maaboo
26-12-2013, 12:56
Имеются следующие серверы PKI:
RootCA (standalone, root, offline)
InternalCA (enterprise, subordinate, для доменных нужд)
ExternalCA (enterprise, subordinate, для недоменных нужд)
И VPN:
VPN (доменный сервер в периметре)
RADIUS (доменный сервер в интранете) как AAA
VPN будет использовать все три протокола: PPTP, L2TP/IPSec, SSTP
Планируется использовать сертификаты при подключении к VPN со следующими условиями:
Каждый пользователь, член доменной глобальной группы “VPN Users” имеет свойство получать (автоматически в т.ч.) сертификат аутентификации клиента с сервера InternalCA
Каждая доменная рабочая станция имеет автонакатанный сертификат IPSec с сервера InternalCA
Любой недоменный пользователь (недоменный компьютер) запрашивает сертификат вручную с ExternalCA через веб-морду
Вопрос в том, какие где сертификаты должны стоять, чтобы выстроились правильные цепочки доверия? Пока предполагаю, что на VPN и RADIUS должны стоять оба промежуточных доверенных сертификата InternalCA и ExternalCA.
Для наглядности:
Пользователь Вася — доменный с доменным же ноутом. У него всё автонакатано InternalCA. Ему надо подключиться к серверу vpn.domain.tld
Пользователь Маша — недоменный, со своим собственным ноутом. Она запросила и поставила сертификаты с ExternalCA. Ей надо подключиться к тому же самому серверу.
Оба они проходят проверку, авторизацию и аудит на сервере RADIUS.
Насколько я понял (это пока не окончательно), мне нужны следующие сертификаты:
Пользовательский для аутентификации
Машинный для IPSec
RADIUS-сертификат
VPN сертификат (причём не один, ибо все три протокола)
И один или оба сертификата InternalCA и ExternalCA в промежуточных доверенных центрах на всех узлах цепочки: клиент, комп клиента, VPN, RADIUS
Собственно вопрос в том, где и как расположить сертификаты так, чтобы доменные и недоменные пользователи могли подключаться к одному и тому же ресурсу vpn.domain.tld.
Спасибо за внимание, надеюсь на пинок в правильном направлении.
RootCA (standalone, root, offline)
InternalCA (enterprise, subordinate, для доменных нужд)
ExternalCA (enterprise, subordinate, для недоменных нужд)
И VPN:
VPN (доменный сервер в периметре)
RADIUS (доменный сервер в интранете) как AAA
VPN будет использовать все три протокола: PPTP, L2TP/IPSec, SSTP
Планируется использовать сертификаты при подключении к VPN со следующими условиями:
Каждый пользователь, член доменной глобальной группы “VPN Users” имеет свойство получать (автоматически в т.ч.) сертификат аутентификации клиента с сервера InternalCA
Каждая доменная рабочая станция имеет автонакатанный сертификат IPSec с сервера InternalCA
Любой недоменный пользователь (недоменный компьютер) запрашивает сертификат вручную с ExternalCA через веб-морду
Вопрос в том, какие где сертификаты должны стоять, чтобы выстроились правильные цепочки доверия? Пока предполагаю, что на VPN и RADIUS должны стоять оба промежуточных доверенных сертификата InternalCA и ExternalCA.
Для наглядности:
Пользователь Вася — доменный с доменным же ноутом. У него всё автонакатано InternalCA. Ему надо подключиться к серверу vpn.domain.tld
Пользователь Маша — недоменный, со своим собственным ноутом. Она запросила и поставила сертификаты с ExternalCA. Ей надо подключиться к тому же самому серверу.
Оба они проходят проверку, авторизацию и аудит на сервере RADIUS.
Насколько я понял (это пока не окончательно), мне нужны следующие сертификаты:
Пользовательский для аутентификации
Машинный для IPSec
RADIUS-сертификат
VPN сертификат (причём не один, ибо все три протокола)
И один или оба сертификата InternalCA и ExternalCA в промежуточных доверенных центрах на всех узлах цепочки: клиент, комп клиента, VPN, RADIUS
Собственно вопрос в том, где и как расположить сертификаты так, чтобы доменные и недоменные пользователи могли подключаться к одному и тому же ресурсу vpn.domain.tld.
Спасибо за внимание, надеюсь на пинок в правильном направлении.