Иллюстрированный самоучитель по развертыванию виртуальных частных сетей

Развертывание инфраструктуры сертификата

Инфраструктура сертификата для VPN-подключений на основе протокола PPTP необходима только в тех случаях, когда для проверки подлинности Вы используете смарт-карты или сертификаты пользователя, основанные на настройках реестра, а также протокол EAP-TLS. Если Вы используете только протокол проверки подлинности, основанный на проверке пароля (например, MS-CHAP v2), то инфраструктура сертификата для создания VPN-подключения не нужна.

Если Вам необходима инфраструктура сертификата для VPN-подключений на основе протокола PPTP, то Вы должны установить сертификат компьютера на сервер проверки подлинности (VPN- или RADIUS-сервер), а также распространить сертификаты на смарт-карты пользователей VPN-клиентов или установить сертификаты пользователя на все компьютеры VPN-клиентов.

Для получения информации о развертывании инфраструктуры сертификата обратитесь к "Приложению Д. Развертывание инфраструктуры сертификата".

Установка сертификатов компьютера

Для установки сертификата компьютера необходимо наличие ЦС для выдачи сертификатов. После настройки выдающего ЦС Вы сможете установить сертификат компьютера следующими способами:

  1. Настроив автоматическое размещение сертификатов компьютера в домене Windows 2000. Данный метод обеспечивает централизованное управление для всего домена. Все члены домена автоматически запрашивают сертификат компьютера на основании настроек групповой политики. Для немедленного получения сертификата компьютера для VPN- или IAS-сервера, входящего в домен, в котором настроена функция автоматической подачи заявок на сертификаты, перезагрузите компьютер или введите в командной строке команду secedit /refreshpolicy machine_policy. Для получения дополнительной информации о настройке автоматической подачи заявок на сертификаты компьютера, обратитесь к разделу Автоматическое получение сертификатов от центра сертификации предприятия (Configure automatic certificate allocation from an enterprise CA) справки Windows 2000 Server.
  2. Используя оснастку Сертификаты (Certificates) для запроса сертификата компьютера.
    Если Вы используете ЦС предприятия Windows 2000 в качестве выдающего ЦС, то можно запросить сертификат компьютера отдельно для каждого компьютера у выдающего ЦС, при помощи оснастки Сертификаты. Для получения дополнительной информации обратитесь к разделам Управление сертификатами компьютера (Manage certificates for a computer) и Запрос сертификата (Request a certificate) справки Windows 2000 Server.
  3. Используя оснастку Сертификаты для импорта сертификата компьютера.
    Если у Вас имеется файл, содержащий сертификат компьютера, Вы можете импортировать сертификат компьютера при помощи оснастки Сертификаты. Для получения дополнительной информации об импорте сертификата при помощи оснастки Сертификаты обратитесь к разделу Импорт и экспорт сертификатов (Import a certificate) справки Windows 2000 Server.
  4. Запустив сценарий клиента CAPICOM, который запрашивает сертификат компьютера.
    При использовании данного метода на всех компьютерах, которым необходим сертификат компьютера, должен быть выполнен сценарий CAPICOM, запрашивающий сертификат компьютера у выдающего ЦС. CAPICOM является клиентом COM, поддерживающим автоматизацию для выполнения функций шифрования (CryptoAPI) при помощи элементов управления Microsoft ActiveX и COM-объектов. CAPICOM может быть использован при помощи Visual Basic, Visual Basic Scripting Edition и C++. Для получения дополнительной информации о CAPICOM обратитесь на веб-сайт CAPICOM.

Развертывание смарт-карт

Для получения информации о развертывании смарт-карт в Windows 2000 обратитесь к разделу Контрольный список: внедрение использования смарт-карт для входа в систему Windows (Checklist: Deploying smart cards for logging on to Windows) справки Windows 2000 Server.

Установка сертификатов пользователя

Для установки сертификата пользователя необходимо наличие ЦС для выдачи сертификатов. После настройки выдающего ЦС Вы можете установить сертификат пользователя следующими способами:

  1. Запросив сертификат пользователя при помощи веб-обозревателя.
    Выдающий ЦС должен поддерживать подачу веб-заявок на сертификаты. Например, если в качестве выдающего ЦС Вы используете ЦС предприятия Windows 2000, на котором также установлены службы IIS (Internet Information Services), Вы можете использовать веб-заявки для запроса сертификата пользователя. Для получения дополнительной информации о запросе сертификата пользователя обратитесь к разделу Запрос сертификатов (Submit a user certificate request via the Web) справки Windows 2000 Server.
  2. Используя оснастку Сертификаты для запроса сертификата пользователя.
    Если в качестве выдающего ЦС Вы используете ЦС предприятия Windows 2000, Вы можете запросить сертификат пользователя при помощи оснастки Сертификаты. Для получения дополнительной информации о запросе сертификата пользователя при помощи оснастки Сертификаты обратитесь к разделу Запрос сертификатов (Request a certificate) справки Windows 2000 Server.
  3. Используя оснастку Сертификаты для импорта сертификата пользователя.
    Если у Вас имеется файл, содержащий сертификат пользователя, Вы можете импортировать его при помощи оснастки Сертификаты. Для получения дополнительной информации об импорте сертификата при помощи оснастки Сертификаты обратитесь к разделу Импорт и экспорт сертификатов (Import a certificate) справки Windows 2000 Server.
  4. Выполнив сценарий клиента CAPICOM, который запрашивает сертификат пользователя.
    При использовании данного метода все пользователи, которым необходим сертификат пользователя, должны выполнить сценарий CAPICOM, запрашивающий сертификат пользователя у выдающего ЦС.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.