Описание сертификатов для VPN-сервера Edgerouter + IPSec / IKEv2 + Active Directory Certification Authority
Я пытаюсь настроить VPN-сервер IPSec / IKEv2 для роутеров на моем EdgeRouter 6P с Linux Strongswan 5.6.3 на борту и с Active Directory CA в качестве НАДЕЖНОГО КОРНЕВОГО ЦС и Microsoft NPS в качестве Radius для проверки подлинности, оба установлены на контроллере домена с полным доменным именем.
За последние несколько дней я собрал некоторую информацию о процедуре, я оставлю ссылки, которые нашел в конце этого сообщения, и теперь у меня есть некоторые рекомендации по настройке туннеля, но меня больше всего беспокоит сертификаты ; Я должен придерживаться нашего корпоративного центра сертификации для централизованного управления.
Я понял, что мне нужен доверенный центр сертификации, который будет подписывать сертификаты сервера и клиента VPN, и его сертификат (CA) должен быть установлен в цепочке ключей клиента. У меня есть AD CA, установленный на моем контроллере домена, и у меня есть несколько вопросов:
- Я следовал руководству по созданию шаблона сертификата IPSEC в AD CA, но я не совсем уверен в параметрах, так как мне не удалось найти руководство, включающее сертификаты Microsoft IPSEC для Strongswan.
- Я вижу разные типы расширений файлов, например .cert .pem .p12 и т. Д.какой из них мне использовать?
- AD CA будет ждать запроса сертификата, а затем развернуть? Или мне нужно создать сертификаты клиента и сервера из интерфейса Windows Server AD CA?
- В некоторых руководствах объясняется, что необходимо создать сертификат для каждого клиента, в других - создать только один сертификат для сервера ... так каковы все возможные способы аутентификации?
Как видите, я очень запутался в развертывании сертификатов, и я не смог найти никаких объяснений о Strongswan, связанных с Microsoft AD CA
Было бы здорово найти кого-нибудь, кто может объяснить концепции Мне не хватает типов сертификатов и различных центров сертификации, и я поясню эту часть процедуры для strongswan.
Заранее благодарю!
Road Warrior VPN (IPSEC, Win7 + из коробки)
Road Warrior IPsec VPN (IKEv2, Win7 / MacOS / iOS)
Руководство по настройке IKEv2 на edgerouters
Как установить сервер IKEv2 VPN на EdgeRouter или VyOS
Как получить сертификат от центра сертификации (CA) Windows?
Вот мои мысли по этому поводу: Microsoft CA прекрасно подходит для выпуска сертификатов IPsec. Вы можете просто подготовить шаблон и сделать так, чтобы "воины в дороге" автоматически получали де-выпущенные сертификаты, развернутые на их машинах Windows с помощью групповой политики, когда они находятся в офисе.
В этом случае расширение файла также можно игнорировать. Если вы работаете в среде Linux/Unix, я бы всегда советовал использовать формат PEM (информация о сертификате в кодировке Base64. Тот, в котором BEGIN и END CERTIFICATE находятся сверху и снизу)
.
Формат DER также работает в Linux/Unix, но в нем гораздо сложнее обнаружить проблемы форматирования при просмотре в текстовом редакторе.
Поэтому, пожалуйста, давайте не будем путать расширение файла (то, что вы можете полностью игнорировать в Linux/Unix) и содержащую его структуру/формат.
Создание сертификатов с Microsoft CA может быть сделано, как описано ранее, с помощью шаблонов и автоматизировано для windows, или может быть сделано вручную в de mmc или через Web интерфейс (https://server.name.tld/certsrv/ лучше всего использовать IE для этого...), где вы можете просто бросить ваш сгенерированный CSR на стороне сервера и, в ответ, получить свежий сертификат, подписанный вашим собственным CA.
Генерировать один сертификат для каждого пользователя всегда рекомендуется на случай, если ноутбук будет потерян или украден. Тогда вам придется отзывать и выпускать заново только один сертификат для одного пользователя.
Представьте себе, если каждый пользователь получит один и тот же сертификат, а один потеряет свое устройство. Вам придется выдать новый сертификат каждому воину на дороге, чтобы восстановить прежний уровень безопасности.
Итак, нет. Один сертификат для всех пользователей - не лучшая идея!
Единственное, чего я не знаю, требует ли IPsec какого-то специального расширения сертификата, или подойдет любой сертификат. Но я думаю, что нет. AFAIK Обычные сертификаты сервера и сертификаты пользователей работают нормально.