none
L2TP: Как указать определённую CA ? Иса 2004 RRS feed

  • Вопрос

  • Как сделать так, что бы на L2TP поднятую на ИСА могли подключаться только клиенты с сертификатами моей CA?

    Например, как это сделано в IIS веб сайте....

    Спасибо!

    12 октября 2006 г. 12:41

Ответы

  • Итак, как и обещал про L2TP/IPSec.

    Протокол L2TP/IPSec, использует методы пользовательской аутентификации РРР через соединение, которое шифруется с использованием IPSec. При этом аутентификация двух взаимодействующих устройств (машин) осуществляется с использованием либо сертификатов, либо по PSK. L2TP/IPSec использует аутентификацию компьютеров для защиты соединения до выполнения аутентификации пользователя.

    Таким образом, аутентификация осуществляется дважды - сначала два компьютера взаимно аутентифицируют друг друга, а потом ещё аутентифицируется пользователь. Начнём с аутентификации компьютеров. Для того, чтобы аутетифицировать компьютеры по PSK, общий ключ указывается на ISA в окне настройки методов аутентификации (нужно выбрать опцию Allow custom IPSec policy for L2TP connection). Этот же ключ указывается в свойствах VPN подключения на клиенте (вкладка Securiry - IPsec settings). Если же аутентифицировать компьютеры по сертификатам, то на обе машины нужно запросить и установить компьютерные (не пользовательские) сертификаты, предназначенные для аутетификации IPSec. Если Центр сертификации (ЦС) корпоративного типа, то вначале нужно ЦС разрешить выдавать сертификаты на основании шаблона сертификата IPSec (по умолчанию такие сертификаты не выдаются).

    Для осуществления пользовательской аутентификации ISA по умолчанию использует как раз MS-CHAP v.2. Пользователь аутентифицирется по паролю. Если отключить метод аутентификации MS-CHAP v.2, а вместо него включить метод аутентификации ЕАР, то для прохождения пользовательской аутентификации напользовательском компьютере должен быть установлен пользовательский (сгенерированный на основании шаблона User) сертификат или должна быть подключена смарт-карта.

    Консоль IPSec Policy Management при настройке удалённого доступа не используется и политики через неё не назначаются. А при настройке L2TP VPN в Windows2003 без IPSec никак не получится.

    13 октября 2006 г. 22:22

Все ответы

  • Аутентифицировать L2TP VPN клиентов только по EAP-TLS из раздать клиентам сертификаты. А IPSec как осуществляет аутентификацию по сертификам или pre-shared key?

    С уважением

    12 октября 2006 г. 22:31
  •  Alex Elkin написано:

    Аутентифицировать L2TP VPN клиентов только по EAP-TLS из раздать клиентам сертификаты. А IPSec как осуществляет аутентификацию по сертификаты или pre-shared key?

    С уважением

    ээээ.... На исе используется MS CHAP 2. Общего ключа нет.

    Посмотрел консоль IP Sec Policies нашёл в настройках правила политики метод аутентификации по CA.

    Но без поллитра, сложно....

    Если не затруднит, в двух словах порядок действий.....

    Безграничное спасибо!

    13 октября 2006 г. 5:18
  • Я сегодня чуть попозже отвечу поподробнее.

    С уважением

    13 октября 2006 г. 13:33
  • В дебри с IPSec не лезте, L2TP поднимается при наличии на сервере сертификата, выданного с твоего СА, клиенты по криптоканалу передают аутентификацию и далее трафик, неужели мало, и надо раздавать сертификаты?!
    13 октября 2006 г. 13:42
  • Итак, как и обещал про L2TP/IPSec.

    Протокол L2TP/IPSec, использует методы пользовательской аутентификации РРР через соединение, которое шифруется с использованием IPSec. При этом аутентификация двух взаимодействующих устройств (машин) осуществляется с использованием либо сертификатов, либо по PSK. L2TP/IPSec использует аутентификацию компьютеров для защиты соединения до выполнения аутентификации пользователя.

