Инфраструктура сертификата
Инфраструктура сертификата для сертификатов пользователей
Для проверки подлинности пользователей вместо смарт-карт могут быть использованы сертификаты пользователей, основанные на значениях реестра. Однако, это не является стойкой формой проверки подлинности. При использовании смарт-карт сертификат пользователя, выданный в процессе аутентификации, доступен только тогда, когда пользователь физически обладает смарт-картой и знает PIN-код для входа на свой компьютер. При использовании сертификатов пользователя, сертификат, выданный в процессе проверки подлинности, становится доступен тогда, когда пользователь входит на свой компьютер, используя доменные имя пользователя и пароль.
Также как и при использовании смарт-карт, при аутентификации с помощью сертификатов пользователя в качестве протокола проверки подлинности используется EAP-TLS.
Развертывание сертификатов пользователя в Вашей организации состоит из следующих этапов:
- Создайте инфраструктуру сертификатов. Для получения дополнительной информации обратитесь к "Приложению Г. Развертывание инфраструктуры сертификатов".
- Установите сертификат пользователя для всех пользователей. Для получения дополнительной информации обратитесь к разделам данного документа "Развертывание удаленного доступа, на основе протокола PPTP" и "Развертывание удаленного доступа на основе протокола L2TP".
Сертификат пользователя отправляется в процессе согласования соединения, когда пользователь пытается создать VPN-подключение.
Чтобы настроить протокол EAP-TLS для использования сертификатов пользователя на VPN-клиенте:
- VPN-подключение должно быть настроено для использования протокола EAP с типом проверки подлинности Смарт-карта или иной сертификат (Smart Card or other certificate).
- В свойствах типа проверки подлинности Смарт-карта или иной сертификат протокола EAP, выберите Использовать сертификат на этом компьютере (Use a certificate on this computer). Если требуется проверять сертификат компьютера VPN- или IAS-сервера, поставьте флажок Проверять сертификат сервера (Validate server certificate). Если необходимо подключать только сервера из определенного домена, поставьте флажок Подключить данные серверы (Connect only if server name ends with) и введите имя домена. Чтобы запросить у сервера его собственный сертификат, выданный определенным доверенным корневым ЦС, выберите ЦС в списке Доверенные корневые центры сертификации: (Trusted root certificate authority).
Чтобы настроить проверку подлинности EAP-TLS на VPN-сервере:
- Откройте свойства VPN-сервера в оснастке Маршрутизация и удаленный доступ. Перейдите на вкладку Безопасность (Security). Нажмите кнопку Методы проверки подлинности… (Authentication Methods). В открывшемся диалоговом окне установите флажок Протокол расширенной проверки подлинности (Extensible Authentication Protocol, EAP).
Чтобы настроить проверку подлинности EAP-TLS в политике удаленного доступа:
- Откройте свойства политики удаленного доступа, которая используется для VPN-подключений. Нажмите кнопку Изменить профиль (Edit profile). В появившемся диалоговом окне изменения профиля выберите вкладку Проверка подлинности (Authentication). На этой вкладке должен быть установлен флажок Протокол расширенной проверки подлинности (Extensible Authentication Protocol, EAP). Значением параметра Выберите приемлемый тип протокола для этой политики должно быть Смарт-карта или иной сертификат (Smart Card or other certificate). Также Вы должны указать соответствующий сертификат компьютера для проверки во время процесса аутентификации EAP-TLS. Если компьютер, на котором настроена политика удаленного доступа, имеет несколько установленных сертификатов компьютера, настройте свойства параметра Смарт-карта или иной сертификат и укажите соответствующий сертификат компьютера, который будет использоваться в процессе аутентификации EAP-TLS.