Иллюстрированный самоучитель по развертыванию виртуальных частных сетей

Развертывание инфраструктуры сертификата

Для VPN-подключений на основе L2TP необходима инфраструктура сертификата, которая выпускает сертификаты, использующиеся при проверке подлинности IPSec. Также инфраструктура сертификата необходима, если используется проверка подлинности EAP-TLS.

Установка сертификатов для L2TP-подключений

Для установки сертификата компьютера необходимо наличие центра сертификации, который выдает сертификаты. Если этим центром является центр сертификации Windows 2000, Вы можете установить сертификат в хранилище компьютера VPN-сервера одним из следующих способов:

  1. Настроить автоматическое размещение сертификатов компьютеров на компьютерах домена Windows 2000. Этот метод позволяет централизованно произвести конфигурацию для всего домена. Все компьютеры домена автоматически получают сертификат компьютера через групповую политику.
  2. Использовать оснастку Диспетчер сертификатов (Certificate Manager) для запроса сертификата, который будет помещен в хранилище Личные (Personal) в группе Сертификаты (локальный компьютер) (Certificates (Local Computer)). В этом случае каждый компьютер должен отдельно запросить сертификат компьютера у центра сертификации. Для установки сертификатов с помощью оснастки Диспетчер сертификатов (Certificate Manager) Вы должны обладать правами администратора.
  3. Использовать обозреватель Internet Explorer и веб-заявки для запроса сертификата и помещения его в локальное хранилище компьютера. В этом случае каждый компьютер должен отдельно запросить сертификат компьютера у центра сертификации. Для установки сертификатов с помощью веб-заявок Вы должны обладать правами администратора.

При использовании в Вашей организации политик сертификата Вам нужно воспользоваться одним из этих методов.

Для дополнительной информации о том, как получить сертификаты компьютера, используя центр сертификации Windows 2000, обратитесь к разделам Сертификаты компьютеров для виртуальных частных подключений по протоколу L2TP поверх IPSec (Machine certificates for L2TP over IPSec VPN connections) и Отправка дополнительного запроса сертификата через Интернет (Submit an advanced certificate request via the Web) встроенной справки Windows 2000 Server.

Если Вы работаете со сторонним центром сертификации, обратитесь к документации по использованию программного обеспечения этого центра. Вам будет необходимо создать сертификат, экспортировать его, и затем администраторы отвечающих и вызывающих маршрутизаторов должны будут импортировать его в соответствующую папку хранилища компьютера для сертификата, используя оснастку Диспетчер сертификатов (Certificate Manager). Вам также будет необходимо экспортировать и импортировать на отвечающие и вызывающие маршрутизаторы сертификат корневого ЦС, сертификат издающего ЦС и сертификаты всех промежуточных ЦС.

Установка сертификатов для проверки подлинности EAP-TLS

Для использования проверки подлинности EAP-TLS для VPN-подключений "маршрутизатор-маршрутизатор" Вам необходимо:

  • Установить на каждом компьютере вызывающего маршрутизатора сертификат пользователя.
  • Настроить протокол EAP-TLS на вызывающем маршрутизаторе.
  • Установить сертификат компьютера на сервере, выполняющем проверку подлинности (отвечающий маршрутизатор или RADIUS-сервер).
  • Настроить протокол EAP-TLS на отвечающем маршрутизаторе и в политике удаленного доступа.

Установка сертификата пользователя на вызывающий маршрутизатор

При использовании центра сертификации Windows 2000, создается сертификат маршрутизатора (автономный запрос – специальный тип сертификата пользователя для подключений по требованию) и сопоставляется учетной записи пользователя Active Directory. Для развертывания сертификатов маршрутизатора для вызывающего маршрутизатора сетевой администратор должен сделать следующее:

  1. Настроить центр сертификации Windows 2000 для выпуска сертификатов маршрутизатора.
  2. Запросить сертификат маршрутизатора.
  3. Экспортировать сертификат маршрутизатора.
  4. Сопоставить сертификат учетной записи пользователя.
  5. Отправить сертификат маршрутизатора сетевому администратору вызывающего маршрутизатора.
  6. Импортировать сертификат маршрутизатора на вызывающий маршрутизатор.

Для получения дополнительной информации по развертыванию сертификатов маршрутизатора для подключений вызова по требованию обратитесь к разделу Подключение по требованию офиса подразделения (Branch office demand-dial connection) встроенной справки Windows 2000 Server.

Если Вы работаете со сторонним центром сертификации, обратитесь к документации по использованию программного обеспечения этого центра. Вам будет необходимо создать сертификат пользователя с целью "Проверка подлинности клиента" ("Client Authentication") (идентификатор объекта для цели "1.3.6.1.5.5.7.3.2"), экспортировать его, сопоставить учетной записи пользователя Active Directory и затем отослать сетевому администратору вызывающего маршрутизатора. Вам также будет необходимо экспортировать сертификат корневого ЦС, сертификат издающего ЦС и сертификаты всех промежуточных ЦС и затем импортировать их в соответствующую папку хранилища компьютера для сертификата отвечающего маршрутизатора, используя оснастку Диспетчер сертификатов (Certificate Manager).

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.