форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Изначальное сообщение		[ Отслеживать ]

"ASA+CA+VPNclient"	+/–
Сообщение от svetts (ok) on 23-Июн-11, 14:34
Добрый день! Стоит задача поднять VPN на сертификатах. Служба сертификации-CA- выдала сертификат и для ASA и для vpnclient. Всунули успешно их и в циску и в комп. далее ВОПРОС, прежде чем настраивать аутентификацию через Active Directory, сверка сертификатов происходит исключительно на связке железка(ASA)-комп(ciscoVPNclient)?? Как сделать чтобы сертификат на vpnclient сверялся с CA????Или это не возможно? не могу найти инфы на эту тему-сама логика тогда не понятна... загнали на vpn клиент все одинаковые сертификаты и подрубились??, пусть локально и без active directory  , но всё же. как же политика безопасности?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "ASA+CA+VPNclient"	+/–
Сообщение от Aleks305 (ok) on 23-Июн-11, 21:49
>[оверквотинг удален] > Стоит задача поднять VPN на сертификатах. > Служба сертификации-CA- выдала сертификат и для ASA и для vpnclient. Всунули успешно > их и в циску и в комп. > далее ВОПРОС, прежде чем настраивать аутентификацию через Active Directory, сверка сертификатов > происходит исключительно на связке железка(ASA)-комп(ciscoVPNclient)?? > Как сделать чтобы сертификат на vpnclient сверялся с CA????Или это не возможно? > не могу найти инфы на эту тему-сама логика тогда не понятна... > загнали на vpn клиент все одинаковые сертификаты и подрубились??, пусть локально > и без active directory  , но всё же. как же > политика безопасности? CA отвечает только за выпуск сертификатов и за публикацию списка отозванных сертов. ASA должна периодически забирать его и при аутентификации клиента смотреть в СОС, чтобы там его не было. Проверка серта осуществляется на основе ЭЦП содержащейся в сертификате. Вот и вся логика работы...если что не понятно - спрашивайте!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "ASA+CA+VPNclient"	+/–
	Сообщение от svetts (ok) on 24-Июн-11, 08:18
	> CA отвечает только за выпуск сертификатов и за публикацию списка отозванных сертов. > ASA должна периодически забирать его и при аутентификации клиента смотреть в > СОС, чтобы там его не было. Проверка серта осуществляется на основе > ЭЦП содержащейся в сертификате. Вот и вся логика работы...если что не > понятно - спрашивайте! То есть существет как бы 2 варианта: 1. для каждого пользователя vpnClient необходимо генерировать  свой индивидуальный сертификат и заливать его, и так же в ASA: для каждого пользователя, чтобы сверка проходила на первом этапе с ней 2. сертификат будет один , но необходимо создавать правило идентификации сертификатов на ASA и проверка проходит через контроллер домена? или через radius? Спасибо!
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "ASA+CA+VPNclient"	+/–
	Сообщение от Aleks305 (ok) on 24-Июн-11, 22:24
	>[оверквотинг удален] >> СОС, чтобы там его не было. Проверка серта осуществляется на основе >> ЭЦП содержащейся в сертификате. Вот и вся логика работы...если что не >> понятно - спрашивайте! > То есть существет как бы 2 варианта: > 1. для каждого пользователя vpnClient необходимо генерировать  свой индивидуальный сертификат > и заливать его, и так же в ASA: для каждого пользователя, > чтобы сверка проходила на первом этапе с ней > 2. сертификат будет один , но необходимо создавать правило идентификации сертификатов на > ASA и проверка проходит через контроллер домена? или через radius? > Спасибо! Да,второй вариант возможен. Можно также использовать локальную базу пользователей, но это неудобно. Можно вообще отказаться от XAUTH, то есть аутентификации по логину/паролю не будет, только по сертификату.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема