Иллюстрированный самоучитель по развертыванию виртуальных частных сетей › Развертывание виртуальных частных сетей "маршрутизатор-маршрутизатор" на основе протокола PPTP › Развертывание инфраструктуры сертификата [страница - 30] | Самоучители по операционным системам

Развертывание инфраструктуры сертификата

Установка сертификата компьютера на сервере, выполняющем проверку подлинности

Для установки сертификата компьютера необходимо наличие центра сертификации, который выдает сертификаты. Если этим центром является центр сертификации Windows 2000, а сервер, выполняющий проверку подлинности, является отвечающим маршрутизатором или RADIUS-сервером службы IAS, Вы можете установить сертификат в хранилище компьютера этого сервера одним из следующих способов:

Настроить автоматическое размещение сертификатов компьютеров на компьютерах домена Windows 2000. Этот метод позволяет централизованно произвести конфигурацию для всего домена. Все компьютеры домена автоматически получают сертификат компьютера через групповую политику.
Использовать оснастку Диспетчер сертификатов (Certificate Manager) для запроса сертификата, который будет помещен в хранилище Личные (Personal)в группе Сертификаты (локальный компьютер)(Certificates (Local Computer)). В этом случае каждый компьютер должен отдельно запросить сертификат компьютера у центра сертификации. Для установки сертификатов с помощью оснастки Диспетчер сертификатов (Certificate Manager) Вы должны обладать правами администратора.
Использовать обозреватель Internet Explorer и веб-заявки для запроса сертификата и помещения его в локальное хранилище компьютера. В этом случае каждый компьютер должен отдельно запросить сертификат компьютера у центра сертификации. Для установки сертификатов с помощью веб-заявок Вы должны обладать правами администратора.

При использовании в Вашей организации политик сертификата Вам нужно воспользоваться одним из этих методов.

Для дополнительной информации о том, как получить сертификаты компьютера, используя центр сертификации Windows 2000, обратитесь к разделам Сертификаты компьютеров для виртуальных частных подключений по протоколу L2TP поверх IPSec (Machine certificates for L2TP over IPSec VPN connections) и Отправка дополнительного запроса сертификата через Интернет (Submit an advanced certificate request via the Web) встроенной справки Windows 2000 Server.

Если Вы работаете со сторонним центром сертификации, обратитесь к документации по использованию программного обеспечения этого центра. Вам будет необходимо создать сертификат с целью "Проверка подлинности сервера" ("Server Authentication") (идентификатор объекта для цели "1.3.6.1.5.5.7.3.1"), экспортировать его и отослать сетевому администратору отвечающего маршрутизатора, который должен будет импортировать этот сертификат с помощью оснастки Диспетчер сертификатов (Certificate Manager). Вам также будет необходимо экспортировать сертификат корневого ЦС, сертификат издающего ЦС и сертификаты всех промежуточных ЦС и затем импортировать их в соответствующую папку хранилища компьютера для сертификата вызывающего маршрутизатора.

Настройка протокола EAP-TLS на отвечающем маршрутизаторе и в политике удаленного доступа

Для настройки проверки подлинности EAP-TLS на отвечающем маршрутизаторе необходимо:

Открыть оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), в свойствах отвечающего маршрутизатора перейти на вкладку Безопасность (Security) и в диалоговом окне Методы проверки подлинности (Authentication Methods) выбрать протокол EAP в качестве метода проверки подлинности.

Для настройки проверки подлинности EAP-TLS в политике удаленного доступа, либо на отвечающем маршрутизаторе или IAS-сервере:

В политике удаленного доступа, использующейся для VPN-подключений "маршрутизатор-маршрутизатор", необходимо открыть параметры профиля, перейти на вкладку Проверка подлинности (Authentication) и выбрать протокол EAP в качестве метода проверки подлинности. Если компьютер, на котором настраивается политика удаленного доступа, имеет несколько установленных сертификатов, Вам нужно задать параметры для типа протокола Смарт-карта или иной сертификат (Smart Card or other certificate), выбрав нужный сертификат компьютера для отправки во время процесса проверки подлинности EAP-TLS.

Если Вы работаете со сторонним RADIUS-сервером, обратитесь к документации разработчика для получения информации о том, как задействовать EAP-TLS и использовать соответствующий сертификат компьютера.