День добрый!

У меня настроена следющач система:

КриптоПро УЦ версия 1.4.
Контроллер домена - ОС Win 2003 Enterptise SP2, КриптоПро CSP KC2 3.0.3300.3 (CSP+TLS), КриптоПро WinLogon 1.0.1069
Центр сертификации - ОС Win 2003 Enterptise SP2, CA - Stand alone, КриптоПро CSP KC2 3.0.3300.3 (CSP+TLS)
Центр регистрации - ОС Win 2003 Enterptise SP2, КриптоПро CSP KC2 3.0.3300.3 (CSP+TLS)
АРМ администратора центра регистрации - ОС Win 2003 Enterptise SP2, КриптоПро CSP KC2 3.0.3300.3 (CSP+TLS)
RADIUS-сервер - ОС Win 2003 Enterptise SP2, КриптоПро CSP KC2 3.0.3300.3 (CSP+TLS)
точка доступа - D-Link 2640 U
клиент - ноутбук, Windows XP Professional SP2
все устройства в домене (кроме точки доступа)

Стоит задача: предоставить возможность беспроводным WiFi-клиентам возможность подключаться к домену, т.е. проходить аутентификацию.

Для этого настраиваю на клиенте (ноутбук, Windows XP Professional SP2, подключен к домену) аутентификацию WPA (EAP MS-CHAP v2), шифрование TKIP. На точке доступа настраиваю связь с RADIUS-сервером (IP, порт, общий секрет). На RADIUS-сервере настраиваю связь с контроллером домена, подключаю точку доступа как клиент RADIUS, настраиваю политику удаленного доступа. Задаю разрешение на доступ пользователям домена, протокол аутентификации - защищенный EAP - здесь выдается ошибка об отсутствии сертификата который был бы использован с протоколом расширенной проверки подлинности (EAP).
Насколько я понимаю, данный сертификат RADIUS-сервера необходим для создания защищенного туннеля с клиентом и последующей аутентификации клиента. Сертификата сервера RADIUS нет и выпустить его не удается. На сервере RADIUS установлен CryptoPro CSP KC2 3.0.3300.3 (CSP+TLS). Однако, при попытке создать запрос на сертификат от имени IIS выбрать криптопровайдер CryptoPro не предлагается (есть возможность выбора только Microsoft DH SChannel CSP либо Microsoft RSA SChannel CSP). Есть ли какие-либо утилиты от КриптоПро для формирования запроса на сертификат сервера? Какие должны быть настройки центра сертификации и центра регистрации для выпуска такого сертификата (область действия сертификата, шаблон, алгоритмы)?


еще один вопрос: Какие должны быть сертификаты на клиентской стороне (область действия сертификата, шаблон)? Сертификаты, сформированные на АРМ администратора ЦР (вход со смарт-картой, пользователь УЦ, временный пользователь УЦ) не воспринимаются при настройке аутентификации EAP – выдается ошибка, что нет подходящего сертификата.