https://www.opennet.ru/openforum/vsluhforumID6/22792.html Добрый день!<br>Стоит задача поднять VPN на сертификатах.<br>Служба сертификации-CA- выдала сертификат и для ASA и для vpnclient. Всунули успешно их и в циску и в комп.<br>далее ВОПРОС, прежде чем настраивать аутентификацию через Active Directory, сверка сертификатов происходит исключительно на связке железка(ASA)-комп(ciscoVPNclient)??<br>Как сделать чтобы сертификат на vpnclient сверялся с CA????Или это не возможно? не могу найти инфы на эту тему-сама логика тогда не понятна... загнали на vpn клиент все одинаковые сертификаты и подрубились??, пусть локально и без active directory , но всё же. как же политика безопасности?<br> https://www.opennet.ru/openforum/vsluhforumID6/22792.html#3 Fri, 24 Jun 2011 18:24:17 GMT &gt;[оверквотинг удален]<br>&gt;&gt; СОС, чтобы там его не было. Проверка серта осуществляется на основе <br>&gt;&gt; ЭЦП содержащейся в сертификате. Вот и вся логика работы...если что не <br>&gt;&gt; понятно - спрашивайте!<br>&gt; То есть существет как бы 2 варианта: <br>&gt; 1. для каждого пользователя vpnClient необходимо генерировать свой индивидуальный сертификат <br>&gt; и заливать его, и так же в ASA: для каждого пользователя, <br>&gt; чтобы сверка проходила на первом этапе с ней <br>&gt; 2. сертификат будет один , но необходимо создавать правило идентификации сертификатов на <br>&gt; ASA и проверка проходит через контроллер домена? или через radius?<br>&gt; Спасибо!<br><br>Да,второй вариант возможен. Можно также использовать локальную базу пользователей, но это неудобно. Можно вообще отказаться от XAUTH, то есть аутентификации по логину/паролю не будет, только по сертификату. <br> https://www.opennet.ru/openforum/vsluhforumID6/22792.html#2 Fri, 24 Jun 2011 04:18:42 GMT <br>&gt; CA отвечает только за выпуск сертификатов и за публикацию списка отозванных сертов. <br>&gt; ASA должна периодически забирать его и при аутентификации клиента смотреть в <br>&gt; СОС, чтобы там его не было. Проверка серта осуществляется на основе <br>&gt; ЭЦП содержащейся в сертификате. Вот и вся логика работы...если что не <br>&gt; понятно - спрашивайте!<br><br>То есть существет как бы 2 варианта:<br>1. для каждого пользователя vpnClient необходимо генерировать свой индивидуальный сертификат и заливать его, и так же в ASA: для каждого пользователя, чтобы сверка проходила на первом этапе с ней<br>2. сертификат будет один , но необходимо создавать правило идентификации сертификатов на ASA и проверка проходит через контроллер домена? или через radius?<br><br>Спасибо!<br> https://www.opennet.ru/openforum/vsluhforumID6/22792.html#1 Thu, 23 Jun 2011 17:49:10 GMT &gt;[оверквотинг удален]<br>&gt; Стоит задача поднять VPN на сертификатах.<br>&gt; Служба сертификации-CA- выдала сертификат и для ASA и для vpnclient. Всунули успешно <br>&gt; их и в циску и в комп.<br>&gt; далее ВОПРОС, прежде чем настраивать аутентификацию через Active Directory, сверка сертификатов <br>&gt; происходит исключительно на связке железка(ASA)-комп(ciscoVPNclient)??<br>&gt; Как сделать чтобы сертификат на vpnclient сверялся с CA????Или это не возможно? <br>&gt; не могу найти инфы на эту тему-сама логика тогда не понятна... <br>&gt; загнали на vpn клиент все одинаковые сертификаты и подрубились??, пусть локально <br>&gt; и без active directory , но всё же. как же <br>&gt; политика безопасности?<br><br>CA отвечает только за выпуск сертификатов и за публикацию списка отозванных сертов. ASA должна периодически забирать его и при аутентификации клиента смотреть в СОС, чтобы там его не было. Проверка серта осуществляется на основе ЭЦП содержащейся в сертификате. Вот и вся логика работы...если что не понятно - спрашивайте!<br>