Добрый день!
Стоит задача поднять VPN на сертификатах.
Служба сертификации-CA- выдала сертификат и для ASA и для vpnclient. Всунули успешно их и в циску и в комп.
далее ВОПРОС, прежде чем настраивать аутентификацию через Active Directory, сверка сертификатов происходит исключительно на связке железка(ASA)-комп(ciscoVPNclient)??
Как сделать чтобы сертификат на vpnclient сверялся с CA????Или это не возможно? не могу найти инфы на эту тему-сама логика тогда не понятна... загнали на vpn клиент все одинаковые сертификаты и подрубились??, пусть локально и без active directory  , но всё же. как же политика безопасности?

• ASA+CA+VPNclient,Aleks305, 21:49 , 23-Июн-11
  • ASA+CA+VPNclient,svetts, 08:18 , 24-Июн-11
    • ASA+CA+VPNclient,Aleks305, 22:24 , 24-Июн-11

>[оверквотинг удален]
> Стоит задача поднять VPN на сертификатах.
> Служба сертификации-CA- выдала сертификат и для ASA и для vpnclient. Всунули успешно
> их и в циску и в комп.
> далее ВОПРОС, прежде чем настраивать аутентификацию через Active Directory, сверка сертификатов
> происходит исключительно на связке железка(ASA)-комп(ciscoVPNclient)??
> Как сделать чтобы сертификат на vpnclient сверялся с CA????Или это не возможно?
> не могу найти инфы на эту тему-сама логика тогда не понятна...
> загнали на vpn клиент все одинаковые сертификаты и подрубились??, пусть локально
> и без active directory  , но всё же. как же
> политика безопасности?

CA отвечает только за выпуск сертификатов и за публикацию списка отозванных сертов. ASA должна периодически забирать его и при аутентификации клиента смотреть в СОС, чтобы там его не было. Проверка серта осуществляется на основе ЭЦП содержащейся в сертификате. Вот и вся логика работы...если что не понятно - спрашивайте!

> CA отвечает только за выпуск сертификатов и за публикацию списка отозванных сертов.
> ASA должна периодически забирать его и при аутентификации клиента смотреть в
> СОС, чтобы там его не было. Проверка серта осуществляется на основе
> ЭЦП содержащейся в сертификате. Вот и вся логика работы...если что не
> понятно - спрашивайте!

То есть существет как бы 2 варианта:
1. для каждого пользователя vpnClient необходимо генерировать  свой индивидуальный сертификат и заливать его, и так же в ASA: для каждого пользователя, чтобы сверка проходила на первом этапе с ней
2. сертификат будет один , но необходимо создавать правило идентификации сертификатов на ASA и проверка проходит через контроллер домена? или через radius?

Спасибо!

>[оверквотинг удален]
>> СОС, чтобы там его не было. Проверка серта осуществляется на основе
>> ЭЦП содержащейся в сертификате. Вот и вся логика работы...если что не
>> понятно - спрашивайте!
> То есть существет как бы 2 варианта:
> 1. для каждого пользователя vpnClient необходимо генерировать  свой индивидуальный сертификат
> и заливать его, и так же в ASA: для каждого пользователя,
> чтобы сверка проходила на первом этапе с ней
> 2. сертификат будет один , но необходимо создавать правило идентификации сертификатов на
> ASA и проверка проходит через контроллер домена? или через radius?
> Спасибо!

Да,второй вариант возможен. Можно также использовать локальную базу пользователей, но это неудобно. Можно вообще отказаться от XAUTH, то есть аутентификации по логину/паролю не будет, только по сертификату.