Использование сертификатов для проверки подлинности
Определение правил проверки подлинности с помощью сертификатов
При создании нового правила Вы можете выбрать используемый центр сертификации. Перечень сертификатов центров сертификации указан в папке Доверенных корневых центров сертификации (Trusted Root Certificate Authorities), не путайте этот список со списком личных сертификатов Вашего компьютера. Эта спецификация корневого центра сертификации в правилах IPSec служит для двух целей. Во-первых, она обеспечивает IKE корневым центром сертификации, к которому установлено доверие. Службой IKE с Вашего компьютера будет отсылаться запрос корневому центру сертификации о действительности сертификата из этого корневого центра сертификации второго компьютера. Во-вторых, спецификацией центра сертификации определено имя корневого центра сертификации, которое будет использовать Ваш компьютер при осуществлении поиска собственных сертификатов в ответ на запрос со второго компьютера.
Предупреждение
Вы как минимум должны выбрать корневой центр сертификации, к которому может быть выстроена цепочка от сертификата Вашего компьютера, т.е. к центру сертификации самого верхнего уровня в пути сертификации компьютерного сертификата из хранилища Личные (Personal) Вашего компьютера.
- Вернитесь в папку Политики безопасности IP на "локальный компьютер" (IP Security Policies) в консоли MMC.
- Щелкните дважды на элементе политики Partner, расположенной на правой панели.
- Убедитесь, что выбрана опция Partner Filter и нажмите Изменить (Edit).
- Установите переключатель в положение Весь IP трафик (All IP Traffic).
- Нажмите Изменить (Edit).
- Убедитесь, что установлен флажок Использовать мастер (New Rule Wizard) и нажмите OK.
- Перейдите на вкладку Методы проверки подлинности (Authentication Methods).
- Выберите Общий ключ (Preshared Key) со значением ABC123 и нажмите Изменить (Edit).
- Выберите опцию Использовать сертификат данного Центра сертификации (Use a certificate from this certificate authority (CA)) и нажмите Обзор (Browse). Выберите центр сертификации, используемый вами прежде, в нашем примере это SecTestCA3.
Рисунок 6 – Выбор сертификата - Нажмите OK.
Редактор правил IPSec (IPSec Rule editor) позволяет Вам создать упорядоченный список центров сертификации, которые Ваш компьютер будет указывать в запросах к другому компьютеру при согласовании IKE. Для подтверждения своей подлинности, на втором компьютере должен иметься сертификат компьютера, который хранится в разделе Личные (Personal) хранилища сертификатов, и был выдан ему одним из корневых центров сертификации, принадлежащих Вашему списку.
Вы можете добавить новый центр сертификации в список, а также упорядочить список центров сертификации так, как Вам необходимо.
- Нажмите два раза кнопку OK и нажмите кнопку Завершить (Close).
- На второй тестовой машине полностью повторите эту процедуру. Вы можете выполнить команду ping на каждом компьютере, чтобы убедиться в установленном соединении.
Вы можете упорядочить список методов аутентификации, определив больший приоритет для сертификатов, затем для проверки подлинности с помощью Kerberos или предварительного ключа. Несмотря на это, у Вас не получится разделить список сертификатов, внеся в его середину запись, не относящуюся к методу аутентификации с помощью сертификатов.
Добавляя дополнительные корневые центры сертификации, Вы можете создать список корневых центров сертификации, которым Вы доверяете, этот список может содержать гораздо больше центров сертификации, чем те, от которых Вы получили сертификаты для Вашего компьютера. Это может потребоваться при взаимодействии с несколькими предприятиями.
Важно понимать, что Ваш компьютер может получать запросы сертификатов от удаленных компьютеров, которые могут включать корневые центры сертификации в список корневых центров сертификации, определенных Вами в политике IPSec. Согласуйте с администратором предприятия, с которым Вы взаимодействуете, вопрос о том, какие корневые центры сертификации будут использоваться каждой из сторон.
- Если вторая сторона просит Вас включить используемый ею центр сертификации в Ваш список, то при IKE-согласовании будет проверено, имеет ли Ваш компьютер действительный сертификат, который имеет цепочку, ведущую к этому корневому центру сертификации. Если Вы включите этот центр сертификации, тогда будет выбран первый действующий сертификат компьютера из раздела хранилища сертификатов Личные (Personal) и отправлен в качестве подтверждения подлинности компьютера.
- Если Ваш компьютер получит запрос сертификата, который имеет корневой центр сертификации, но который не определен в правиле политики IPSec, то Ваш компьютер отправит первый сертификат, имеющий цепочку, ведущую к корневому центру сертификации, имя которого определено в его собственном правиле политики IPSec. Запрос сертификатов, согласно документу RFC 2409, является необязательным (опциональным). Но если согласно политике безопасности компьютер использует аутентификацию на основе сертификатов, то он должен отсылать сертификат даже в том случае, если полученный запрос не требует предоставление сертификата IKE, или если в запросе сертификата указан корневой центр сертификации, который отсутствует в политике Вашего компьютера. В данном случае, вероятнее всего, согласование IKE закончится неудачно, поскольку компьютеры так и не смогут согласовать использование корневого центра сертификации. Если же второй стороной будет отправлен запрос, который не включает ни один из Ваших центров сертификатов, то согласование IKE также не будет выполнено.