maaboo

Имеются следующие серверы PKI:

• RootCA (standalone, root, offline)
• InternalCA (enterprise, subordinate, для доменных нужд)
• ExternalCA (enterprise, subordinate, для недоменных нужд)

И VPN:

• VPN (доменный сервер в периметре)
• RADIUS (доменный сервер в интранете) как AAA
• VPN будет использовать все три протокола: PPTP, L2TP/IPSec, SSTP

Планируется использовать сертификаты при подключении к VPN со следующими условиями:

• Каждый пользователь, член доменной глобальной группы “VPN Users” имеет свойство получать (автоматически в т.ч.) сертификат аутентификации клиента с сервера InternalCA
• Каждая доменная рабочая станция имеет автонакатанный сертификат IPSec с сервера InternalCA
• Любой недоменный пользователь (недоменный компьютер) запрашивает сертификат вручную с ExternalCA через веб-морду

Вопрос в том, какие где сертификаты должны стоять, чтобы выстроились правильные цепочки доверия? Пока предполагаю, что на VPN и RADIUS должны стоять оба промежуточных доверенных сертификата InternalCA и ExternalCA.

Для наглядности:

Пользователь Вася — доменный с доменным же ноутом. У него всё автонакатано InternalCA. Ему надо подключиться к серверу vpn.domain.tld
Пользователь Маша — недоменный, со своим собственным ноутом. Она запросила и поставила сертификаты с ExternalCA. Ей надо подключиться к тому же самому серверу.

Оба они проходят проверку, авторизацию и аудит на сервере RADIUS.

Насколько я понял (это пока не окончательно), мне нужны следующие сертификаты:

• Пользовательский для аутентификации
• Машинный для IPSec
• RADIUS-сертификат
• VPN сертификат (причём не один, ибо все три протокола)
• И один или оба сертификата InternalCA и ExternalCA в промежуточных доверенных центрах на всех узлах цепочки: клиент, комп клиента, VPN, RADIUS

Собственно вопрос в том, где и как расположить сертификаты так, чтобы доменные и недоменные пользователи могли подключаться к одному и тому же ресурсу vpn.domain.tld.

Спасибо за внимание, надеюсь на пинок в правильном направлении.