Развертывание инфраструктуры сертификата
Для VPN-подключений на основе L2TP необходима инфраструктура сертификата, которая выпускает сертификаты, использующиеся при проверке подлинности IPSec. Также инфраструктура сертификата необходима, если используется проверка подлинности EAP-TLS.
Установка сертификатов для L2TP-подключений
Для установки сертификата компьютера необходимо наличие центра сертификации, который выдает сертификаты. Если этим центром является центр сертификации Windows 2000, Вы можете установить сертификат в хранилище компьютера VPN-сервера одним из следующих способов:
- Настроить автоматическое размещение сертификатов компьютеров на компьютерах домена Windows 2000. Этот метод позволяет централизованно произвести конфигурацию для всего домена. Все компьютеры домена автоматически получают сертификат компьютера через групповую политику.
- Использовать оснастку Диспетчер сертификатов (Certificate Manager) для запроса сертификата, который будет помещен в хранилище Личные (Personal) в группе Сертификаты (локальный компьютер) (Certificates (Local Computer)). В этом случае каждый компьютер должен отдельно запросить сертификат компьютера у центра сертификации. Для установки сертификатов с помощью оснастки Диспетчер сертификатов (Certificate Manager) Вы должны обладать правами администратора.
- Использовать обозреватель Internet Explorer и веб-заявки для запроса сертификата и помещения его в локальное хранилище компьютера. В этом случае каждый компьютер должен отдельно запросить сертификат компьютера у центра сертификации. Для установки сертификатов с помощью веб-заявок Вы должны обладать правами администратора.
При использовании в Вашей организации политик сертификата Вам нужно воспользоваться одним из этих методов.
Для дополнительной информации о том, как получить сертификаты компьютера, используя центр сертификации Windows 2000, обратитесь к разделам Сертификаты компьютеров для виртуальных частных подключений по протоколу L2TP поверх IPSec (Machine certificates for L2TP over IPSec VPN connections) и Отправка дополнительного запроса сертификата через Интернет (Submit an advanced certificate request via the Web) встроенной справки Windows 2000 Server.
Если Вы работаете со сторонним центром сертификации, обратитесь к документации по использованию программного обеспечения этого центра. Вам будет необходимо создать сертификат, экспортировать его, и затем администраторы отвечающих и вызывающих маршрутизаторов должны будут импортировать его в соответствующую папку хранилища компьютера для сертификата, используя оснастку Диспетчер сертификатов (Certificate Manager). Вам также будет необходимо экспортировать и импортировать на отвечающие и вызывающие маршрутизаторы сертификат корневого ЦС, сертификат издающего ЦС и сертификаты всех промежуточных ЦС.
Установка сертификатов для проверки подлинности EAP-TLS
Для использования проверки подлинности EAP-TLS для VPN-подключений "маршрутизатор-маршрутизатор" Вам необходимо:
- Установить на каждом компьютере вызывающего маршрутизатора сертификат пользователя.
- Настроить протокол EAP-TLS на вызывающем маршрутизаторе.
- Установить сертификат компьютера на сервере, выполняющем проверку подлинности (отвечающий маршрутизатор или RADIUS-сервер).
- Настроить протокол EAP-TLS на отвечающем маршрутизаторе и в политике удаленного доступа.
Установка сертификата пользователя на вызывающий маршрутизатор
При использовании центра сертификации Windows 2000, создается сертификат маршрутизатора (автономный запрос – специальный тип сертификата пользователя для подключений по требованию) и сопоставляется учетной записи пользователя Active Directory. Для развертывания сертификатов маршрутизатора для вызывающего маршрутизатора сетевой администратор должен сделать следующее:
- Настроить центр сертификации Windows 2000 для выпуска сертификатов маршрутизатора.
- Запросить сертификат маршрутизатора.
- Экспортировать сертификат маршрутизатора.
- Сопоставить сертификат учетной записи пользователя.
- Отправить сертификат маршрутизатора сетевому администратору вызывающего маршрутизатора.
- Импортировать сертификат маршрутизатора на вызывающий маршрутизатор.
Для получения дополнительной информации по развертыванию сертификатов маршрутизатора для подключений вызова по требованию обратитесь к разделу Подключение по требованию офиса подразделения (Branch office demand-dial connection) встроенной справки Windows 2000 Server.
Если Вы работаете со сторонним центром сертификации, обратитесь к документации по использованию программного обеспечения этого центра. Вам будет необходимо создать сертификат пользователя с целью "Проверка подлинности клиента" ("Client Authentication") (идентификатор объекта для цели "1.3.6.1.5.5.7.3.2"), экспортировать его, сопоставить учетной записи пользователя Active Directory и затем отослать сетевому администратору вызывающего маршрутизатора. Вам также будет необходимо экспортировать сертификат корневого ЦС, сертификат издающего ЦС и сертификаты всех промежуточных ЦС и затем импортировать их в соответствующую папку хранилища компьютера для сертификата отвечающего маршрутизатора, используя оснастку Диспетчер сертификатов (Certificate Manager).