    Таким образом, аутентификация осуществляется дважды - сначала два компьютера взаимно аутентифицируют друг друга, а потом ещё аутентифицируется пользователь. Начнём с аутентификации компьютеров. Для того, чтобы аутетифицировать компьютеры по PSK, общий ключ указывается на ISA в окне настройки методов аутентификации (нужно выбрать опцию Allow custom IPSec policy for L2TP connection). Этот же ключ указывается в свойствах VPN подключения на клиенте (вкладка Securiry - IPsec settings). Если же аутентифицировать компьютеры по сертификатам, то на обе машины нужно запросить и установить компьютерные (не пользовательские) сертификаты, предназначенные для аутетификации IPSec. Если Центр сертификации (ЦС) корпоративного типа, то вначале нужно ЦС разрешить выдавать сертификаты на основании шаблона сертификата IPSec (по умолчанию такие сертификаты не выдаются).

    Для осуществления пользовательской аутентификации ISA по умолчанию использует как раз MS-CHAP v.2. Пользователь аутентифицирется по паролю. Если отключить метод аутентификации MS-CHAP v.2, а вместо него включить метод аутентификации ЕАР, то для прохождения пользовательской аутентификации напользовательском компьютере должен быть установлен пользовательский (сгенерированный на основании шаблона User) сертификат или должна быть подключена смарт-карта.

    Консоль IPSec Policy Management при настройке удалённого доступа не используется и политики через неё не назначаются. А при настройке L2TP VPN в Windows2003 без IPSec никак не получится.

    13 октября 2006 г. 22:22
  • ЭЭЭЭ, не понял. L2TP у меня не подключается без установленного клиентского сертификата в Local Store. Так и говорит, что на Вашем ЭВМ не найдено нужного сертификата.

    При установке сертификата всё работает. Но в том то и проблема, что если я поставлю серт от Verisign, то тоже прекрасно подключусь... ведь, как я понимаю, иса принимает все сертификаты, которые деверенные ДЛЯ КОМПБЮТЕРА В ЦЕЛОМ.

    А указать конкретную CA в исе не получается и это нужно делать на уровне IpSec.

    В чём я не прав?

    16 октября 2006 г. 7:09
  •  Alex Elkin написано:

    Итак, как и обещал про L2TP/IPSec.

    Протокол L2TP/IPSec, использует методы пользовательской аутентификации РРР через соединение, которое шифруется с использованием IPSec. При этом аутентификация двух взаимодействующих устройств (машин) осуществляется с использованием либо сертификатов, либо по PSK. L2TP/IPSec использует аутентификацию компьютеров для защиты соединения до выполнения аутентификации пользователя.

    Таким образом, аутентификация осуществляется дважды - сначала два компьютера взаимно аутентифицируют друг друга, а потом ещё аутентифицируется пользователь. Начнём с аутентификации компьютеров. Для того, чтобы аутетифицировать компьютеры по PSK, общий ключ указывается на ISA в окне настройки методов аутентификации (нужно выбрать опцию Allow custom IPSec policy for L2TP connection). Этот же ключ указывается в свойствах VPN подключения на клиенте (вкладка Securiry - IPsec settings). Если же аутентифицировать компьютеры по сертификатам, то на обе машины нужно запросить и установить компьютерные (не пользовательские) сертификаты, предназначенные для аутетификации IPSec. Если Центр сертификации (ЦС) корпоративного типа, то вначале нужно ЦС разрешить выдавать сертификаты на основании шаблона сертификата IPSec (по умолчанию такие сертификаты не выдаются).

    Для осуществления пользовательской аутентификации ISA по умолчанию использует как раз MS-CHAP v.2. Пользователь аутентифицирется по паролю. Если отключить метод аутентификации MS-CHAP v.2, а вместо него включить метод аутентификации ЕАР, то для прохождения пользовательской аутентификации напользовательском компьютере должен быть установлен пользовательский (сгенерированный на основании шаблона User) сертификат или должна быть подключена смарт-карта.

    Консоль IPSec Policy Management при настройке удалённого доступа не используется и политики через неё не назначаются. А при настройке L2TP VPN в Windows2003 без IPSec никак не получится.

