Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   VPN и развесистый PKI (http://forum.oszone.net/showthread.php?t=274736)

maaboo 26-12-2013 12:56 2278780

VPN и развесистый PKI
 
Имеются следующие серверы PKI:
  • RootCA (standalone, root, offline)
  • InternalCA (enterprise, subordinate, для доменных нужд)
  • ExternalCA (enterprise, subordinate, для недоменных нужд)
И VPN:
  • VPN (доменный сервер в периметре)
  • RADIUS (доменный сервер в интранете) как AAA
  • VPN будет использовать все три протокола: PPTP, L2TP/IPSec, SSTP
Планируется использовать сертификаты при подключении к VPN со следующими условиями:
  • Каждый пользователь, член доменной глобальной группы “VPN Users” имеет свойство получать (автоматически в т.ч.) сертификат аутентификации клиента с сервера InternalCA
  • Каждая доменная рабочая станция имеет автонакатанный сертификат IPSec с сервера InternalCA
  • Любой недоменный пользователь (недоменный компьютер) запрашивает сертификат вручную с ExternalCA через веб-морду
Вопрос в том, какие где сертификаты должны стоять, чтобы выстроились правильные цепочки доверия? Пока предполагаю, что на VPN и RADIUS должны стоять оба промежуточных доверенных сертификата InternalCA и ExternalCA.

Для наглядности:

Пользователь Вася — доменный с доменным же ноутом. У него всё автонакатано InternalCA. Ему надо подключиться к серверу vpn.domain.tld
Пользователь Маша — недоменный, со своим собственным ноутом. Она запросила и поставила сертификаты с ExternalCA. Ей надо подключиться к тому же самому серверу.

Оба они проходят проверку, авторизацию и аудит на сервере RADIUS.

Насколько я понял (это пока не окончательно), мне нужны следующие сертификаты:
  • Пользовательский для аутентификации
  • Машинный для IPSec
  • RADIUS-сертификат
  • VPN сертификат (причём не один, ибо все три протокола)
  • И один или оба сертификата InternalCA и ExternalCA в промежуточных доверенных центрах на всех узлах цепочки: клиент, комп клиента, VPN, RADIUS
Собственно вопрос в том, где и как расположить сертификаты так, чтобы доменные и недоменные пользователи могли подключаться к одному и тому же ресурсу vpn.domain.tld.

Спасибо за внимание, надеюсь на пинок в правильном направлении.


Время: 18:44.

Время: 18:44.
© OSzone.net 2001-