 |
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция
Інфраструктура сертифіката для сертифікатів користувачів
Для перевірки справжності користувачів замість смарт -карт можуть бути використані сертифікати користувачів, засновані на значеннях реєстру. Однак, це не є стійкою формою перевірки автентичності. При використанні смарт -карт сертифікат користувача, виданий в процесі аутентифікації, доступний тільки тоді, коли користувач фізично володіє смарт- картою і знає PIN -код для входу на свій комп'ютер. При використанні сертифікатів користувача, сертифікат, виданий в процесі перевірки автентичності, стає доступний тоді, коли користувач входить на свій комп'ютер, використовуючи доменні ім'я користувача та пароль.
Також як і при використанні смарт -карт, при аутентифікації за допомогою сертифікатів користувача як протоколу перевірки автентичності використовується EAP- TLS
Розгортання сертифікатів користувача у Вашій організації складається з наступних етапів:
1. Створіть інфраструктуру сертифікатів. Для отримання додаткової інформації зверніться до «Додатку Г. Розгортання інфраструктури сертифікатів».
2. Встановіть сертифікат користувача для всіх користувачів. Для отримання додаткової інформації зверніться до розділів даного документа «Розгортання віддаленого доступу, на основі протоколу PPTP» і «Розгортання віддаленого доступу на основі протоколу L2TP».
Сертифікат користувача відправляється в процесі узгодження з'єднання, коли користувач намагається створити VPN -підключення,.
Щоб налаштувати протокол EAP- TLS для використання сертифікатів користувача на VPN -клієнті:
• VPN -підключення має бути налаштований для використання протоколу EAP з типом перевірки автентичності Смарт- карта або інший сертифікат (Smart Card or other certificate).
• У властивостях типу перевірки автентичності Смарт- карта або інший сертифікат протоколу EAP, виберіть Використовувати сертифікат на цьому комп'ютері (Use a certificate on this computer). Якщо потрібно перевіряти сертифікат комп'ютера VPN - або IAS -сервера, поставте прапорець Перевіряти сертифікат сервера (Validate server certificate). Якщо необхідно підключати тільки сервера з певного домену, поставте прапорець Підключити дані сервери (Connect only if server name ends with) і введіть ім'я домену. Щоб запитати у сервера його власний сертифікат, виданий певним довіреною кореневим ЦС, виберіть ЦС в списку Довірені кореневі центри сертифікації: (Trusted root certificate authority).
Щоб налаштувати перевірку автентичності EAP- TLS на VPN - сервері:
• Відкрийте властивості VPN -сервера в оснащенні Маршрутизація та віддалений доступ. Перейдіть на вкладку Безпека (Security). Натисніть кнопку Методи перевірки автентичності... (Authentication Methods). У діалоговому вікні встановіть прапорець Протокол розширеної перевірки автентичності (Extensible Authentication Protocol, EAP).
Щоб налаштувати перевірку автентичності EAP- TLS в політиці віддаленого доступу:
• Відкрийте властивості політики віддаленого доступу, яка використовується для VPN - підключень. Натисніть кнопку Змінити профіль (Edit profile). У діалоговому вікні, зміни профілю виберіть вкладку Перевірка справжності (Authentication). На цій вкладці повинен бути встановлений прапорець Протокол розширеної перевірки автентичності (Extensible Authentication Protocol, EAP). Значенням параметра Виберіть прийнятний тип протоколу для цієї політики має бути Смарт- карта або інший сертифікат (Smart Card or other certificate). Також Ви повинні вказати відповідний сертифікат комп'ютера для перевірки під час процесу аутентифікації EAP- TLS. Якщо комп'ютер, на якому настроєна політика віддаленого доступу, має кілька встановлених сертифікатів комп'ютера, налаштуйте властивості параметра Смарт- карта або інший сертифікат і вкажіть відповідний сертифікат комп'ютера, який буде використовуватися в процесі аутентифікації EAP- TLS.
Питання проектування: інфраструктура сертифіката
При налаштуванні інфраструктури сертифіката для VPN - підключення віддаленого доступу зверніть увагу на наступні моменти:
• Для того, щоб створити VPN - підключення віддаленого доступу L2TP/IPSec, використовуючи перевірку автентичності на основі сертифікатів комп'ютера для IPSec, Ви повинні встановити сертифікати комп'ютерів для всіх VPN -клієнтів і VPN -сервера. Якщо Ви використовуєте корпоративний ЦС на базі Windows 2000, то для видачі сертифікатів налаштуйте Ваш домен Active Directory для автоматичної подачі заявок на сертифікатів за допомогою групової політики Конфігурація комп'ютера (Computer Configuration). Після оновлення даної групової політики всі комп'ютери, що входять до домен, автоматично запитають сертифікат комп'ютера.
Сертифікат комп'ютера VPN -клієнта повинен бути дійсним і VPN -сервер повинен мати можливість його перевірити. При цьому VPN -сервер повинен мати сертифікат кореневого ЦС, який видав сертифікат комп'ютера VPN - клієнта.
Сертифікат комп'ютера VPN -сервера повинен бути дійсним і VPN - клієнт повинен мати можливість його перевірити. При цьому VPN - клієнт повинен мати сертифікат кореневого ЦС, який видав сертифікат комп'ютера VPN -серверу.
• Для перевірки справжності VPN - підключень за допомогою смарт -карт або сертифіката користувача з використанням протоколу EAP- TLS, на VPN -клієнті має бути встановлений сертифікат користувача (на смарт- карті або заснований на значеннях реєстру). На VPN - сервері (якщо перевірка справжності здійснюється засобами ОС Windows) або на IAS - сервері (якщо VPN -сервер використовує для перевірки автентичності протокол RADIUS, а RADIUS - сервером є комп'ютер з встановленою Windows 2000 і IAS) повинен бути встановлений сертифікат комп'ютера.
Смарт- карта або сертифікат користувача повинні бути дійсними і VPN -сервер повинен мати можливість його перевірити. При цьому VPN -сервер повинен мати сертифікат кореневого ЦС, який видав сертифікат комп'ютера VPN - клієнта.
Сертифікат комп'ютера VPN -сервера повинен бути дійсним і VPN - клієнт повинен мати можливість його перевірити. При цьому VPN - клієнт повинен мати сертифікат кореневого ЦС, який видав сертифікат комп'ютера VPN -серверу.
• Для установки сертифіката комп'ютера або користувача на комп'ютер через Інтернет створіть PPTP -підключення за допомогою протоколу, що використовує перевірку автентичності на основі пароля (наприклад, MS- CHAP v2). Після підключення використовуйте оснастку Диспетчер Сертифікатів (Certificate Manager) або оглядач Internet Explorer для запиту необхідних сертифікатів. Після установки сертифіката відключіться і підключіться знову з використанням необхідного протоколу VPN і методу перевірки автентичності. Прикладом подібної ситуації є ноутбук, виданий співробітникові без сертифікатів необхідних для створення підключень L2TP/IPSec або перевірки автентичності за допомогою протоколу EAP- TLS.
Поиск по сайту: