URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22792
[ Назад ]

Исходное сообщение
"ASA+CA+VPNclient"

Отправлено svetts , 23-Июн-11 14:34 
Добрый день!
Стоит задача поднять VPN на сертификатах.
Служба сертификации-CA- выдала сертификат и для ASA и для vpnclient. Всунули успешно их и в циску и в комп.
далее ВОПРОС, прежде чем настраивать аутентификацию через Active Directory, сверка сертификатов происходит исключительно на связке железка(ASA)-комп(ciscoVPNclient)??
Как сделать чтобы сертификат на vpnclient сверялся с CA????Или это не возможно? не могу найти инфы на эту тему-сама логика тогда не понятна... загнали на vpn клиент все одинаковые сертификаты и подрубились??, пусть локально и без active directory  , но всё же. как же политика безопасности?

Содержание

Сообщения в этом обсуждении
"ASA+CA+VPNclient"
Отправлено Aleks305 , 23-Июн-11 21:49 
>[оверквотинг удален]
> Стоит задача поднять VPN на сертификатах.
> Служба сертификации-CA- выдала сертификат и для ASA и для vpnclient. Всунули успешно
> их и в циску и в комп.
> далее ВОПРОС, прежде чем настраивать аутентификацию через Active Directory, сверка сертификатов
> происходит исключительно на связке железка(ASA)-комп(ciscoVPNclient)??
> Как сделать чтобы сертификат на vpnclient сверялся с CA????Или это не возможно?
> не могу найти инфы на эту тему-сама логика тогда не понятна...
> загнали на vpn клиент все одинаковые сертификаты и подрубились??, пусть локально
> и без active directory  , но всё же. как же
> политика безопасности?

CA отвечает только за выпуск сертификатов и за публикацию списка отозванных сертов. ASA должна периодически забирать его и при аутентификации клиента смотреть в СОС, чтобы там его не было. Проверка серта осуществляется на основе ЭЦП содержащейся в сертификате. Вот и вся логика работы...если что не понятно - спрашивайте!


"ASA+CA+VPNclient"
Отправлено svetts , 24-Июн-11 08:18 

> CA отвечает только за выпуск сертификатов и за публикацию списка отозванных сертов.
> ASA должна периодически забирать его и при аутентификации клиента смотреть в
> СОС, чтобы там его не было. Проверка серта осуществляется на основе
> ЭЦП содержащейся в сертификате. Вот и вся логика работы...если что не
> понятно - спрашивайте!

То есть существет как бы 2 варианта:
1. для каждого пользователя vpnClient необходимо генерировать  свой индивидуальный сертификат и заливать его, и так же в ASA: для каждого пользователя, чтобы сверка проходила на первом этапе с ней
2. сертификат будет один , но необходимо создавать правило идентификации сертификатов на ASA и проверка проходит через контроллер домена? или через radius?

Спасибо!


"ASA+CA+VPNclient"
Отправлено Aleks305 , 24-Июн-11 22:24 
>[оверквотинг удален]
>> СОС, чтобы там его не было. Проверка серта осуществляется на основе
>> ЭЦП содержащейся в сертификате. Вот и вся логика работы...если что не
>> понятно - спрашивайте!
> То есть существет как бы 2 варианта:
> 1. для каждого пользователя vpnClient необходимо генерировать  свой индивидуальный сертификат
> и заливать его, и так же в ASA: для каждого пользователя,
> чтобы сверка проходила на первом этапе с ней
> 2. сертификат будет один , но необходимо создавать правило идентификации сертификатов на
> ASA и проверка проходит через контроллер домена? или через radius?
> Спасибо!

Да,второй вариант возможен. Можно также использовать локальную базу пользователей, но это неудобно. Можно вообще отказаться от XAUTH, то есть аутентификации по логину/паролю не будет, только по сертификату.