     

    Понял ставлю новые серты)))) а то с административнами ничё не пашет))))

    16 октября 2006 г. 7:13
  • Все правильно, для аутентификации компьютеров достаточно наличие IPSec сертификатов, выданных СА из взаимнодоверяемых иерархий центров сертификации. Вы совершенно правильно понимаете это.

    Но чтобы указать конкретный СА, нужно его указывать не в настройках IPSec, а в настройках ЕАР (см. мои предыдущие посты). ЕАР-TLS используется для взаимной аутентификации сервера и пользователя и в настройках ЕАР, помимо выбора типа ЕАР можно указать и конкретные СА, чьи сертификаты будут приниматься.

    16 октября 2006 г. 11:38
  • новая проблема!

    Установил EAP, но! ЭВМ в домене, а удалённая сеть не связана с текущем доменом. Поэтому при попытке подключения в окне выбора сертификата нет нужного((( только те, которые получены в текущем домене.

    Как указать нужный сертификат?

     

    ---Добавил-----

    Похоже сертификат не держит IpSec.

    Где можно найти инфу, как заставить CA выдавать серты для IpSec ?

    И может ли это делать CA в режиме StandAlone на Windows 2003 Standart?

    Спасибо!

    31 октября 2006 г. 13:08
  • Sebas, Я отвечу на вопрос завтра
    31 октября 2006 г. 22:32
  • Если ЦС корпоративного типа, то в этом случае в оснастке управления ЦС нужно выбрать узел Шаблоны Сертификатов, кликнуть на нём правой кнопкой мыши, выбрать New certificate template to issue (не знаю как данный пункт меню называется в русской версии Windows) и затем из списка шаблонов выбрать IPSec certificate (Offline request) (именно Offline для запросо сертификата через броузер). После этого можно будет, зарегистрировавшись под доменным пользователем, имеющим полномочия на запрос сертификатов IPSec (в соответствии с разрешениями, назначенными на шаблон сертификата), запросить сертификат IPSec для компьютера. После этого сертификат нужно установить в компьютерное хранилище сертификатов.

    Если ЦС изолированного типа, то у такого ЦС сертификат можно запросить только через Web-интерфейс. При запросе сертификата выбираем вариант Advanced Certificate Request, выбираем Create and submit a request to this CA, затем в поле Type of certificate Needed выбираем IPSec. Если в раскрывающемся списке не будет IPSec, тогда выбираем Other...и в поле OID набираем 1.3.6.1.5.5.8.2.2. Затем в консоли управления ЦС выдаём сертификат и из этой же консоли копируем сертификат в файл и потом устанавливаем его на компьютере, который будет использовать IPSec. 

    2 ноября 2006 г. 21:45
  • Ок, Спасибо! Идём дальше....

    Сертификат выдал.Создал на основе IPSec cert (offline requet) и выдал через веб.

    Сертификат встал в локал сторе. Но при запуке VPN подключения появляется ошибка:

    Ошибка 798: Неудалось найти сертификат, который был бы использован с протоколом расширенной проверки EAP

    Где грабли? В юзер сторе - тоже самое((((

    3 ноября 2006 г. 7:24
  • В настройке исходящего VPN подключения на клиенте указываем параметры ЕАР (указываем, что пользовательский сертификат нужно брать с локального компьютера, а не с смарт-карты).

    И на сервере VPN должен быть установлен сертификат сервера удалённого доступа для аутентификации ЕАР.

    3 ноября 2006 г. 8:44
  • Да, так и есть, но при установке других сертификатов( не моей ЦС, а локальной доменной), при запуске VPN подключеня появляется окно с выбором сертификата,  в котором только лакалные сертификаты,а моего сертификата нет(((

    Тоесть то попытки самого подключения не доходит....

    Назначние сертификата: Позволяет использовать защищенные подключения через Интернет

    3 ноября 2006 г. 12:05
  • >И на сервере VPN должен быть установлен сертификат сервера удалённого доступа для аутентификации ЕАР.

    Тоесть Ipsec (offline) ?

    В машин сторе?

    14 ноября 2006 г. 6:05