none
IPSec сертификат для компьютера в рабочей группе. RRS feed

  • Вопрос

  • Доброго времени суток.

     

    Есть Windows Server 2003 EE с поднятыми AD (testdom.local), CA (enterprise root CA) и IAS.

    Есть второй Windows Server 2003 EE с RRAS (клиент IAS), в роли VPN сервера в этом домене (testdom.local).

    Есть клиент, в рабочей группе.

     

    При настройке соединения по PPTP с аутентификацией пользователя с помощью EAP-TLS или MS-CHAP v2, а также L2TP с preshared key - все работает.

    Хочется, чтобы клиент мог присоединятся по L2TP с предварительной аутентификацией компьютера с помощью сертификатов.

     

    Однако, когда запрашиваю с клиента сертификат IPSec (Offline), или любой другой сертификат для аутентификации клиентского компьютера, при попытке подключение ругается Error 786 - у компьютера нет необходимого сертификата. Сертификат с private key, само собой, на клиентской машине есть.

    Дописывание в дополнительных атрибутах при запросе сертификата sanBig Smilens=dns_имя_клиента

    не помогает (соответствующее поле в запрошенном сертификате появляется).

     

    Если завести клиента в домен и запросить этот же сертификат или просто сертификат Computer, то все работает.

     

    Какие подводные камни я не учел?

    3 августа 2008 г. 22:26

Ответы

  • Все оказалось проще.

     

    Не было сертификата CA в Trusted Root Certification Autorities хранилище сертификатов компьютера на клиенте. Однако, т.к. этот сертификат был в хранилище пользователя, то выданные сертификаты IPSec (offline request) считались валидными. Добавил сертификат CA - все заработало.

     

    Соответственно, при вводе клиента в домен в хранилище компьютера добавлялся сертификат CA, при выводе - удалялся.

    4 августа 2008 г. 9:46

Все ответы

  • CA типа Enterprise будь то Root CA или Subordinate CA используют для проверки идентичности пользователя или компьютера (В Вашем случае) базу данных служюы каталога Active Directory. Соответственно, запрос от компьютера, учетной записи которого не существует в AD, завершается неудачей. Для получения сертификатов компьютерами в рабочей группе необходимо развернуть Standalone CA. В этом случае можно будет запросить сертификат только через службу Web Enrollment, проще говоря, только через обращение посредством браузера по адресу http(s)://ca_server_name/certsrv.

     

    4 августа 2008 г. 5:12
  • Все оказалось проще.

     

    Не было сертификата CA в Trusted Root Certification Autorities хранилище сертификатов компьютера на клиенте. Однако, т.к. этот сертификат был в хранилище пользователя, то выданные сертификаты IPSec (offline request) считались валидными. Добавил сертификат CA - все заработало.

     

    Соответственно, при вводе клиента в домен в хранилище компьютера добавлялся сертификат CA, при выводе - удалялся.

    4 августа 2008 г. 9:46