15.03.2006 16:22:43VPN доступ на ГОСТовских сетрификатах Ответов: 6
Иван
Помогите решить проблему. Надо сделать VPN доступ в сеть на гостовских сертификатах. В сети: контролер домена, RRAS и RADIUS (т.е. MS IAS). Все на Win2003. На РАСе и РАДИУСЕ стоит CSP 3.0 KC2 (demo), также им [РАСу и РАДИУСу] выданы сертификаты тестового УЦ КриптоПро и импортирован и тому и другому корневой сертификат УЦ. На клиенте - win2003 CSP 3.0 KC2 (demo), получен сертификат пользователя тамже (тест. УЦ КриптоПРО). РАС и РАДИУС настроены нормально, т.е. если аутентификация MS CHAP там, или MS CHAP v2 VPN устанавливается. Также VPN устанавливается если аутентификация по сертификатам, выданным внутренним УЦ (стоит на контролере домена, сертификаты не гостовские). Однако, стоит только для аутентификации использовать выданные тест. УЦ КриптоПРО сертификаты как VPNа нет:
- у клиента выдается ошибка "The context has expired and can no longer be used"
- РАС говорит, что отпавил запрос на РАДИУС но в соединении отказали,
- РАДИУС. соответственно, отказывает в соединении, пишет: "Reason = A certificate chain processed correctly, but one of the CA certificates is ot trusted by the policy provider"

PS. И РАДИУС, и РАС в домене, обоим выданы сертификаты проверки сервера (напр. CN=radius.domain.test), корневой сертификат тест. УЦ КриптоПРО и CRL установлены.
В чем может быть проблема?
PPS. Есть ли у Вас в открытом доступе какая-нть методичка, что ли, как правильно настраивать VPN на гостовских сертификатах? Я был бы очень благодарен :)

Заранее спасибо. Иван
 
Ответы:
15.03.2006 18:28:26maxdm
http://www.cryptopro.ru/cryptopro/products/eap-tls/default.htm
15.03.2006 20:07:32Иван
Насколько я понял, то для реализации VPN доступа на ГОСТовских сертификатах необходимо на РАДИУС, РАС и клиента поставить также КриптоПРО EAP-TLS. Отсюда вопросы:
1. EAP-TLS и Winlogon это одно и тоже?
2. Если нет, где найти демовскую версию EAP-TLS (для скачивания доступен только Winlogon)?
3. Надо ли при установке EAP-TLS/Winlogon убирать TLS/SSL, устанавливаемый с CSP 3.0?
4. Возможно ли проверять статус сертификата при аутентификации по EAP-TLS из локального CRL? Как написано на данном сайте
"КриптоПро EAP-TLS получает информацию о статусе сертификатов от:
CDP (CRL Distribuition Point) по протоколам HTTP, LDAP и др.;
AIA по протоколу OCSP c использованием КриптоПро УЦ и КриптоПро OCSP сервера или Атликс УЦ;
RADIUS сервера по протоколу TLS Extensions для транспортировки OCSP ответов."
Заранее благодарю.
16.03.2006 12:00:50maxdm
1. Нет, но дистрибутив один.
2. см 1. Если не использовать смарт-карты, то доп. лицензии не требуется (кроме CSP)
3. Должно делаться автоматически инсталятором - устаревшая документация.
4. Возможно.
16.03.2006 22:49:09Иван
Anywhere! Не получается!!! Все сделал как надо, но не доверяет IAS корневому сертификату тестового УЦ КриптоПРО.
В логе пишет "A certificate chain processed correctly, but one of the CA certificates is not trusted by the policy provider". ВПН клиенту выдается сообщение "Срок действия контекста истек и его использование не допускается". В чем дело?
Заранее благодарен, Иван
17.03.2006 14:35:34Василий
Корневой сертификат установлен на сервере IAS в хранилище "Доверенные корневые..." ЛОКАЛЬНОГО КОМПЬЮТЕРА? (при установке ставится галка "физическое размещение" и выбирается нужное место). А список отзыва сертификатов (если не доступен в онлайне с нашего сайта) - в хранилище "Промежуточные..." ЛОКАЛЬНОГО КОМПЬЮТЕРА.
17.03.2006 21:25:58Иван
Спасибо всем, кто пытался помочь. Проблема решена, тема закрыта.