Использование сторонних ЦС для проверки подлинности EAP-TLS
Вы можете использовать центры сертификации сторонних производителей для проверки подлинности EAP-TLS до тех пор, пока установленные сертификаты могут быть проверены и имеют соответствующие свойства.
Сертификаты серверов проверки подлинности
Сертификат компьютера сервера проверки подлинности (VPN-сервера или IAS-сервера) должен соответствовать следующим условиям:
- Сертификаты должны быть установлены в локальное хранилище компьютера для сертификата.
- Сертификаты должны иметь соответствующий закрытый ключ.
- Поставщик службы криптографии сертификатов должен поддерживать безопасный канал SChannel. В противном случае сертификат будет нельзя использовать. Его также нельзя будет указать в качестве значения параметра Смарт-карта или иной сертификат (Smart Card or Other Certificate) на вкладке Проверка подлинности (Authentication) в настройках профиля политики удаленного доступа.
- Сертификат должен содержать цель (также известную как Enhanced Key Usage, EKU – использование расширенного ключа) "Проверка подлинности сервера". EKU определяется при помощи идентификатора объекта (object identifier, OID). OID для цели "Проверка подлинности сервера" имеет значение "1.3.6.1.5.5.7.3.1".
- Сертификат должен содержать полное доменное имя (fully qualified domain name, FQDN) учетной записи компьютера сервера проверки подлинности, указанное в поле сертификата Дополнительное имя владельца (Subject Alternative Name).
Дополнительно сертификаты корневого ЦС для центров сертификации, выдающих сертификаты пользователя для VPN-клиентов, должны быть установлены в хранилище сертификатов доверенного корневого центра сертификации на серверах проверки подлинности.
Сертификаты компьютеров VPN-клиентов
Сертификаты, установленные на компьютеры VPN-клиентов, должны соответствовать следующим условиям:
- Сертификаты должны иметь соответствующий закрытый ключ.
- Сертификаты должны содержать значение EKU "Проверка подлинности клиента" (OID -"1.3.6.1.5.5.7.3.2").
- Сертификаты должны быть установлены в хранилище сертификатов текущего пользователя.
- Сертификаты должны содержать универсальное основное имя (Universal Principal Name, UPN) учетной записи пользователя, указанное в поле сертификата Дополнительное имя владельца (Subject Alternative Name).
Кроме того, сертификаты корневого ЦС для центров сертификации, выдающих сертификаты компьютера IAS-серверу, должны быть установлены в хранилище сертификатов доверенного корневого центра сертификации на компьютерах VPN-клиентов.
Автор: Артем Васьков aka Fanzuga
Материалы взяты с сайта OSzone.net.