Инфраструктура сертификата
Вопросы проектирования: инфраструктура сертификата
При настройке инфраструктуры сертификата для VPN-подключения удаленного доступа обратите внимание на следующие моменты:
- Для того, чтобы создать VPN-подключения удаленного доступа L2TP/IPSec, используя проверку подлинности на основе сертификатов компьютера для IPSec, Вы должны установить сертификаты компьютеров для всех VPN-клиентов и VPN-сервера. Если Вы используете корпоративный ЦС на базе Windows 2000, то для выдачи сертификатов настройте Ваш домен Active Directory для автоматической подачи заявок на сертификатов при помощи групповой политики Конфигурация компьютера (Computer Configuration). После обновления данной групповой политики все компьютеры, входящие в домен, автоматически запросят сертификат компьютера.
Сертификат компьютера VPN-клиента должен быть действительным и VPN-сервер должен иметь возможность его проверить. При этом VPN-сервер должен иметь сертификат корневого ЦС, который выдал сертификат компьютера VPN-клиенту.
Сертификат компьютера VPN-сервера должен быть действительным и VPN-клиент должен иметь возможность его проверить. При этом VPN-клиент должен иметь сертификат корневого ЦС, который выдал сертификат компьютера VPN-серверу.
- Для проверки подлинности VPN-подключений с помощью смарт-карт или сертификата пользователя с использованием протокола EAP-TLS, на VPN-клиенте должен быть установлен сертификат пользователя (на смарт-карте или основанный на значениях реестра). На VPN-сервере (если проверка подлинности осуществляется средствами ОС Windows) или на IAS-сервере (если VPN-сервер использует для проверки подлинности протокол RADIUS, а RADIUS-сервером является компьютер с установленной Windows 2000 и IAS) должен быть установлен сертификат компьютера.
Смарт-карта или сертификат пользователя должны быть действительными и VPN-сервер должен иметь возможность его проверить. При этом VPN-сервер должен иметь сертификат корневого ЦС, который выдал сертификат компьютера VPN-клиенту.
Сертификат компьютера VPN-сервера должен быть действительным и VPN-клиент должен иметь возможность его проверить. При этом VPN-клиент должен иметь сертификат корневого ЦС, который выдал сертификат компьютера VPN-серверу.
- Для установки сертификата компьютера или пользователя на компьютер через Интернет создайте PPTP-подключение с помощью протокола, использующего проверку подлинности на основе пароля (например, MS-CHAP v2). После подключения используйте оснастку Диспетчер Сертификатов (Certificate Manager) или обозреватель Internet Explorer для запроса необходимых сертификатов. После установки сертификата отключитесь и подключитесь вновь с использованием необходимого протокола VPN и метода проверки подлинности. Примером подобной ситуации является ноутбук, выданный сотруднику без сертификатов необходимых для создания подключений L2TP/IPSec или проверки подлинности при помощи протокола EAP-TLS.
Автор: (переведено с англ.) Microsoft Technet
Материалы взяты с сайта OSzone.net.