicken
    4. Certificate Properties
      1. Reiter Subject
        1. Subject name
          1. Type: Common name
          2. Value: vpn.einfaches-netzwerk.at > Add
        2. Alternative name
          1. Type: DNS
          2. Value: vpn.einfaches-netzwerk.at > Add
    5. Fenster mit OK schließen
    6. VPN Serverauthentifizierung aktivieren > Enroll
    7. Certificate Installation Results > Finish
  7. Personal\Certificates erweitern
  8. Reiter Details
  9. Enhanced Key Usage überprüfen
  10. Fenster schließen

SSL-Zertifikat für SSTP anfordern

Es wird empfohlen, dass das SSL-Zertifikat für SSTP (Secure Socket Tunneling Protocol) von einer öffentlichen CA (Certification Authority) z.B. DigiCert ausgestellt wird. Allerdings wird die Verwendung eines intern ausgestellten SSL-Zertifikats unterstützt, was ich in meinem Lab auch machen werde.

  1. Personal rechts anklicken > All Tasks > Advanced Operations > Create Custom Request…

  2. Certificate Enrollment
    1. Before You Begin > Next
    2. Select Certificate Enrollment Policy: Custom Request markieren > Next
    3. Custom request
      1. Template: (No template) CNG key
      2. Request format: PKCS #10 > Next
    4. Certificate Information > Details erweitern > Properties
    5. Certificate Properties
      1. Reiter General
        1. Friendly name: SSL Certificate for SSTP
      2. Reiter Subject
        1. Subject name:
          1. Type: Common name
          2. Value: vpn.einfaches-netzwerk.at
        2. Alternative name:
          1. Type: DNS
          2. Value: vpn.einfaches-netzwerk.at
      3. Reiter Extensions
        1. Extended Key Usage
          1. Server Authentication
          2. Client Authentication
      4. Reiter Private Key
        1. Cryptographic Service Provider
          1. RSA deaktivieren
          2. ECDSA_P256,Microsoft Software Key Storage Provider aktivieren
        2. Key options
          1. Make private key exportable
      5. Fenster mit OK schließen
    6. Next
    7. Where do you want to save the offline request?
      1. File name: C:\Temp\SSLforSSTP.req > Finish
  3. Die Anforderung findet man im Ordner Certificate Enrollment Requests\Certificates

Zertifikat für die Zertifikatsanforderung ausstellen

  1. Als Administrator an SUBCA01 anmelden
  2. Die Datei SSLforSSTP.req nach SUBCA01 kopieren
  3. Command Prompt (Admin) starten
  4. Mit folgender commandline das Zertifikat ausstellen 
    certreq -submit -config "SUBCA01\Einfaches-Netwzerk-SUBCA01" -attrib "CertificateTemplate:WebServer" C:\SSLforSSTP.req C:\SSLforSSTP.cer

  5. Die Datei SSLforSSTP.cer nach VPN01 kopieren
  6. In der Zertifikate-MMC Personal\Certificates rechts anklicken > All Tasks > Import…

  7. Certificate Import Wizard
    1. Welcome to the… > Next
    2. File to Import
      1. File name: C:\Temp\SSLforSSTP.cer > Next
    3. Certificate Store
      1. Place all certificates in the following store: Personal > Next
    4. Completing the Certificate Import Wizard > Finish
  8. Das Zertifikat zum Überprüfen doppelklicken

  9. Alle Fenster schließen

In diesem Teil habe ich auf den Servern NPS01 und VPN01 ein Zertifikat zur Serverauthentifizierung installiert. Die Vorlagen dafür habe ich in Teil 2 dieser Serie erstellt. Außerdem habe ich am Server VPN01 eine Anforderung für das SSL-Zertifikat für SSTP erstellt und mit der internen CA (Einfaches-Netzwerk-SUBCA01) ausgestellt. Das Besondere bei diesem SSL-Zertifikat ist, dass der private Schlüssel mittels ECDSA_P256 (Elliptic Curve Digital Signature Algorithm) erzeugt wird.

9 Gedanken zu „Always On VPN – Serverzertifikate installieren

  1. Bei diesem Befehl:
    certreq -submit -config „SUBCA01\Einfaches-Netwzerk-SUBCA01“ -attrib „CertificateTemplate:WebServer“ C:\SSLforSSTP.req C:\SSLforSSTP.cer
    bekomme ich den Fehler: Zertifikatsanforderungsverarbeitung – Der RPC-Server ist nicht verfügbar 0x800706ba.
    Was mache ich falsch?
    Vielen Dank für Eure Hilfe.

    LG
    Tobias

    Antworten

  3. SUBCA01

    Windows Server 2016
    192.168.100.3
    Active Directory Certificate Services
    Konfiguration einer PKI-Infrastruktur siehe
    Teil 5: Two-Tier PKI Hierachy Offline Root CA konfigurieren
    Zu beachten: in Teil 5ff habe ich die SubCA auf dem Server APP1 installiert. In diesem Kapitel ist die SubCA am Server SUBCA01 installiert. Die Schritte sind entsprechend anzupassen!
    +++++++++++++++++++++++++++++++++++++++++++++++++

    Kann man das auch Ohne diesen Server machen

    Antworten

  4. Ok ich versuch es mal zu erklären wo und warum ich nicht weiter komme.
    Ich habe folgende Server: (Rolle in meiner Struktur = Rolle aus Ihrem Szenario)
    sekundär.DC-2019 (AD DS, DNS) = DC01
    sekundär.DC-2019 (AD DS, DNS) = NPS01
    sekundär. Fileserver FS-2016 = VPN01
    TestLaptop WIN10Pro = CLIENT01
    Router Mikrotik (Firewall, DHCP) = EDGE01?, INET01?

    Welche von den Maschienen die in Ihrem Plan stehen benötige ich tatsächlich um AOVPN zu realisieren?
    Ich komme bis „Serverzertifikate installieren“ Abschnitt „Zertifikat für die Zertifikatsanforderung ausstellen“, da hört es dann leider auf.

    Vieleicht können SIe mir helfen?

    Antworten

  6. Hi Dietmar,
    tolles Blog und eine klasse Anleitung, vielen Dank.
    Bei der Anforderung des Zertfikats „SSLforSSTP.cer“ hatte ich auch anfangs einige Probleme.
    Nun stellt mir die SUBCA zwar das Zertifikat aus, aber mit dem falschen Verschlüsselung-Algorithmus.
    Anstatt ECDSA_P256, wie in der Anfrage festgelegt, kommt am Ende sha256RSA heraus.
    Hast du vielleicht spontan eine Idee, was ich falsch mache?

    Vielen Dank,

    Nils

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert