Развертывание инфраструктуры сертификата
Настройка протокола EAP-TLS на вызывающем маршрутизаторе
Для настройки протокола EAP-TLS на вызывающем маршрутизаторе:
- Откройте свойства интерфейса вызова по требованию и перейдите на вкладку Безопасность (Security)
- Установите переключатель в положение Дополнительные (особые параметры) (Advanced (custom settings))
- Нажмите кнопку Настройка (Settins) и установите переключатель в положение Протокол расширенной проверки подлинности (EAP) (Use Extensible Authentication Protocol (EAP))
- Выберите значение Смарт-карта или иной сертификат (шифрование включено) (Smart Card or other Certificate (encryption enabled))
- Нажмите кнопку Свойства (Properties) и установите переключатель в положение Использовать сертификат на этом компьютере (Use a certificate on this computer)
- Если Вы хотите проверять сертификат компьютера VPN-сервера или IAS-сервера, установите флажок Проверять сертификат сервера (Validate server certificate)
- Если Вы хотите удостовериться, что DNS-имя сервера оканчивается определенным набором символов, установите флажок Подключаться только если имя сервера заканчивается на (Connect only if server name ends with), и введите окончание имени
- Чтобы принимать от сервера только сертификат компьютера, выпущенный определенным доверенным корневым ЦС, выберите нужный ЦС в списке Доверенный корневой центр сертификации (Trusted root certificate authority)
- Закройте все диалоговые окна.
- Правой кнопкой мыши нажмите на названии интерфейса вызова по требованию и в контекстном меню выберите Установить учетные данные (Set Credentials). В списке Имя пользователя на сертификате (User name on certificate) выберите подходящий сертификат пользователя или маршрутизатора и нажмите кнопку OK.
Установка сертификата компьютера на сервере, выполняющем проверку подлинности
Если сервер, выполняющий проверку подлинности, является отвечающим маршрутизатором, то Вы можете использовать уже установленный сертификат компьютера, с помощью которого проверяется подлинность L2TP-подключений на основе EAP-TLS, при условии, что он содержит цель "Проверка подлинности сервера" ("Server Authentication") (идентификатор объекта для цели "1.3.6.1.5.5.7.3.1"). Если это не так, Вы должны установить дополнительный сертификат компьютера, содержащий цель "Проверка подлинности сервера" ("Server Authentication"). Если сервер, выполняющий проверку подлинности, является IAS-сервером, Вы должны установить сертификат компьютера, содержащий цель "Проверка подлинности сервера" ("Server Authentication").
Если центром сертификации, который выдает сертификаты, является центр сертификации Windows 2000, а сервер, выполняющий проверку подлинности, является отвечающим маршрутизатором или RADIUS-сервером службы IAS, Вы можете установить сертификат в хранилище компьютера этого сервера одним из способов, описанных в разделе Установка сертификатов для L2TP-подключений этого документа.
Если Вы работаете со сторонним центром сертификации, обратитесь к документации по использованию программного обеспечения этого центра. Вам будет необходимо создать сертификат с целью "Проверка подлинности сервера" ("Server Authentication") (идентификатор объекта для цели "1.3.6.1.5.5.7.3.1"), экспортировать его и отослать сетевому администратору отвечающего маршрутизатора, который должен будет импортировать этот сертификат с помощью оснастки Диспетчер сертификатов (Certificate Manager). Вам также будет необходимо экспортировать сертификат корневого ЦС, сертификат издающего ЦС и сертификаты всех промежуточных ЦС и затем импортировать их в соответствующую папку хранилища компьютера для сертификата вызывающего маршрутизатора.
Настройка протокола EAP-TLS на отвечающем маршрутизаторе и в политике удаленного доступа
Для настройки проверки подлинности EAP-TLS на отвечающем маршрутизаторе необходимо:
- Открыть оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), в свойствах отвечающего маршрутизатора перейти на вкладку Безопасность (Security) и в диалоговом окне Методы проверки подлинности (Authentication Methods) выбрать протокол EAP в качестве метода проверки подлинности.
Для настройки проверки подлинности EAP-TLS в политике удаленного доступа, либо на отвечающем маршрутизаторе или IAS-сервере:
- В политике удаленного доступа, использующейся для VPN-подключений "маршрутизатор-маршрутизатор", необходимо открыть параметры профиля, перейти на вкладку Проверка подлинности (Authentication) и выбрать протокол EAP в качестве метода проверки подлинности. Если компьютер, на котором настраивается политика удаленного доступа, имеет несколько установленных сертификатов, Вам нужно задать параметры для типа протокола Смарт-карта или иной сертификат (Smart Card or other certificate), выбрав нужный сертификат компьютера для отправки во время процесса проверки подлинности EAP-TLS.
Если Вы работаете со сторонним RADIUS-сервером, обратитесь к документации разработчика для получения информации о том, как задействовать EAP-TLS и использовать соответствующий сертификат компьютера.