Инфраструктура сертификата
Для проверки подлинности L2TP-подключений на основе сертификатов и для проверки подлинности VPN-подключений "маршрутизатор-маршрутизатор" на основе EAP-TLS необходимо наличие инфраструктуры сертификата, с помощью которой выдаются необходимые сертификаты, предоставляемые для проверки, и подтверждается их достоверность.
Сертификаты компьютера для L2TP/IPSecc
Если Вы вручную выбираете метод проверки подлинности на основе сертификатов в правиле политики IPSec Windows 2000, Вы можете указать список корневых центров сертификации (ЦС), сертификаты которых будут приняты при проверке подлинности. В случае использования L2TP-подключений правило IPSec для L2TP-трафика настраивается автоматически, и список корневых центров сертификации недоступен для редактирования. Вместо этого каждый компьютер L2TP-подключения посылает своему узлу IPSec список корневых ЦС, от которых он будет принимать сертификаты для проверки подлинности. Корневые центры сертификации, перечисленные в этом списке, являются корневыми ЦС, сертификаты которых содержатся в хранилище сертификатов компьютера. Например, если компьютеру А были выданы сертификаты, выпущенные корневыми ЦС CertAuth1 и CertAuth2, при согласовании основного режима он уведомляет свой узел IPSec (компьютер В) о том, что он будет принимать сертификаты для проверки подлинности только от корневых ЦС CertAuth1 и CertAuth2. Если компьютер В (являющийся узлом IPSec компьютера А) не имеет действительного сертификата в своем хранилище компьютера для сертификата, выпущенного центрами сертификации CertAuth1 или CertAuth2, согласование безопасности IPSec окончится неудачей.
Перед установлением L2TP-соединения убедитесь, что выполняется одно из следующих условий:
- Вызывающий и отвечающий маршрутизаторы имеют сертификаты, выпущенные одним и тем же ЦС.
- Вызывающий и отвечающий маршрутизаторы имеют сертификаты, выпущенные центром сертификации из действующей цепочки, которую можно проследить до одного и того же корневого ЦС.
В общем случае на вызывающем маршрутизаторе должен быть установлен действующий сертификат компьютера, выданный ЦС из действующей цепочки, которую можно проследить до одного и того же корневого ЦС, и этот корневой ЦС должен быть доверенным для отвечающего маршрутизатора. Помимо этого отвечающий маршрутизатор должен иметь установленный действующий сертификат компьютера, выданный ЦС из действующей цепочки, которую можно проследить до одного и того же корневого ЦС, и этот корневой ЦС должен быть доверенным для вызывающего маршрутизатора.
Обычно сертификаты для всех компьютеров организации выдаются одним и тем же центром сертификации. Поэтому все компьютеры внутри организации имеют сертификаты, выданные одним ЦС, и для проверки запрашивают сертификаты того же самого ЦС.
Для получения информации по установке сертификатов компьютера на VPN-маршрутизаторы для L2TP-подключений, обратитесь к разделу "Развертывание виртуальных частных сетей "маршрутизатор-маршрутизатор" на основе протокола L2TP"этого документа.