Данная страница перенесена в архив.
Актуальную информацию можно узнать в разделе по ссылке [1].
Расширяемый протокол аутентификации (EAP-TLS)
Расширяемый протокол аутентификации (Extensible Authentication Protocol) - протокол двусторонней криптографической аутентификации между удаленным пользователем и RADIUS сервером (Remote Authentication Dial-In User Service).
Реализация КриптоПро EAP-TLS для аутентификации сторон использует криптографические механизмы на основе электронной цифровой подписи, сертификатов открытых ключей и TLS с использованием КриптоПро CSP [2]. (смотри также КриптоПро TLS [3]).
КриптоПро EAP-TLS предназначен для взаимной аутентификации удалённых пользователей на МЭ (Межсетевом Экране), точке доступа 802.11/Wi-Fi и коммутаторе Ethernet 802.1x по ключевому носителю (смарт-карта, USB-токен, дискета, реестр) на основе сертификатов открытых ключей X.509.
КриптоПро EAP-TLS может использоваться для аутентификации:
- Удалённого пользователя на МЭ (Firewall) при доступе по протоколам PPTP и L2TP;
- Пользователя (компьютера) беспроводных сетей 802.11 и Wi-Fi;
- Пользователя (компьютера) локальных сетей Ethernet 802.1x;
Сертификаты пользователей (компьютера) и серверов RADIUS могут, либо выпускаться и управляться с помощью сертифицированных КриптоПро УЦ [4] или Атликс УЦ [5], либо находиться под управлением домена Windows.
КриптоПро EAP-TLS клиент функционирует в следующих операционных системах (ОС):
- Windows 2000/XP/2003/Vista/2008/7/2008 R2
КриптоПро EAP-TLS предназначен для серверов IAS (Internet Authentication Service) [6] - RASIUS серверов входящих в состав следующих ОС:
- Windows 2000 Server;
- Windows Server 2003;
- Windows Server 2008;
- Windows Server 2008 R2
Совместимые МЭ и оборудование:
КриптоПро EAP-TLS совместим с любыми МЭ и сетевым оборудованием поддерживающим протоколы RADIUS. Методы настройки описаны по нижеследующим ссылкам.
МЭ [7]:
- MS ISA [8];
- другие поддерживающие RADIUS, L2TP или PPTP;
Сервера доступа [9]:
- MS RAS [10];
- другие поддерживающие RADIUS, PPP или PPPoE;
802.11/Wi-Fi [11]:
- D-Link DWL-2000AP+ [12];
- Cisco;
- другие поддерживающие RADIUS, 802.1x или 802.11;
Ethernet 802.1x [13]:
- D-Link DES-3226S [14];
- Cisco;
- другие поддерживающие RADIUS и 802.1x;
Первоначальная аутентификация производится с использованием алгоритмов ГОСТ Р 34.10-2001 и ГОСТ Р 34.11-94.
УЦ (Удостоверяющие Центры) необходимые для создания и управление сертификатами удалённых пользователей и RADIUS серверов:
- КриптоПро УЦ [4];
- Атликс УЦ [5];
- УЦ совместимые с проектом стандарта IETF RFC 4491 [15] (RSA KEON и др.);
- MS CA Enterprise входящий в состав Windows 2008/2003/2000.
КриптоПро EAP-TLS получает информацию о статусе сертификатов от:
- CDP (CRL Distribuition Point) по протоколам HTTP, LDAP и др.;
- AIA по протоколу OCSP c использованием КриптоПро УЦ [4] и КриптоПро OCSP [16] сервера или Атликс УЦ [5];
- RADIUS сервера по протоколу TLS Extensions [17] для транспортировки OCSP ответов.
Подробно об использовании КриптоПро EAP-TLS читайте в разделе Использование [18].
КриптоПро EAP-TLS использует сертифицированное ФСБ России средство криптографической защиты КриптоПро CSP [2].
Для того, чтобы получить сетевую версию дистрибутива КриптоПро EAP-TLS вам нужно зарегистрироваться.
Для штатной работы необходимо устанавливать КриптоПро EAP-TLS с дистрибутива, полученного у производителя на материальном носителе.
Предупреждение. Срок использования КриптоПро EAP-TLS ограничен 30 днями с момента установки. Для дальнейшей эксплуатации необходимо получить лицензию [19] на использование продукта в ООО "Крипто-Про" или у официального дилера.
Использование КриптоПро EAP-TLS регламентируется Лицензионным соглашением [20]с ООО "Крипто-Про" или Договором, заключенным между ООО "Крипто-Про" (или дилером) и Пользователем (физическим или юридическим лицом).
Поддержка EAP-TLS включена в дистрибутив КриптоПро CSP 3.6, а для CSP 3.0 - в дистрибутив КриптоПро Winlogon.