Иллюстрированный самоучитель по развертыванию виртуальных частных сетей

Развертывание инфраструктуры сертификата

Для VPN-подключений на основе PPTP инфраструктура сертификата необходима лишь в том случае, если используется проверка подлинности EAP-TLS. Если для проверки подлинности используются только протоколы на основе паролей (например, MS-CHAP v2), инфраструктуры сертификата не требуется.

Для использования проверки подлинности EAP-TLS для VPN-подключений "маршрутизатор-маршрутизатор" Вам необходимо:

  • Установить на каждом компьютере вызывающего маршрутизатора сертификат пользователя.
  • Настроить протокол EAP-TLS на вызывающем маршрутизаторе.
  • Установить сертификат компьютера на сервере, выполняющем проверку подлинности (отвечающий маршрутизатор или RADIUS-сервер).
  • Настроить протокол EAP-TLS на отвечающем маршрутизаторе и в политике удаленного доступа.

Установка сертификата пользователя на вызывающий маршрутизатор

При использовании центра сертификации Windows 2000, создается сертификат маршрутизатора (автономный запрос) и сопоставляется учетной записи пользователя Active Directory. Для развертывания сертификатов маршрутизатора для вызывающего маршрутизатора сетевой администратор должен сделать следующее:

  1. Настроить центр сертификации Windows 2000 для выпуска сертификатов маршрутизатора.
  2. Запросить сертификат маршрутизатора.
  3. Экспортировать сертификат маршрутизатора.
  4. Сопоставить сертификат учетной записи пользователя.
  5. Отправить сертификат маршрутизатора сетевому администратору вызывающего маршрутизатора.
  6. Импортировать сертификат маршрутизатора на вызывающий маршрутизатор.

Для получения дополнительной информации по развертыванию сертификатов маршрутизатора для подключений вызова по требованию обратитесь к разделу Подключение по требованию офиса подразделения (Branch office demand-dial connection) встроенной справки Windows 2000 Server.

Если Вы работаете со сторонним центром сертификации, обратитесь к документации по использованию программного обеспечения этого центра. Вам будет необходимо создать сертификат пользователя с целью "Проверка подлинности клиента" ("Client Authentication") (идентификатор объекта для цели "1.3.6.1.5.5.7.3.2"), экспортировать его, сопоставить учетной записи пользователя Active Directory и затем отослать сетевому администратору вызывающего маршрутизатора. Вам также будет необходимо экспортировать сертификат корневого ЦС, сертификат издающего ЦС и сертификаты всех промежуточных ЦС и затем импортировать их в соответствующую папку хранилища компьютера для сертификата отвечающего маршрутизатора, используя оснастку Диспетчер сертификатов (Certificate Manager).

Настройка протокола EAP-TLS на вызывающем маршрутизаторе

Для настройки протокола EAP-TLS на вызывающем маршрутизаторе:

  • Откройте свойства интерфейса вызова по требованию и перейдите на вкладку Безопасность (Security)
  • Установите переключатель в положение Дополнительные (особые параметры) (Advanced (custom settings))
  • Нажмите кнопку Настройка (Settins) и установите переключатель в положение Протокол расширенной проверки подлинности (EAP) (Use Extensible Authentication Protocol (EAP))
  • Выберите значение Смарт-карта или иной сертификат (шифрование включено) (Smart Card or other Certificate (encryption enabled))
  • Нажмите кнопку Свойства (Properties) и установите переключатель в положение Использовать сертификат на этом компьютере (Use a certificate on this computer)
  • Если Вы хотите проверять сертификат компьютера VPN-сервера или IAS-сервера, установите флажок Проверять сертификат сервера (Validate server certificate)
  • Если Вы хотите удостовериться, что DNS-имя сервера оканчивается определенным набором символов, установите флажок Подключаться только если имя сервера заканчивается на (Connect only if server name ends with), и введите окончание имени
  • Чтобы принимать от сервера только сертификат компьютера, выпущенный определенным доверенным корневым ЦС, выберите нужный ЦС в списке Доверенный корневой центр сертификации (Trusted root certificate authority)
  • Закройте все диалоговые окна.
  • Правой кнопкой мыши нажмите на названии интерфейса вызова по требованию и в контекстном меню выберите Установить учетные данные (Set Credentials). В списке Имя пользователя на сертификате (User name on certificate) выберите подходящий сертификат пользователя или маршрутизатора и нажмите кнопку OK.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.