Помогите настроить цепочку центров сертификации и vpn
 

День добрый.
Помогите пожалуйста настроить цепочку центров сертификации.
Нужно: сделать два центра - рутовый, и конечный.
Рутовый должен сертифицировать подчиненный и в итоге должен быть отключен от сети.
Цель создания центров сертификации - последующее создание vpn-соединений.
Конечная цель: чтобы комп через интернет конектился по vpn к серверу(об этом потом), и имел доступ к корпоративной сети.

Вопрос первый: корпоративная сеть 192.168.1.х /24 с доменом на основа 2008R2
мне нужно сделать, чтобы внешний комп имел доступ к сети.
Связано ли это с тем, где должны находиться центры сертификации - в домене или нет? (ну полагаю что в домене.)

Вопрос второй: Мне необходимо по пунктам понять "куда ткнуть", чтобы главный цс сертифицировал подчинённый так, чтобы подчинённый раздавал сертификаты а главный выключить и спрятать. В мануалах типа ТУТ этого к сожалению нету, блин, самое важное!

Вопрос третий.
Комп, который коннектится через интернет - должен быть введён в домен или нет? или можно сделать так и так? какими настройками это определяется?
мне нужно сделать оба варианта.

Заранее спасибо.

а почему одного ЦС вам недостаточно?
необязательно
что вы имеете в виду?

ну как бы майкрософт собственно настаивает на трёхуровневой цепочке, но собственно можно и из двух, если организация небольшая, т.е. тупо один рутовый и все остальные.
Одного недостаточно - это же рутовый, который надо отключать от сети и прятать, как в одно звено можно сделать? никак, только два. (Нет, ну можно то оно всё можно, но в производственной среде такое не катит).

я имею ввиду, где нужно "поставить галочку", чтобы по впн могли подсоединяться только те компы, которые в моём домене?
а так же, не только те, которые в домене.

если планируется выдача сертификатов только для vpn, то вполне можно обойтись одним ЦС. я в свое время так и сделал. вот, почитайте статью по конфигурированию SSTP-сервера и посмотрите видео по настройке IKEV2-сервера
собственно, подключаются к vpn не компы, а учетная запись - в AD для нее нужно разрешить "входящие звонки". а на компьютере необходимо будет установить соответствующие сертификаты в зависимости от используемого протокола.

За статьи спасибо. SSTP мне не нужен в данном случае, а вот видео я уже смотрел. У меня не получается сделать как там.
Первый косяк в том,что если я задаю шаблону сертификатов имя отличное от vpn reconnect, то в localhost/certsrv у меня нет такого пункта! не знаете почему? Второй косяк, что после инсталляции сертификата я не могу в оснастке сертификатов экспортировать сертификат с закрытым ключом, эта опция не доступна. На этом всё встало.

Сертификаты планируется раздавать не только для впн, пока что не решено что будет ещё(ненавижу, когда немогут сразу все заранее спланировать). Так что полюбому надо делать рутовый и подчиненные ЦС. Я пробовал создать подчинённый ЦС и в настройке, когда добавлял роль, нужно было указать что это подчинённый цс и выбрать рутовый, при выборе рутового происходила ошибка. Потом скажу какая )


зЫ
кстати, как сделать сстп по статье, только без ната, а только впн доступ? если я сделаю то же самое, но в момент настройки ремот акцесса выберу только впн доступ, а не доступ с натом, как в статье, то коннектиться не будет...