Инфраструктура сертификата
Сертификаты компьютера и сертификаты пользователя для проверки подлинности на основе EAP-TLS
Для проверки подлинности VPN-подключений "маршрутизатор-маршрутизатор" на основе EAP-TLS в Windows 2000 необходимо:
- Настроить вызывающий маршрутизатор таким образом, чтобы во время процесса проверки подлинности EAP-TLS он мог предоставить для проверки сертификат пользователя.
- Настроить сервер, выполняющий проверку подлинности, таким образом, чтобы во время процесса проверки EAP-TLS он мог предоставить сертификат компьютера. Этим сервером может быть либо отвечающий маршрутизатор (если проверка подлинности выполняется при помощи встроенной службы Windows), либо RADIUS-сервер (если в качестве поставщика служб проверки подлинности отвечающий маршрутизатор использует RADIUS).
Проверка подлинности EAP-TLS будет успешной при выполнении следующих условий::
- Вызывающий маршрутизатор предоставляет для проверки действующий сертификат пользователя, выданный центром сертификации из действующей цепочки, которую можно проследить до корневого ЦС, являющегося доверенным для отвечающего маршрутизатора.
- Сервер, выполняющий проверку подлинности, предоставляет для проверки действующий сертификат компьютера, выданный центром сертификации из действующей цепочки, которую можно проследить до корневого ЦС, являющегося доверенным для вызывающего маршрутизатора.
- Сертификат пользователя на вызывающем маршрутизаторе содержит цель "Проверка подлинности клиента" ("Client Authentication", идентификатор объекта для цели "1.3.6.1.5.5.7.3.2")
- Сертификат компьютера на отвечающем маршрутизаторе содержит цель "Проверка подлинности сервера" ("Server Authentication", идентификатор объекта для цели "1.3.6.1.5.5.7.3.1")
Для центра сертификации Windows 2000 создается специальный тип сертификата пользователя – сертификат маршрутизатора (автономный запрос). Этот сертификат предназначен для работы с подключениями вызова по требованию и сопоставляется учетной записи пользователя Active Directory. Во время процесса согласования подключения, инициированного вызывающим маршрутизатором, для проверки предоставляется сертификат маршрутизатора. Если сертификат маршрутизатора действителен, он используется для определения учетной записи, свойства которой должны быть предоставлены на рассмотрение VPN-серверу.
Для получения информации по настройке сертификатов пользователя и сертификатов компьютера для проверки подлинности на основе EAP-TLS обратитесь к разделу "Развертывание виртуальных частных сетей "маршрутизатор-маршрутизатор" на основе протокола L2TP" этого документа.
Вопросы проектирования: инфраструктура сертификата
При настройке инфраструктуры сертификата для VPN-подключения "маршрутизатор-маршрутизатор" необходимо определиться со следующими вопросами:
- Для того, чтобы создать VPN-подключения "маршрутизатор-маршрутизатор" L2TP/IPSec, используя проверку подлинности на основе сертификатов компьютера для IPSec, необходимо установить сертификаты в хранилище компьютера для сертификатов вызывающего и отвечающего маршрутизаторов.
- Для того, чтобы можно было производить проверку подлинности VPN-подключений на основе EAP-TLS, на вызывающем маршрутизаторе должен быть установлен сертификат пользователя, а на сервере проверки подлинности (отвечающем маршрутизаторе или RADIUS-сервере) – сертификат компьютера.
- Для установки сертификата пользователя или сертификата компьютера через Интернет создайте PPTP-подключение, используя протокол проверки подлинности на основе паролей (например, MS-CHAP v2). После того, как подключение будет установлено, используйте оснастку Диспетчер сертификатов (Certificate Manager) или обозреватель Internet Explorer для запроса соответствующих сертификатов. После того, как сертификаты будут установлены, завершите подключение и затем подключитесь заново, используя необходимый VPN-протокол и метод проверки подлинности. Такой способ может использоваться в случае, если, например, в удаленном подразделении есть компьютер, не имеющий сертификатов, необходимых для создания подключения L2TP/IPSec или подключения с проверкой подлинности EAP-TLS.
Автор: Артем Жауров aka Borodunter
Материалы взяты с сайта OSzone.net.