> 1) если я хочу реализовать режим аутентификации по сертификатам на каждой машине должно быть 2 сертификата, один сертифкат IPSEc и второй сертификат проверки подлинности клиента (для шлюза - сервера), так?

- в случае использования L2TP IPsec, на сервере и клиенте должны быть установлены сертификаты IPsec, как минимум по 1. Наличие хотя бы одного подходящего сертификата, гарантирует аутентификацию L2TP IPsec части, после этого этапа логика работы зависит от аутентификации пользователя на сервере, это может быть как пароль, так и более сложные схемы с использованием сертификатов, radius-серверов. Но этот этап не входит в компетенцию IPsec-а, который предоставляет защищенный канал (или просто транспорт) для дальнейших действий.

> 2) таки надо или нет в общем случае для установления защищенного канала с удаленным пользователем лезть в политики IPSec Windows, чтобы отдельно там прописывать использование алгоритмов КриптоПро?

- для организации VPN сервера L2TP IPsec, не требуется никаких дополнительных самостоятельные настроек в "Политики IP-безопасности" (gpedit.msc), более того, они крайне не рекомендуются, так как могут перекрываться с политиками, которые VPN сервер добавляет самостоятельно (они считаются внутренними, добавляются динамически и невидимы в оснастке gpedit.msc).

> а можно взглянуть как это работает у вас?

У нас была идея выложить виртуальные машины. Вас интересует стенд L2TP VPN сервер на базе 2003 с клиентом xp на сертификатах?

Работающий стенд с реализацией КриптоПро IPsec L2TP VPN с аутентификацией на сертификатах и на PSK в виде 2-х виртуальных машины VMware с подробными snapshot-ами можно получить здесь: http://narod.ru/disk/252...48000/Easy_IPsec.7z.html

(пароль к архиву отправляю через PM)

IPsec работает только с сертификатами локальной машины, это означает, что контекст сертификата должен иметь возможность быть полученным с флагами CRYPT_SILENT, CRYPT_MACHINE_KEYSET. Вы можете проверить свой сертификат, вызвав CryptAcquireContext( &hProv, pwszContainerName, pwszProvName, dwProvType, CRYPT_SILENT | CRYPT_MACHINE_KEYSET ).

То есть, секретный ключ сертификата должен быть доступен для локального компьютера без дополнительного взаимодействия с пользователем (без ввода пароля-pin и каких-либо дополнительных окон).

Ранее я писал, как можно получить требуемый сертификат в автоматическом режиме:


Для предоставленных виртуальных машин сертификаты получались через веб-интерфейс http://cryptopro.ru/certsrv/. Выбиралось произвольное имя, устанавливался тип сертификата — "сертификат IPsec", проверялось CSP — Crypto-Pro GOST R... , отмечалось — "использовать локальное хранилище компьютера для сертификата". Случайное число генерировалось с помощью "биологического датчика случайных чисел", пароль не устанавливался.

Отредактировано пользователем 27 сентября 2010 г. 16:09:05(UTC)  | Причина: Не указана

>Скажите а в режиме VPN site-to-site КриптоПро IPSEC работает?

Работает. Мы проверяли работоспособность на стендах с серверами 2003 и 2008 R2, в частности: ISA<->ISA, ISA<->TMG, TMG<->TMG.

>И если да, то можно также посмотреть виртуальные машины для стенда?

Виртуальные машины данного стенда занимают около 50 ГБ, передавать такое количество информации через интернет проблематично. Наверное, было бы удобнее забрать их у нас в офисе, по договоренности. В любом случае, настройка site-to-site не намного сложнее настройки двух VPN серверов, и если у вас есть конкретные вопросы или затруднения, мы готовы ответить.