Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline alivver  
#1 Оставлено : 31 декабря 2014 г. 12:37:00(UTC)
alivver

Статус: Участник

Группы: Участники
Зарегистрирован: 29.07.2014(UTC)
Сообщений: 28
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Добрый день!
для тестирования КриптоПро IPSec мы развернули стенд. Конечная цель - внедрение в продуктив (построение схемы с VPN с шифрованием по ГОСТ по сертификатам, выданным корпоративным УЦ Криптопро)
состав стенда на виртуальных машинах: 1 сервер с RRAS, клиенты на Win7 и Win2008R2 (по одному для теста), инфраструктура - УЦ 1.5 + AD
На сервере установлен Криптопро CSP 3.6 (триал), КриптоПро IPSec 1124 (триал)
На клиентах - аналогично
На сервере и клиентах в trust root установлен корневой сертификат УЦ, также установлен CRL в Imtermediate (по сети CRL недоступен, но в ходе отладки отключали проверку через ключи реестра (разницы не было))

Сначала было настроено соединение по l2tp и использованием preshared keys (PSK). Все работает ОК
Конечная цель - использовать сертификаты УЦ для машинной аутентификации и для пользовательской
Для начала попытались настроить машинную аутентификацию
Для этого выпустили сертификаты:
1. для клиентов (с EKU IKE Intermediate и Subject Alternative Name = FQDN клиента).
2. для сервера (с EKU IKE Intermediate и Server Authentication)
Выпускали через АРМ админа, и чтобы перенести сертификат с закрытым ключом на клиента (из реестра в реестр) использовали Export/Import (правильно ли?? т.к. после импорта все время в контейнере не оказывается сертификата, добавляем через сервис "Установить личный сертификат")
Поместили в хранилище компьютера, показывает, что все ок, цепочка строится, привязка к закрытому ключу есть
Донастроили RRAS (убрали галку Allow custom IPSec policy for l2tp connection), чтобы аутентифицироваться по сертификатам
На клиенте поставили Использовать сертификаты в настройках l2tp
Результат - вылет по ошибке 810 (лог cp_ipsec_info прилагаю)
Снимали дамп пакетов, каждый раз их всего 4...со стороны клиента последним является входящий от сервера с запросом на сертификат

Подскажите, пожалуйста, что я делаю не так?

а также (чтобы понять лучше сам процесс):
1. Триальные версии CSP и IPSEC могут влиять на работоспособность?
2. есть вот такая статья - https://support.cryptopr...nija-klient-k-seti-ofis. Насколько она актуальная? там описывается настройка IP Security для локального компьютера как на сервере, так и на клиенте. Это требуется? Если да, то есть ли более удачное описание, а в этой статье как то все сумбурно
3. Как сервер (а также клиент) определяют какой корневой сертификат использовать для построения доверия? Например, в статье из п2 на одном из этапов корневой явно выбирается.
4. как сервер (клиент) определяют какой сертификат использовать? по FQDN? или первый в хранилище? или как то еще?

Спасибо!
Вложение(я):
cpipsecinfo.txt (7kb) загружен 5 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Offline alivver  
#2 Оставлено : 12 января 2015 г. 9:57:26(UTC)
alivver

Статус: Участник

Группы: Участники
Зарегистрирован: 29.07.2014(UTC)
Сообщений: 28
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
UP
праздники закончились...может кто что подскажет? :)
Offline alivver  
#3 Оставлено : 13 января 2015 г. 13:06:21(UTC)
alivver

Статус: Участник

Группы: Участники
Зарегистрирован: 29.07.2014(UTC)
Сообщений: 28
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
разобрались
в шаблоне сертификата IKE посредник нужно было ставить "обмен", а не "подпись"
Offline amsmirnov  
#4 Оставлено : 20 января 2015 г. 23:31:17(UTC)
amsmirnov

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.06.2014(UTC)
Сообщений: 3

Если не сложно прошу помочь разобраться
Схема у нас такая же, только клиенты подключаться должны через инет и уц за шлюзом стоит
как открыть клиентам доступ, что бы при подключении все необходимые проверки сертификатов могли проходить (проброс портов, NAT или что?)
Offline alivver  
#5 Оставлено : 26 января 2015 г. 21:23:56(UTC)
alivver

Статус: Участник

Группы: Участники
Зарегистрирован: 29.07.2014(UTC)
Сообщений: 28
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Добрый день!
в продолжении темы...
пытаемся аутентифицировать пользователя по сертификату
при этом сервер RRAS в домене, но использовать нужно недоменную локальную базу пользователей
в сертификате пользователя ставим в поле UPN = user2 (без домена и чего либо еще)
на сервере в реестре сказали, чтобы использовал себя в качестве базы (как сказано тут - https://technet.microsof.../dd197452(v=ws.10).aspx)
к сожалению, RRAS не пускает по ошибке Authentication failed due to a user credentials mismatch
хотя в логах
User:
Security ID: RRAS\user2
Account Name: user2
Account Domain: RRAS
Fully Qualified Account Name: RRAS\user2

то есть вроде совпадает
подскажите, пожалуйста, куда копать
спасибо!
Offline alivver  
#6 Оставлено : 27 января 2015 г. 12:16:34(UTC)
alivver

Статус: Участник

Группы: Участники
Зарегистрирован: 29.07.2014(UTC)
Сообщений: 28
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Автор: amsmirnov Перейти к цитате
Если не сложно прошу помочь разобраться
Схема у нас такая же, только клиенты подключаться должны через инет и уц за шлюзом стоит
как открыть клиентам доступ, что бы при подключении все необходимые проверки сертификатов могли проходить (проброс портов, NAT или что?)


NAT по портам udp/500, udp/4500, udp/1701
Offline Максим Коллегин  
#7 Оставлено : 27 января 2015 г. 13:45:29(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
А разве с таким UPN возможна работа? Лучше обратитесь в техподдержку Microsoft.
Знания в базе знаний, поддержка в техподдержке
Offline alivver  
#8 Оставлено : 27 января 2015 г. 14:08:06(UTC)
alivver

Статус: Участник

Группы: Участники
Зарегистрирован: 29.07.2014(UTC)
Сообщений: 28
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
ок. думал, мало ли такой сценарий кто-то уже проходил
Offline nurlan  
#9 Оставлено : 27 января 2015 г. 19:08:52(UTC)
nurlan

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.01.2015(UTC)
Сообщений: 4

Сказал(а) «Спасибо»: 2 раз
Здравствуйте, коллеги!
Подскажите пожалуйста можно ли создать четко ограниченный сертификат для ползоватлея по конкретные задачи.
Например
1)Авторизация пользователя только ipsec VPN (L2tp или Cisco EZVPN)
2)только WI-FI (802.1x) и нечего кроме.
Спасибо.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.