Configurer une connexion VPN SSTP sur Server 2016 avec un certificat auto-signé?

VPN
1

tl;dr : veuillez faire défiler jusqu’à la fin pour mes questions. La description ci-dessous est une vue d’ensemble du problème et de la configuration actuelle.

Je travaille à la mise en place d’un accès à distance sécurisé à un réseau privé via une connexion VPN, et j’ai du mal à naviguer dans différentes documentations pour trouver la meilleure approche. Je souhaite pouvoir me connecter en utilisant le client VPN intégré de Windows depuis des machines distantes qui ne font pas partie du domaine ou du réseau, afin d’accéder à divers services du réseau.

Actuellement, j’ai cela qui fonctionne, mais il y a beaucoup trop d’étapes nécessaires sur les machines clientes. J’ai utilisé l’un des certificats installés par défaut sur le serveur, puis je procède aux étapes suivantes sur chaque client :

  1. Ajouter une entrée pour le serveur dans le fichier HOSTS, car ce n’est pas un vrai domaine. Je pourrais utiliser un service de sous-domaine gratuit pour contourner cela, tant que je peux émettre un certificat pour le sous-domaine.

  2. Installer le fichier .cer du certificat que le serveur utilise pour SSTP

  3. Installer le certificat racine du serveur en tant que certificat racine de confiance

  4. Désactiver la vérification de révocation de certificat dans le registre : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters\NoCertRevocationCheck. Cela pourrait être corrigé en mettant en place un serveur CRL (cela semble compliqué)

  5. Maintenant, pour configurer réellement la connexion VPN…

VPN Provider : Windows (intégré)

Nom de la connexion : <n’importe>

Nom du serveur : <même nom que dans le certificat SSTP et le fichier HOSTS>

TYPE VPN : SSTP

Nom d’utilisateur :

Mot de passe :

Après avoir suivi ces étapes, je peux me connecter, mais c’est beaucoup trop lourd, et j’aimerais simplifier cela. J’ai également des préoccupations concernant l’installation d’un certificat racine de confiance sur chaque machine cliente… est-ce sécurisé ? Cela me semble un peu risqué.

Voici mes questions :

  1. Est-il possible de se connecter à un VPN en utilisant un certificat auto-signé sans installer manuellement un certificat racine de confiance sur chaque machine cliente, et si oui, comment ?
  2. Dois-je mettre en place une CA accessible via le web, et si oui, à quel point est-ce difficile, et quelles en sont les étapes ?
  3. Quelles sont les étapes pour faire fonctionner un serveur CRL, et dois-je le faire ?
  4. Ai-je besoin d’utiliser AD CS ?
  5. Existe-t-il une manière plus simple d’activer une connexion VPN cryptée sur Windows Server ? Je ne m’intéresse pas à la phishing / identification fiable du serveur, juste à fournir un chiffrement pour la connexion.

Merci !

2

Il est plus simple d’utiliser la CA Active Directory, il suffit de demander à IIS un certificat avec le CN vpn.company.com (ou autre). Ne pas le lier à IIS.

Ensuite, attribuez ce certificat VPN à RRAS pour l’utiliser avec SSTP. Utilisez NPS pour autoriser l’accès VPN pour des groupes d’utilisateurs.

Importez le certificat CA (pas celui du VPN) dans le magasin de certificats racine de confiance de vos clients s’ils ne sont pas dans le domaine AD.

Puis, configurez la clé de registre pour ignorer les vérifications de révocation de certificat. C’est tout.