> Доброго дня всем.
> Ткните где можно почитать о настройке Easy VPN Server c аутентификацией не
> по паролю (этот метод работает замечательно), а по сертификатам. Пока что
> то как то мутно все...
> Спасибо простой инструкции я тоже не нашел ... у меня заработало так:
1. конфигуришь trustpoint, аутентифицируешь ее (т.е. либо ставишь ее public certificate, либо fingerprint) и енроллишь маршрутизатор с этой tp (посылаешь запрос на сертификат для маршрутизатора, получаешь его и устанавливаешь). на практике мне проще оказалось сделать CA на openssl, сгенерить ключи, cert request, подписать его и все экспортировать в pkcs12-файл, который потом импортировать на маршрутизатор:
crypto pki trustpoint TP
crypto pki import TP pkcs12 ftp...
про СА на openssl читал тут: http://www.flatmtn.com/article/setting-openssl-create-certif...
про cisco: http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/...
2. в isakmp policy в качестве аутетификации должен быть выбран метод аутетификации rsa-sig (это дефолтный вариант)
3. конфигуришь certificate map для проверки полей присылаемого сертификата и выбора соотв. isakmp profile:
crypto pki certificate map certmap 10
subject-name co ou = ...
issuer-name co ...
4. делаешь isakmp profile: нужно указать trustpoint, certificate map и группу для конфигурирования клиентов.
crypto isakmp profile certprofile
ca trust-point TP
match certificate certmap
isakmp authorization list vpngrp
client configuration group grp1
...
все остальное как обычно:
crypto isakmp client configuration group grp1
...
crypto ipsec transform-set ...
crypto ipsec profile ...
interface Virtual-Template1 type tunnel
...
tunnel mode ipsec ipv4
tunnel protection ipsec profile ...
примерно так, сорри, если не очень внятно.