Инфраструктура сертификата
Для проверки подлинности L2TP-подключений на основе сертификатов, смарт-карт, проверки подлинности пользователей на основе сертификатов и для проверки подлинности VPN-подключений на основе EAP-TLS необходима развернутая инфраструктура сертификата, также известная как инфраструктура открытого ключа (public key infrastructure, PKI), с помощью которой выдаются необходимые для проверки сертификаты, а также подтверждается их достоверность.
Сертификаты компьютера для L2TP/IPSec
Если Вы используете метод проверки подлинности на основе сертификатов для L2TP-подключений, список корневых центров сертификации (ЦС) редактировать нельзя. Вместо этого каждый компьютер при использовании L2TP-подключения посылает своему узлу IPSec (компьютеру, с которым установлено соединение по протоколу IPSec) список корневых ЦС, от которых он будет принимать сертификаты для проверки подлинности. Корневые центры сертификации, перечисленные в этом списке, являются корневыми ЦС, которые выдали сертификаты этому компьютеру. Например, если компьютеру А были выданы сертификаты, выпущенные корневыми ЦС CertAuth1 и CertAuth2, то при согласовании основного режима он уведомляет узел IPSec (компьютер Б) о том, что он будет принимать сертификаты для проверки подлинности только от корневых ЦС CertAuth1 и CertAuth2. Если у компьютера Б нет действительного сертификата выпущенного центрами сертификации CertAuth1или CertAuth2, согласование безопасности IPSec закончится неудачей.
VPN-клиент должен иметь установленный действующий сертификат компьютера, выданный ЦС из действующей цепочки, которую можно проследить до одного и того же корневого ЦС, и этот корневой ЦС должен быть доверенным для VPN-сервера. Помимо этого VPN-сервер должен иметь установленный действующий сертификат компьютера, выданный ЦС из действующей цепочки, которую можно проследить от выдавшего его ЦС к корневому ЦС, которому доверяет VPN-клиент.
Например, если VPN-клиент получил сертификаты компьютера от корневых ЦС CertAuth1 и CertAuth2, он уведомляет VPN-сервер во время согласования безопасности IPSec, что он примет для проверки подлинности сертификаты, только от CertAuth1 и CertAuth2. Если VPN-сервер не имеет действительного сертификата, выпущенного центрами сертификации CertAuth1 или CertAuth2, согласование безопасности IPSec закончится неудачей.
Обычно сертификаты для всех компьютеров организации выдаются одним и тем же центром сертификации. Поэтому все компьютеры внутри организации имеют сертификаты, выданные одним ЦС, и для проверки запрашиваются сертификаты того же самого ЦС.
Развертывание сертификатов компьютеров в Вашей организации состоит из следующих этапов:
- Развертывание инфраструктуры сертификата. Для получения дополнительной информации обратитесь к "Приложению Г: развертывание инфраструктуры сертификата".
- Установите на каждый компьютер сертификат компьютера. Для получения дополнительной информации обратитесь к разделу "Развертывание удаленного доступа на основе протокола L2TP" данного документа.