Добрый день!
для тестирования КриптоПро IPSec мы развернули стенд. Конечная цель - внедрение в продуктив (построение схемы с VPN с шифрованием по ГОСТ по сертификатам, выданным корпоративным УЦ Криптопро)
состав стенда на виртуальных машинах: 1 сервер с RRAS, клиенты на Win7 и Win2008R2 (по одному для теста), инфраструктура - УЦ 1.5 + AD
На сервере установлен Криптопро CSP 3.6 (триал), КриптоПро IPSec 1124 (триал)
На клиентах - аналогично
На сервере и клиентах в trust root установлен корневой сертификат УЦ, также установлен CRL в Imtermediate (по сети CRL недоступен, но в ходе отладки отключали проверку через ключи реестра (разницы не было))
Сначала было настроено соединение по l2tp и использованием preshared keys (PSK). Все работает ОК
Конечная цель - использовать сертификаты УЦ для машинной аутентификации и для пользовательской
Для начала попытались настроить машинную аутентификацию
Для этого выпустили сертификаты:
1. для клиентов (с EKU IKE Intermediate и Subject Alternative Name = FQDN клиента).
2. для сервера (с EKU IKE Intermediate и Server Authentication)
Выпускали через АРМ админа, и чтобы перенести сертификат с закрытым ключом на клиента (из реестра в реестр) использовали Export/Import (правильно ли?? т.к. после импорта все время в контейнере не оказывается сертификата, добавляем через сервис "Установить личный сертификат")
Поместили в хранилище компьютера, показывает, что все ок, цепочка строится, привязка к закрытому ключу есть
Донастроили RRAS (убрали галку Allow custom IPSec policy for l2tp connection), чтобы аутентифицироваться по сертификатам
На клиенте поставили Использовать сертификаты в настройках l2tp
Результат - вылет по ошибке 810 (лог cp_ipsec_info прилагаю)
Снимали дамп пакетов, каждый раз их всего 4...со стороны клиента последним является входящий от сервера с запросом на сертификат
Подскажите, пожалуйста, что я делаю не так?
а также (чтобы понять лучше сам процесс):
1. Триальные версии CSP и IPSEC могут влиять на работоспособность?
2. есть вот такая статья -
https://support.cryptopr...nija-klient-k-seti-ofis. Насколько она актуальная? там описывается настройка IP Security для локального компьютера как на сервере, так и на клиенте. Это требуется? Если да, то есть ли более удачное описание, а в этой статье как то все сумбурно
3. Как сервер (а также клиент) определяют какой корневой сертификат использовать для построения доверия? Например, в статье из п2 на одном из этапов корневой явно выбирается.
4. как сервер (клиент) определяют какой сертификат использовать? по FQDN? или первый в хранилище? или как то еще?
Спасибо!
Вложение(я):
cpipsecinfo.txt
(7kb) загружен 5 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.