none
Windows Server 2012 R2 Remote Access — VPN сервер с двухфакторной аутентификацией по сертификату и авторизацией через RADIUS RRS feed

  • Вопрос

  • Добрый день.

    Настраиваю VPN сервер (RRAS) с двухфакторную аутентификацией по смарт карте (eToken) и авторизацией через RADIUS.

    Имеется: Windows Server 2012 R2 с NPS и Remote Access + Windows Server 2012 R2 с  DC, CA.

    После проделанных настроек, при подключение клиента по vpn, выдает ошибку "Ошибка 798: Не удалось найти сертификат, который был бы использован с протоколом расширенной проверки подлинности (EAP)."

    Сертификаты выпущены согласно статье https://msdn.microsoft.com/ru-ru/library/cc759575%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396 

    Сертификат домена: All

    Сертификат клиента: «Проверка подлинности клиента» — 1.3.6.1.5.5.7.3.2Вход со смарт-картой (1.3.6.1.4.1.311.20.2.2)

    Сертификат сервера: «Проверка подлинности сервера» — 1.3.6.1.5.5.7.3.1, «Проверка подлинности клиента» — 1.3.6.1.5.5.7.3.2

    Шаблоны для сертификата сервера и клиента, созданы на основе копии шаблона IPsec.

    Тип EAP на сервере NPS: Microsoft: Smart Card or other certificate.

    Тип EAP на клиенте Win 8.1, Win 7, Win XP: Microsoft: Smart Card or other certificate.

    Можете помочь разобраться в данной ошибки.


    • Изменено M1cT1k 16 июня 2016 г. 4:52 корект
    16 июня 2016 г. 4:39

Ответы

  • Сертификат для клиента как выпускали? Через центр сертификации?

    В таком случае проверьте, что сертификат этого центра сертификации установлен на клиенте в хранилище Доверенные корневые ЦС.

    А лучше сразу экспортируйте сертификат (без закрытого ключа) в файл и проверьте его (там же, на клиенте) командой  certutil -verify имя.файла -urlfetch  - так заодно проверите и доступ к спискам отзыва.


    Слава России!


    16 июня 2016 г. 12:09
  • Через CA, сертификат установлен в доверенные. Ошибка разрешилась сама по себе через сутки.

    Теперь новая ошибка - Ошибка 853: Подключение удаленного доступа завершено, но не удалось выполнить проверку подлинности, поскольку сертификат, используемый для проверки подлинности клиента на сервере, не действителен

    17 июня 2016 г. 4:39

Все ответы

  • Уточните

    1. ОС клиента

    2. Версия драйверов eToken

    16 июня 2016 г. 6:43
  • 1. Версии клиентов разные: Win 8.1, Win 7, Win XP.

    2. Драйвера SafeNet Authentication Client 8.2 (8.2.85.0) для MS Win 8.1 и eToken PKI Client 5.1 SP1 для MS Win XP, 7

    16 июня 2016 г. 7:21
  • а в настройках подключения VPN
    16 июня 2016 г. 8:14
  • Нужно чтобы аутентификацией была по смарт карте (eToken). Следовательно EAP: Microsoft: Smart Card or other certificate.
    16 июня 2016 г. 9:32
  • Сертификат для клиента как выпускали? Через центр сертификации?

    В таком случае проверьте, что сертификат этого центра сертификации установлен на клиенте в хранилище Доверенные корневые ЦС.

    А лучше сразу экспортируйте сертификат (без закрытого ключа) в файл и проверьте его (там же, на клиенте) командой  certutil -verify имя.файла -urlfetch  - так заодно проверите и доступ к спискам отзыва.


    Слава России!


    16 июня 2016 г. 12:09
  • Через CA, сертификат установлен в доверенные. Ошибка разрешилась сама по себе через сутки.

    Теперь новая ошибка - Ошибка 853: Подключение удаленного доступа завершено, но не удалось выполнить проверку подлинности, поскольку сертификат, используемый для проверки подлинности клиента на сервере, не действителен

    17 июня 2016 г. 4:39