vpn доступ удалённых пользователей - сертификаты
Модератор: Модераторы
Сообщений: 4
• Страница 1 из 1
- глобальный каталог
- Активный пользователь
- Сообщения: 323
- Зарегистрирован: 02 фев 2005, 19:30
глобальный каталог » 05 май 2005, 16:50
необходимо поднять впн сервер для обеспечения доступа типа клиент-сеть, тип авторизации - eap only. вот тут почему-то вылазит куча проблем :-)
1) тип сервера - pptp
у клиента должен быть сертификат лузера, так? вроде как пофиг что это конкретно за сертификат, лишь бы он имел EKU OID 1.3.6.1.5.5.7.3.2 - в случае получения сертификата у enterprise microsoft CA под это дело подпадает просто сертификат лузера, сертификат "эксченж лузер", сертификат "подпись эксченж лузера", может ещё какие.
клиентская машина - вин2к проф, создаю впн поключение, импортирую туда любой из трёх вышеупомянутых сертификатов - облом, при подключении пишет что не удаётся найти сертификат, который бы мог быть использован для eap - в чём косяк?
2) тип сервера - l2tp/ipsec
у клиента помимо описанного в п.1 сертификата должен ещё быть сертификат компутера, который якобы можно получить с веб-страницы CA, однако у меня в списке шаблонов на этой странице шаблон "компутер" отсутствует напрочь. специально поднял ещё одну CA на чистой машине - те же яйца, как так?
1) тип сервера - pptp
у клиента должен быть сертификат лузера, так? вроде как пофиг что это конкретно за сертификат, лишь бы он имел EKU OID 1.3.6.1.5.5.7.3.2 - в случае получения сертификата у enterprise microsoft CA под это дело подпадает просто сертификат лузера, сертификат "эксченж лузер", сертификат "подпись эксченж лузера", может ещё какие.
клиентская машина - вин2к проф, создаю впн поключение, импортирую туда любой из трёх вышеупомянутых сертификатов - облом, при подключении пишет что не удаётся найти сертификат, который бы мог быть использован для eap - в чём косяк?
2) тип сервера - l2tp/ipsec
у клиента помимо описанного в п.1 сертификата должен ещё быть сертификат компутера, который якобы можно получить с веб-страницы CA, однако у меня в списке шаблонов на этой странице шаблон "компутер" отсутствует напрочь. специально поднял ещё одну CA на чистой машине - те же яйца, как так?
- Stratofortress
- хм...
-
- Сообщения: 611
- Зарегистрирован: 07 апр 2004, 17:10
- Откуда: ссср
- глобальный каталог
- Активный пользователь
- Сообщения: 323
- Зарегистрирован: 02 фев 2005, 19:30
глобальный каталог » 05 май 2005, 19:23
видели (если Вам так удобнее :-P), за последнюю неделю столько всего видели, что удавиться хочется :-)
это всё _теория_ - тот же шиндер пишет, что m$ не указывает некоторые вещи явно, и например ему приходилось методом тупого перебора находить рабочий вариант, так что если кто уже потратил на это время - поделитесь _практикой_, потом можно будет на сайт закинуть.
практика - про сертификат "компутер" написано много интересных вещей, вплоть до того, что его можно чуть ли не с веб-страницы СА на дискетку слить (это я у m$ видел), так всё просто и зашибись. однако - почему-то шиндер обломался с этим сертификатом и молча, не объясняя что к чему, тупо поставил stand alone CA и уже с него получил "альтернативу" - сертификат сервера. попутно сделал ремарк - "даже в очень известной книге по впн "xxx" автор обломался с этим сертификатом, отказался от l2tp и юзает pptp с eap авторизацией".
а в теории всё исключительно просто - "even for virtually no brainer".
это всё _теория_ - тот же шиндер пишет, что m$ не указывает некоторые вещи явно, и например ему приходилось методом тупого перебора находить рабочий вариант, так что если кто уже потратил на это время - поделитесь _практикой_, потом можно будет на сайт закинуть.
практика - про сертификат "компутер" написано много интересных вещей, вплоть до того, что его можно чуть ли не с веб-страницы СА на дискетку слить (это я у m$ видел), так всё просто и зашибись. однако - почему-то шиндер обломался с этим сертификатом и молча, не объясняя что к чему, тупо поставил stand alone CA и уже с него получил "альтернативу" - сертификат сервера. попутно сделал ремарк - "даже в очень известной книге по впн "xxx" автор обломался с этим сертификатом, отказался от l2tp и юзает pptp с eap авторизацией".
а в теории всё исключительно просто - "even for virtually no brainer".
- глобальный каталог
- Активный пользователь
- Сообщения: 323
- Зарегистрирован: 02 фев 2005, 19:30
глобальный каталог » 06 май 2005, 12:44
зашибись - в левой статье нашёл таки немного:
"If you have machines that are not domain members (such as laptops), they can be assigned machine certificates by using the Web browser interface to the Microsoft certificate server. When you install the Microsoft Certificate Server, make sure you install it as a Standalone Root server, or else you _will not_ have the option to use the browser to assign client machine certificates."
походу надо прочитать весь иса сервер орг, тогда по крупицам поимеешь всю инфу :-)))
"If you have machines that are not domain members (such as laptops), they can be assigned machine certificates by using the Web browser interface to the Microsoft certificate server. When you install the Microsoft Certificate Server, make sure you install it as a Standalone Root server, or else you _will not_ have the option to use the browser to assign client machine certificates."
походу надо прочитать весь иса сервер орг, тогда по крупицам поимеешь всю инфу :-)))
Сообщений: 4
• Страница 1 из 1
Вернуться в Межсетевые экраны (Firewall) и Прокси серверы (Proxy)
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 20